Security

Unsere Security Engineers arbeiten in Architektur-Workshops mit, insbesondere wenn es um die Planung einer neuen Architektur geht und Sicherheitsfragen aufgeworfen werden. Wir unterstützen unsere Kunden dann dabei, die richtige Ziel-Architektur für eine Infrastruktur zu entwickeln, die „security-minded“ ist und die Automatisierung von sicherheitsrelevanten Prozessen unterstützt. Dabei geht es auch darum, das richtige Maß für die Absicherung der Use Cases zu definieren, die auf der Infrastruktur ausgerollt werden sollen. Am Ende wird ein Security-Konzept erstellt.

Sicherheit ist kein Zustand, sondern ein Prozess – deshalb bieten wir die Begleitung und Mitwirkung eines Security Engineers bei sicherheitsrelevanten Fragestellungen von der Konzeption über die Entwicklung bis hin zum endgültigen Betrieb an. Der Security Engineer steht für alle relevanten Sicherheitsfragen des Teams als Ansprechpartner:in zur Verfügung und motiviert das Team, relevante Fragestellungen zu beachten.

Wenn bereits eine Architektur ohne die Mitwirkung eines Security Engineers entwickelt wurde, reviewen wir diese bestehende Architektur im Hinblick auf ihre Security-Aspekte. Dabei identifizieren und klassifizieren wir die Risiken und schlagen Maßnahmen für die Verbesserung der Sicherheit vor. Dieser Review kann beispielsweise für die Vorbereitung auf einen Security-Audit genutzt werden.

Bei Reconnaissance geht es darum, alle öffentlich zugänglichen Informationen zu einem Ziel oder einem Unternehmen auszumachen und diese nach möglichen „Information Leaks“ zu analysieren. Denn bevor ein:e Angreifer:in ein Unternehmen angreift, versucht er/sie jede noch so kleine Information aus öffentlichen Quellen zu verwerten, z. B. Adressen, E-Mails, Mitarbeiter:innen, finanzielle Verhältnisse, Kommunikationswege, Technologien, DNS-Einträge, Geschäftsbeziehungen, laufende Systeme oder Administrator:innen. Diese Informationen sind oft eine Goldgrube, weil sie dem/der Angreifer:in Informationen über interne Abläufe geben können. Um dem vorzubeugen, versetzen wir uns in die Rolle eines/einer potenziellen Angreifers/Angreiferin und sammeln alle Informationen, die wir über ein Unternehmen im Internet finden können.

Um den aktuellen Sicherheits-Ist-Zustand eines Systems oder einer Web-Anwendung zu beurteilen, eignen sich optimalerweise Penetrationstests. Bei der Durchführung eines Penetrationstests werden die öffentlich erreichbaren Dienste sowie das Backend aus der Perspektive eines/einer Angreifers/Angreiferin gezielt untersucht. Das Ziel ist dabei, zu ermitteln, welche Schwachstellen der/die Angreifer:in feststellen kann und wie weit er tatsächlich in das System eindringen kann. Außerdem sollen Entwickler:innen und Administrator:innen die Gewissheit erhalten, dass security-relevante Parts richtig umgesetzt wurden und das System keine bekannten Schwachstellen aufweist. Vor allem aber stellen diese Penetrationstests eine fundierte Ausgangsbasis dar, auf der unsere Security Engineers (siehe auch „Begleitung durch einen Security Engineer“) Ihnen helfen können, die Schwachstellen zu beheben und die Systeme langfristig auf ein angemessen hohes Sicherheitsniveau zu heben.

Wir bauen eine automatisierte Infrastruktur auf, mit der bereits während der Entwicklung oder des Betriebs automatisiert und in regelmäßigen Intervallen nach Schwachstellen gesucht bzw. gescannt wird. Das kontinuierliche Identifizieren von Schwachstellen trägt dazu bei, dass diese frühzeitig gefunden und geschlossen werden können, bevor ein: Angreifer:in sie ausnutzen kann. Bei einer Web-Anwendung kann beispielsweise vollautomatisch nach den OWASP-Top-10-Risiken gesucht werden.

Software hat heutzutage zahlreiche externe Abhängigkeiten zu Bibliotheken, Frameworks oder Modulen. Bei dieser Vielzahl ist es sehr mühsam, den Überblick über unsichere Verbindungen und Schwachstellen zu behalten. Bereits eine einzige Schwachstelle könnte dazu führen, dass das Gesamtsystem verwundbar ist. Mit einem Dependency-Check lässt sich überprüfen, ob die unzähligen Abhängigkeiten eines Software-Systems bekannte Schwachstellen aufweisen.

Um in ein System (Web-Anwendung, Server, Dienst, Netzwerk …) einzudringen, nutzen Angreifer:innen oft bekannte Sicherheitslücken oder Fehlkonfigurationen aus. Ein Schwachstellen-Scan soll nachweisen, dass das vorliegende System keine bekannten Schwachstellen aufweist, die ein:e Angreifer:in ausnutzen könnte oder die generell die Gesamtsicherheit eines Systems gefährden. Ein Scan nach Schwachstellen ist nicht einem Penetrationstest gleichzusetzen, kann aber eine erste Analyse zur Sicherheit eines Systems sein.

Eine Vielzahl von IT-Systemen ist heutzutage im Internet in Form einer Web-Anwendung oder als API erreichbar und bereits eine einzige Schwachstelle kann genügen, dass Angreifer:innen in das System eindringen und Schaden anrichten können. Um dieses Risiko beherrschbar zu machen, müssen sich Software-Entwickler:innen der Angriffsvektoren bewusst sein, um typische Schwachstellen erkennen und vermeiden zu können. Dieses Training thematisiert die typischen Anforderungen von Web-Anwendungen, schafft Awareness für die häufigsten Sicherheitsrisiken und vermittelt praktisches Wissen zu Gegenmaßnahmen in Theorie und Praxis. So sollen Unternehmen auch in Eigenregie typische Schwachstellen erkennen und vermeiden können.

Im seltensten Fall wird ein Produkt oder ein Dienst bereits ab Werk „sicher“ ausgeliefert bzw. konfiguriert. Die Infrastruktur, der Dienst oder die Anwendung ist daher nur so sicher wie ihr schwächstes Glied. Bei der Durchführung eines Hardenings wird die Konfiguration nach möglichen Schwachstellen bzw. Anomalien untersucht. Das Ziel des Hardenings ist es, die Angriffsoberfläche so gering wie möglich zu halten.

Bei akuten Security Incidents können wir Unternehmen dabei unterstützen, den Vorfall zu bewältigen und sinnvolle Maßnahmen einzuleiten (sofort, kurz-, mittel- und langfristig). Für detaillierte Post-Mortem-Analysen von erfolgreichen Einbrüchen beraten wir gern bei der Auswahl eines kompetenten Dienstleisters und beim Ableiten von Maßnahmen aus den Ergebnissen der Analyse.

Erfahrungsgemäß werden dutzende Male pro Tag automatisierte Scans von Angreifer:innen auf die IT-Sicherheit durchgeführt. Deshalb ist es wichtig, einen solchen Angriff zu erkennen und schnellstmöglich Gegenmaßnahmen einzuleiten. Für das Erkennen kommen IDS (Intrusion Detection System) und IPS (Intrusion Prevention System) zum Einsatz. Stellen diese Systeme durch die Beobachtung der Logfiles oder der Pakete ein Angriffsmuster fest, so wird der/die Angreifer:in blockiert und eine Benachrichtigung über den potenziellen Angriff an verantwortliche Personen versendet.