Innovative IT-Lösungen sind durch Methoden und Technologien geprägt, die auf Flexibilität, Schnelligkeit, Offenheit und Vernetzung abzielen (Web, Cloud, Continuous Delivery, Open Source, offene APIs etc.). Das bringt viele Vorteile für die Hersteller:innen und die Anwender:innen von IT-Systemen. Gleichzeitig erhöht sich aber auch das Sicherheitsrisiko, weil sich diese Systeme in einem hochdynamischen Innovationsumfeld bewegen und nicht mehr durch punktuelle, statische Checks abgesichert werden können.
Manchmal genügt bereits eine einzige Schwachstelle, um in ein System einzudringen und um Schaden anrichten zu können. Bei inovex verstehen wir Security als wichtiges Qualitätsmerkmal in allen Projekten, weshalb wir Security-Expert:innen von Anfang an in unsere Projektteams integrieren. Sicherheit ist für uns kein Zustand, sondern ein kontinuierlicher Prozess über alle Projektphasen hinweg. Ob in Entwicklungs-, Data-Science- oder IT-Operations-Projekten: Security ist bei uns immer dabei.
Security von inovex
Sicherheitsaspekte in allen Projektphasen im Fokus zu automatisieren ist immer noch eine Herausforderung, die wir gerne annehmen. Mit unseren Security-Engineers
- verbessern wir das Sicherheitsbewusstsein innerhalb der Projektteams,
- sorgen wir dafür, dass ein System „security-minded“ ist bzw. wird,
- können wir insbesondere auch die hochinnovativen Segmente innerhalb der digitalen Welt (IoT, AI/KI) bewerten und Strategien für deren Absicherung entwickeln.
Darüber hinaus können wir natürlich auch in Systemen, die von Dritten entwickelt worden sind, durch Penetrationstests Sicherheitslücken aufdecken und zu deren Schließung beitragen.
Bei der Entwicklung von digitalen Lösungen kann inovex von vornherein die Projektteams mit Sicherheitsexpert:innen besetzen, die sich einerseits um die Sicherheitsaspekte der IT-Systeme kümmern und andererseits auch „normale“ Projektaufgaben übernehmen können. Damit wird Security ab Projektbeginn zu einem integralen Bestandteil der digitalen Lösung und sichert den Mehrwert des Systems langfristig ab. Das verstehen wir bei inovex unter „DevSecOps“.
Unser Leistungsangebot im Einzelnen
Architektur-Workshops mit Security-Fokus
Unsere Security Engineers arbeiten in Architektur-Workshops mit, insbesondere wenn es um die Planung einer neuen Architektur geht und Sicherheitsfragen aufgeworfen werden. Wir unterstützen unsere Kunden dann dabei, die richtige Ziel-Architektur für eine Infrastruktur zu entwickeln, die „security-minded“ ist und die Automatisierung von sicherheitsrelevanten Prozessen unterstützt. Dabei geht es auch darum, das richtige Maß für die Absicherung der Use Cases zu definieren, die auf der Infrastruktur ausgerollt werden sollen. Am Ende wird ein Security-Konzept erstellt.
Begleitung durch einen Security Engineer
Sicherheit ist kein Zustand, sondern ein Prozess – deshalb bieten wir die Begleitung und Mitwirkung eines Security Engineers bei sicherheitsrelevanten Fragestellungen von der Konzeption über die Entwicklung bis hin zum endgültigen Betrieb an. Der Security Engineer steht für alle relevanten Sicherheitsfragen des Teams als Ansprechpartner:in zur Verfügung und motiviert das Team, relevante Fragestellungen zu beachten.
Architektur-Review mit Security-Fokus
Wenn bereits eine Architektur ohne die Mitwirkung eines Security Engineers entwickelt wurde, reviewen wir diese bestehende Architektur im Hinblick auf ihre Security-Aspekte. Dabei identifizieren und klassifizieren wir die Risiken und schlagen Maßnahmen für die Verbesserung der Sicherheit vor. Dieser Review kann beispielsweise für die Vorbereitung auf einen Security-Audit genutzt werden.
Reconnaissance
Bei Reconnaissance geht es darum, alle öffentlich zugänglichen Informationen zu einem Ziel oder einem Unternehmen auszumachen und diese nach möglichen „Information Leaks“ zu analysieren. Denn bevor ein:e Angreifer:in ein Unternehmen angreift, versucht er/sie jede noch so kleine Information aus öffentlichen Quellen zu verwerten, z. B. Adressen, E-Mails, Mitarbeiter:innen, finanzielle Verhältnisse, Kommunikationswege, Technologien, DNS-Einträge, Geschäftsbeziehungen, laufende Systeme oder Administrator:innen. Diese Informationen sind oft eine Goldgrube, weil sie dem/der Angreifer:in Informationen über interne Abläufe geben können. Um dem vorzubeugen, versetzen wir uns in die Rolle eines/einer potenziellen Angreifers/Angreiferin und sammeln alle Informationen, die wir über ein Unternehmen im Internet finden können.
Penetrationstests
Um den aktuellen Sicherheits-Ist-Zustand eines Systems oder einer Web-Anwendung zu beurteilen, eignen sich optimalerweise Penetrationstests. Bei der Durchführung eines Penetrationstests werden die öffentlich erreichbaren Dienste sowie das Backend aus der Perspektive eines/einer Angreifers/Angreiferin gezielt untersucht. Das Ziel ist dabei, zu ermitteln, welche Schwachstellen der/die Angreifer:in feststellen kann und wie weit er tatsächlich in das System eindringen kann. Außerdem sollen Entwickler:innen und Administrator:innen die Gewissheit erhalten, dass security-relevante Parts richtig umgesetzt wurden und das System keine bekannten Schwachstellen aufweist. Vor allem aber stellen diese Penetrationstests eine fundierte Ausgangsbasis dar, auf der unsere Security Engineers (siehe auch „Begleitung durch einen Security Engineer“) Ihnen helfen können, die Schwachstellen zu beheben und die Systeme langfristig auf ein angemessen hohes Sicherheitsniveau zu heben.
Automatisierte Scanning-Infrastruktur
Wir bauen eine automatisierte Infrastruktur auf, mit der bereits während der Entwicklung oder des Betriebs automatisiert und in regelmäßigen Intervallen nach Schwachstellen gesucht bzw. gescannt wird. Das kontinuierliche Identifizieren von Schwachstellen trägt dazu bei, dass diese frühzeitig gefunden und geschlossen werden können, bevor ein: Angreifer:in sie ausnutzen kann. Bei einer Web-Anwendung kann beispielsweise vollautomatisch nach den OWASP-Top-10-Risiken gesucht werden.
Dependency Checks
Software hat heutzutage zahlreiche externe Abhängigkeiten zu Bibliotheken, Frameworks oder Modulen. Bei dieser Vielzahl ist es sehr mühsam, den Überblick über unsichere Verbindungen und Schwachstellen zu behalten. Bereits eine einzige Schwachstelle könnte dazu führen, dass das Gesamtsystem verwundbar ist. Mit einem Dependency-Check lässt sich überprüfen, ob die unzähligen Abhängigkeiten eines Software-Systems bekannte Schwachstellen aufweisen.
Schwachstellen-Scans
Um in ein System (Web-Anwendung, Server, Dienst, Netzwerk …) einzudringen, nutzen Angreifer:innen oft bekannte Sicherheitslücken oder Fehlkonfigurationen aus. Ein Schwachstellen-Scan soll nachweisen, dass das vorliegende System keine bekannten Schwachstellen aufweist, die ein:e Angreifer:in ausnutzen könnte oder die generell die Gesamtsicherheit eines Systems gefährden. Ein Scan nach Schwachstellen ist nicht einem Penetrationstest gleichzusetzen, kann aber eine erste Analyse zur Sicherheit eines Systems sein.
Trainings
Eine Vielzahl von IT-Systemen ist heutzutage im Internet in Form einer Web-Anwendung oder als API erreichbar und bereits eine einzige Schwachstelle kann genügen, dass Angreifer:innen in das System eindringen und Schaden anrichten können. Um dieses Risiko beherrschbar zu machen, müssen sich Software-Entwickler:innen der Angriffsvektoren bewusst sein, um typische Schwachstellen erkennen und vermeiden zu können. Dieses Training thematisiert die typischen Anforderungen von Web-Anwendungen, schafft Awareness für die häufigsten Sicherheitsrisiken und vermittelt praktisches Wissen zu Gegenmaßnahmen in Theorie und Praxis. So sollen Unternehmen auch in Eigenregie typische Schwachstellen erkennen und vermeiden können.
Hardening
Im seltensten Fall wird ein Produkt oder ein Dienst bereits ab Werk „sicher” ausgeliefert bzw. konfiguriert. Die Infrastruktur, der Dienst oder die Anwendung ist daher nur so sicher wie ihr schwächstes Glied. Bei der Durchführung eines Hardenings wird die Konfiguration nach möglichen Schwachstellen bzw. Anomalien untersucht. Das Ziel des Hardenings ist es, die Angriffsoberfläche so gering wie möglich zu halten.
Emergency-Einsatz bei Incidents
Bei akuten Security Incidents können wir Unternehmen dabei unterstützen, den Vorfall zu bewältigen und sinnvolle Maßnahmen einzuleiten (sofort, kurz-, mittel- und langfristig). Für detaillierte Post-Mortem-Analysen von erfolgreichen Einbrüchen beraten wir gern bei der Auswahl eines kompetenten Dienstleisters und beim Ableiten von Maßnahmen aus den Ergebnissen der Analyse.
Intrusion Detection und Intrusion Prevention Systems
Erfahrungsgemäß werden dutzende Male pro Tag automatisierte Scans von Angreifer:innen auf die IT-Sicherheit durchgeführt. Deshalb ist es wichtig, einen solchen Angriff zu erkennen und schnellstmöglich Gegenmaßnahmen einzuleiten. Für das Erkennen kommen IDS (Intrusion Detection System) und IPS (Intrusion Prevention System) zum Einsatz. Stellen diese Systeme durch die Beobachtung der Logfiles oder der Pakete ein Angriffsmuster fest, so wird der/die Angreifer:in blockiert und eine Benachrichtigung über den potenziellen Angriff an verantwortliche Personen versendet.
