SATW insights: Unsichere Webseiten und Apps: Ursachen und effektive Mittel dagegen

3. Juni 2021, 09:17
  • satw
  • kolumne
  • security
  • it-anwender
  • developer
  • channel
image

Nach dem Prinzip "simple and stupid" zeigt Security-Experte Umberto Annino, wie die IT-Sicherheit im Unter­nehmen erhöht werden kann.

Seit einiger Zeit ist das Thema Cybersecurity auch in den Tagesmedien präsent und wir werden mit Meldungen zu schwerwiegenden Schwachstellen konfrontiert. Diese manifestieren sich in schlecht oder gar nicht gesicherten Webseiten und -Applikationen. Die Ursachen und effektive Mittel dagegen möchte ich Ihnen hier aufzeigen.
Für sehr viele Organisationen in den Bereichen Cybersecurity, IT und Informationsverarbeitung widerspiegeln die folgenden Situationsbeschreibungen den Alltag:
  • Dokumentiert ist wenig bis fast nichts. Insbesondere fehlt ein umfassendes, systematisch strukturiertes Sicherheitskonzept für das Schutzobjekt oft vollständig. Aus bestehenden, rudimentären Dokumentationen (wenn sie denn aktuell sind) können bestenfalls Sicherheits-Spezifikationen und -Konfigurationen abgeleitet werden.
  • Anforderungen sind rudimentär dokumentiert; oft sind vor allem die funktionalen Anforderungen spezifiziert. Die nicht-funktionalen Anforderungen, zu denen auch Security gehört, sind oft nur punktuell spezifiziert.
  • Betriebliche Prozesse sind oftmals nicht angemessen dokumentiert. Insbesondere eine klare Abgrenzung der Verantwortungen zwischen IT-Betrieb (bis "Oberkante Betriebssystem") und Applikations-Manager fehlen. Besonders relevant sind an dieser Stelle Patch- und Vulnerability-Management-Prozesse.
  •  Die eigentlichen schützenswerten Sachwerte (Information Assets) sind mangelhaft dokumentiert bzw. inventarisiert. Zu strukturierten Daten besteht inzwischen, GDPR/DSGVO sei Dank, häufig ein Inventar. Bei unstrukturierten Daten sieht es oft weniger gut aus: Klassifikation und genaue Spezifikation des Schutzbedarfs der Daten und Informationen fehlen oftmals.
  • Zeitgemässe Methoden zur Ermittlung von Sicherheitsanforderungen und Schutzbedarf, beispielsweise "Threat Modeling" und generell risikobasierte Sicherheitsmassnahmen, werden kaum angewendet oder auf derart hohem Abstraktionslevel, dass es bestenfalls zur Erläuterung gegenüber dem Top-Management taugt. Die technischen Details sind aufwändig und komplex, entsprechend wird dieses Thema gern aufgeschoben.
  • Sicherheit wird ungern systematisch angegangen. Das Vorgehen wäre in einem solchen Fall: 1. Ermittlung der Schutzobjekte, 2. Spezifikation des Schutzbedarfs, 3. Identifikation und Bewertung der Risiken, 4. Erarbeiten von risikobasierten Massnahmen, 5. Testen der Sicherheit und 6. Verbesserungen umsetzen. Die vermeintliche Abkürzung lautet oft: "Wir testen das gründlich vor der Produktivsetzung. Das muss reichen." Entsprechend ist weder Budget für Sicherheitsmassnahmen vorhanden, noch ist genau festgelegt, wer den Sicherheitstest genau finanziert. Wenn dann der Testbericht wenige Wochen vor geplanter Produktivsetzung mit kritischen Feststellungen aufwartet, ist die Nervosität gross. Zeit und Geld fehlen, um die Schwachstellen nachhaltig zu beheben.

Das Thema Sicherheit systematisch angehen

Vielleicht kommt Ihnen einiges davon bekannt vor. Die gute Nachricht ist: Die Lösungsansätze sind in den erläuterten Problembereichen enthalten. Am besten gehen Sie nach dem KISS-Prinzip – "Keep it simple and stupid" – vor: Wenn Sie wissen, wo es harzt, beginnen Sie am besten dort mit der Behebung.
Ich habe mit folgenden methodischen Ansätzen und Referenzen gute Erfahrungen gemacht:
  • Sprechen Sie sich frühzeitig – zum Zeitpunkt der Projektidee und spätestens in der Phase der Grobkonzeption – mit den sicherheitsverantwortlichen Stellen im Unternehmen ab bzw. ziehen Sie (externe) Spezialistinnen und Spezialisten hinzu.
  • Identifizieren Sie, was warum wie schützenswert ist – je wertvoller und kritischer, desto schutzbedürftiger. Fokussieren Sie die Sicherheitsbemühungen darauf, aber vernachlässigen Sie nicht alles andere. Und vertrauen Sie den Technikerinnen und Technikern bzw. den Informatikerinnen und Informatikern. Das Verrückte ist, dass der Angreifer von folgender Asymmetrie profitiert: Sie dürfen KEINE Schwachstellen haben, während der Angreifer nur EINE Schwachstelle finden muss, um damit womöglich sehr grossen Schaden anzurichten.
  • Wenn Sicherheitsmassnahmen "zu teuer" sind, stimmt entweder ihre Risikobewertung nicht oder der Business-Case ist nicht realistisch. Sicherheit ist eine zwingende Eigenschaft – ohne Sicherheit zahlen Sie möglicherweise irgendwann mit dem gesamten Business-Case.
  • Verwenden Sie bewährte Standards und Frameworks und gehen Sie systematisch, strukturiert und umfassend vor. Denken Sie wie mögliche Angreifer: Nicht die "Use Cases" sind für die Security relevant, sondern alle möglichen "Abuse Cases", die kontrolliert werden müssen.
  • Der Minimum-Schwellenwert, den ich für "sichere Applikationen" ansetze, sind die aktuellen "OWASP Top 10 Web Application Security Risks". Wenn sich bei einem umfassenden und professionellen Security-Test keines dieser Risiken manifestiert, wird das Fundament mit grösster Wahrscheinlichkeit stabil sein. Abgesehen davon, sind "CIS Benchmarks" und die 20 "CIS Controls" (bieten mehr als nur technische Referenzen) empfehlenswert.
Auch wenn sowohl die Umsetzung der OWASP Top-10 als auch der 20 CIS Controls einen gewissen Aufwand bedeutet, haben sie den Vorteil, dass sie nicht "erschlagend" wirken.
Entscheidungsträgerinnen und Entscheidungsträger können so einfacher motiviert werden, für die Umsetzung dieser Mindestanforderungen grünes Licht zu geben und einen wichtigen Schritt hin zu einer höheren Cybersicherheit für ihr Unternehmen zu machen.

Über den Autor:

Umberto Annino, eidg. dipl. ICT-Security Expert und Wirtschaftsinformatiker, ist als Principal Cyber Security Consultant bei InfoGuard tätig und engagiert sich nebenbei als Dozent für Cybersecurity. Seit 2021 präsidiert er das Advisory Board Cybersecurity der Schweizerischen Akademie für Technische Wissenschaften SATW. Davor amtete Umberto Annino mehrere Jahre im Vorstand von ISACA Switzerland Chapter, als Präsident der ISSS Information Security Society Switzerland sowie als Mitglied der Cybersecurity-Kommission von ICTswitzerland.

Zu dieser Kolumne: 

SATW insights: Unter diesem Titel berichten Mitglieder der Schweizerischen Akademie der Technischen Wissenschaften SATW regelmässig für unsere Leser über relevante, aktuelle Schweizer Technologie-Fragen. Die Meinung der Autoren muss sich nicht mit derjenigen von inside-it.ch/inside-channels.ch decken.

Loading

Mehr zum Thema

image

Optimismus in der ICT-Branche war gestern

Nachdem die Stimmung im Schweizer ICT-Business zuletzt teilweise sehr gut war, hat sie sich nun eingetrübt, wie dem jüngsten Swico-Barometer zu entnehmen ist.

publiziert am 29.6.2022
image

Hausmitteilung: neuer Event "IT-Security im Fokus"

Am 25. August findet im Kino Kosmos in Zürich erstmals unser Event "IT-Security im Fokus statt". Gäste dürfen sich auf hochkarätige Speaker freuen.

publiziert am 29.6.2022
image

E-Mail bleibt Einfallstor Nummer eins

Eine Analyse von Trend Micro zeigt eine Zunahme bei Cyberangriffen über E-Mails. Ransomware nimmt ab, aber dafür gehen Angreifer immer gezielter vor.

publiziert am 29.6.2022
image

Microsoft Schweiz zeichnet Partner aus

2022 ist Open Systems aus Zürich Schweizer "Microsoft Country Partner of the Year".

publiziert am 29.6.2022