Security

Wir verstehen Security als integralen Bestandteil unserer Arbeit (DevSecOps). Das bedeutet, IT-Sicherheit von Anfang an als Qualitätsmerkmal zu leben und fest in jedes Projekt zu integrieren. Sicherheit ist für uns kein Zustand, sondern ein kontinuierlicher Prozess über alle Projektphasen hinweg. Deshalb integrieren wir von Anfang an Security-Experten in unsere Projektteams. Ob in Entwicklungs-, Data-Science- oder IT-Operations-Projekten: Security ist bei uns überall.

Innovative IT-Lösungen sind durch Methoden und Technologien geprägt, die auf Flexibilität, Schnelligkeit, Offenheit und Vernetzung abzielen (Web, Cloud, Continuous Delivery, Open Source, offene APIs etc.). Das bringt viele Vorteile für die Hersteller und die Anwender von IT-Systemen. Gleichzeitig erhöht sich aber auch das Sicherheitsrisiko, weil sich diese Systeme in einem hochdynamischen Innovationsumfeld bewegen und nicht mehr durch punktuelle, statische Checks abgesichert werden können. Manchmal genügt bereits eine einzige Schwachstelle, um in ein System einzudringen und Schaden anrichten zu können.

Während sich die Qualitätssicherung von IT-Systemen bis zu einem hohen Grad automatisieren lässt, funktioniert das bei Security nur mit Einschränkungen. Hier ist der manuelle Aufwand weiterhin höher, weil verschiedenste Angriffsvektoren durchgespielt werden müssen, beispielsweise im Rahmen von Penetrationstests. Wenn Security-Aspekte aber von Anfang an bei der Architektur und der Software-Entwicklung hinreichend berücksichtigt werden, lässt sich das Risiko beherrschbar machen. Vor diesem Hintergrund haben wir unser Portfolio erweitert und bieten nun auch Security-Kompetenzen an, sowohl für die Absicherung von bestehenden Systemen (Audits, Reviews etc.) als insbesondere auch für die sicherheitsrelevanten Aspekte bei Neuentwicklungen. Wir haben ein Team von Security Engineers an Bord, die auf der Infrastruktur- und auf der Applikationsebene dafür sorgen, dass ein System "security-minded" ist bzw. wird.

Derzeit beobachten wir drei zentrale Angriffsmethoden:

• Im ersten Fall dringt ein Angreifer in ein digitales System ein (z. B. über eine Sicherheitslücke in einer Webanwendung oder durch einen unzureichend gesicherten Dienst), verschafft sich weitreichende Rechte und verschlüsselt die vom System verwalteten Daten (Ransomware). Anschließend wird eine Art „Lösegeld“ dafür gefordert, dass die Daten wieder entschlüsselt werden.
• Beim zweiten Angriffstyp geht es dem Angreifer darum, Kontrolle über die Hardware-Ressourcen eines Systems zu erlangen, also die Rechenkapazität zu „kidnappen“. Mit diesen kontrollierten Ressourcen kann der Angreifer die Funktionsweise des Systems beeinträchtigen, er kann großräumige Angriffe auf Drittsysteme lancieren, z. B. Denial-of-Service-Attacken (DoS), oder er kann beispielsweise Spam-E-Mails verschicken. Rechenleistung ist in der Netzwirtschaft nämlich wie Kapital zu betrachten, das man universell für seine – lauteren oder unlauteren – Zwecke einsetzen kann.
• Im dritten Szenario möchte der Angreifer Zugriff auf die vertraulichen Daten eines Systems bekommen (z. B. Benutzer- oder Kundendaten), um sie auf dem Schwarzmarkt zu verkaufen oder für nachgelagerte Angriffe zu benutzen. Die Folgen eines solchen Vorfalls können die Reputation eines Unternehmens erheblich schädigen und es langfristig als nicht vertrauenswürdig erscheinen lassen, sowohl in den Augen der Kunden als auch bei anderen Geschäftspartnern. Über diese Risiken hinaus haben manche Unternehmen und öffentliche Institutionen spezifische Befürchtungen, etwa weil sie über besondere Daten verfügen, für die sich Kriminelle oder politisch motivierte Hacker interessieren. Staatlich organisiertes Hacking mit dem Ziel, auf die politische Willensbildung Einfluss zu nehmen, und digitale Betriebsspionage, die auf Intellectual Property wie Erfindungen abzielt, sind hier die prominentesten Beispiele.

Wenn über die Sicherheit von digitalen Systemen gesprochen wird, muss zunächst geklärt werden, welche allgemeinen und welche spezifischen Sicherheitsanforderungen abgedeckt werden sollen. Viele allgemeine Risiken werden von den Entwicklern der großen technologischen Basis-Produkte und Frameworks sehr genau beobachtet und ständig im Update-Prozess berücksichtigt, so dass allein durch einen sorgfältigen IT-Betrieb ein gewisses Maß an Schutz gewährleistet ist. Systeme, die nicht regelmäßig gewartet und nicht mit den neuesten Sicherheits-Patches versorgt werden, eignen sich nämlich per se als Einfallstor für Angreifer. Das zeigt sich immer wieder bei globalen IT-Security-Katastrophen wie der Ransomware „WannaCry“ oder „Petya/NotPetya“.

Digitale Sicherheit könnte man als Aspekt von „Qualität“ verstehen, ist aber als Themengebiet so groß, so dynamisch wachsend und so schnelllebig, dass wir es separat betrachten. Wir sind durch unser Security-Team nicht nur in der Lage, digitale Basis-Komponenten wie Web-Applikationen oder IT-Infrastrukturen sicherheitstechnisch zu entwickeln, zu härten und dadurch Compliance-Anforderungen zu erfüllen – z. B. durch Public Key Infrastructures (PKIs) –, sondern können insbesondere auch die hochinnovativen Segmente innerhalb der digitalen Welt (IoT, AI/KI) bewerten und Strategien für deren Absicherung entwickeln. Das Ziel ist dabei immer, bestmöglich gegen Angriffe vorbereitet zu sein und die Wahrscheinlichkeit eines erfolgreichen Angriffs zu minimieren. Darüber hinaus können wir natürlich auch in Systemen, die von Dritten entwickelt worden sind, durch Penetrationstests Sicherheitslücken aufdecken und zu deren Schließung beitragen.

Unsere Security-Experten kennen die Vor- und Nachteile der einschlägigen Security-Lösungen und Tools und wissen aus Erfahrung, wie man sie produktiv implementiert und anwendet. Der USP von inovex besteht darin, dass wir bei der Entwicklung von digitalen Lösungen von Anfang die Projektteams mit Sicherheitsexperten besetzen können, die sich einerseits um die Sicherheitsaspekte der IT-Systeme kümmern, die aber andererseits auch „normale“ Entwicklungsaufgaben übernehmen können. Damit wird Security ab Projektbeginn zu einem integralen Bestandteil der digitalen Lösung und sichert den Mehrwert des Systems langfristig ab. Das verstehen wir bei inovex unter „DevSecOps“.

Architektur-Workshops mit Security-Fokus

Unsere Security Engineers arbeiten in Architektur-Workshops mit, insbesondere wenn es um die Planung einer neuen Architektur geht und Sicherheitsfragen aufgeworfen werden . Wir unterstützen unsere Kunden dann dabei, die richtige Ziel-Architektur für eine Infrastruktur zu entwickeln, die “security-minded” ist und die Automatisierung von securityrelevanten Prozessen unterstützt. Dabei geht es auch darum, das richtige Maß für die Absicherung der Use Cases zu definieren, die auf der Infrastruktur ausgerollt werden sollen. Am Ende wird ein Security-Konzept erstellt.

Begleitung durch einen Security Engineer

Sicherheit ist kein Zustand, sondern ein Prozess – deshalb bieten wir die Begleitung und Mitwirkung eines Security Engineers bei sicherheitsrelevanten Fragestellungen von der Konzeption über die Entwicklung bis hin zum endgültigen Betrieb an. Der Security Engineer steht für alle relevanten Sicherheitsfragen des Teams als Ansprechpartner zur Verfügung und motiviert das Team, relevante Fragestellungen zu beachten.

Architektur-Review mit Security-Fokus

Wenn bereits eine Architektur ohne die Mitwirkung eines Security Engineers entwickelt wurde, reviewen wir diese bestehende Architektur im Hinblick auf ihre Security-Aspekte. Dabei identifizieren und klassifizieren wir die Risiken der Architektur und schlagen Maßnahmen für die Verbesserung der Sicherheit vor. Dieser Review kann beispielsweise für die Vorbereitung auf einen Security-Audit genutzt werden.

Reconnaissance

Bei Reconnaissance geht es darum, alle öffentlich zugänglichen Informationen zu einen Ziel oder Unternehmen auszumachen und diese nach möglichen “Information Leaks” zu analysieren. Denn bevor ein Angreifer ein Unternehmen angreift, versucht er jede noch so kleine Information aus öffentlichen Quellen zu verwerten, z. B. Adressen, E-Mails, Mitarbeiter, finanzielle Verhältnisse, Kommunikationswege, Technologien, DNS-Einträge, Geschäftsbeziehungen, laufende Systeme oder Administratoren. Diese Informationen sind oft ein Goldgrube, weil sie dem Angreifer Informationen über interne Abläufe geben können. Wir versetzen uns in die Rolle eines potentiellen Angreifers und sammeln alle Informationen, die wir über ein Unternehmen im Internet finden können.

Penetrationstests

Um den aktuellen Sicherheits-Ist-Zustand eines Systems oder einer Web-Anwendung zu beurteilen, eignen sich optimalerweise Penetrationstests. Bei der Durchführung eines Penetrationstests werden die öffentlich erreichbaren Dienste sowie das Backend aus der Perspektive eines Angreifers gezielt untersucht. Das Ziel ist dabei zu ermitteln, welche Schwachstellen der Angreifer feststellen kann und wie weit er tatsächlich in ein System eindringen kann. Außerdem sollen Entwickler und Administratoren die Gewissheit erhalten, dass securityrelevante Parts richtig umgesetzt wurden und das System keine bekannten Schwachstellen aufweist. Vor allem aber stellen diese Penetrationstests eine fundierte Ausgangsbasis dar, auf der unsere Security Engineers (siehe auch "Begleitung durch einen Security Engineer" oben im Text) Ihnen helfen können, die Schwachstellen zu beheben und die Systeme langfristig auf ein angemessen hohes Sicherheitsniveau zu heben.

Automatisierte Scanning-Infrastruktur

Wir bauen eine automatisierte Infrastruktur auf, mit der bereits während der Entwicklung oder des Betriebs automatisiert und in regelmäßigen Intervallen nach Schwachstellen gesucht bzw. gescannt wird. Das kontinuierliche Identifizieren von Schwachstellen trägt dazu bei, dass Schwachstellen frühzeitig gefunden und geschlossen werden können, bevor ein Angreifer eine offensichtliche Schwachstelle ausnutzt. Bei einer Webanwendung kann beispielsweise vollautomatisch nach den OWASP-Top-10-Risiken gesucht werden.

Dependency Checks

Software hat heutzutage zahlreiche externe Abhängigkeiten zu Bibliotheken, Frameworks oder Modulen. Bei dieser Vielzahl von Abhängigkeiten ist es sehr mühsam, den Überblick über unsichere Abhängigkeiten oder über neue Schwachstellen in diesen Abhängigkeiten zu behalten. Bereits eine einzige Schwachstelle könnte dazu führen, dass das Gesamtsystem verwundbar ist. Mit einem Dependency-Check lässt sich überprüfen, ob unzählige Abhängigkeiten eines Software-Systems bekannte Schwachstellen aufweisen.

Schwachstellen-Scans

Um in ein System (Web-Anwendung, Server, Dienst, Netzwerk ...) einzudringen, nutzen Angreifer oft bekannte Sicherheitslücken oder Fehlkonfigurationen aus. Ein Schwachstellen-Scan soll nachweisen, dass das vorliegende Systeme keine bekannten Schwachstellen aufweist, die ein Angreifer ausnutzen könnte oder die generell die Gesamtsicherheit eines Systems gefährden. Ein Scan nach Schwachstellen ist nicht einem Penetrationstest gleichzusetzen, kann aber eine erste Analyse zur Sicherheit eines Systems sein.

Hardening

Im seltensten Fall wird ein Produkt oder ein Dienst bereits ab Werk “sicher” ausgeliefert bzw. konfiguriert. Die Infrastruktur, der Dienst oder die Anwendung ist daher nur so sicher wie ihr schwächstes Glied. Bei der Durchführung eines Hardenings wird die Konfiguration nach möglichen Schwachstellen bzw. Anomalien untersucht. Das Ziel des Hardenings ist es, die Angriffsoberfläche so gering wie möglich zu halten.

Emergency-Einsatz bei Incidents

Bei akuten Security Incidents können wir Unternehmen dabei unterstützen, den Incident zu managen und sinnvolle Maßnahmen einzuleiten (sofort, kurz-, mittel- und langfristig). Detaillierte Post-Mortem-Analysen von erfolgreichen Einbrüchen sind nicht unser Spezialgebiet – wir beraten aber gern bei der Auswahl eines kompetenten Dienstleisters und beim Ableiten von Maßnahmen aus den Ergebnissen der Analyse.

Intrusion Detection und Intrusion Prevention Systems

Erfahrungsgemäß werden dutzende Male pro Tag automatisierte Scans von Angreifern durchgeführt. Deshalb ist es wichtig, einen solchen Angriff zu erkennen und schnellstmöglich Gegenmaßnahmen einzuleiten. Für das Erkennen kommen IDS (Intrusion Detection System) und IPS (Intrusion Prevention System) zum Einsatz. Stellen diese Systeme durch die Beobachtung der Logfiles oder der Pakete ein Angriffsmuster fest, so wird der Angreifer blockiert und eine Benachrichtigung über den potentiellen Angriff an verantwortliche Personen versendet.