- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Ganzheitliches Sicherheitskonzept nötig


Open Source und IT-Sicherheit gehören untrennbar zusammen
Um neu entdeckte Sicherheitsrisiken schnellstmöglich zu adressieren, gibt es einen mehrstufigen Security-Release-Prozess

- Anzeigen -





Viele Unternehmen entscheiden sich gegen proprietäre Lizenzmodelle und setzen stattdessen vermehrt auf Open-Source-Lösungen. Sie verlassen sich dabei auf die international etablierten Qualitäts-Standards der Open-Source-Welt und deren bewährtes Zusammenspiel. Die Digital Experience Company Acquia schildert am Beispiel des "CMS Drupal", wie im Open-Source-Umfeld eine hohe Sicherheit erreicht wird.

An ein über das Web verfügbares Content-Management-System werden sehr hohe Sicherheitsanforderungen gestellt. Dazu ist ein ganzheitliches Sicherheitskonzept erforderlich, dass nicht nur die Anwendung, sondern auch die zugehörige Infrastruktur umfasst. Eine Open-Source-Lösung hat dabei den Vorteil, dass die Betreiber in den Unternehmen sehr schnell auf Änderungen am Markt reagieren und auf Sicherheitsanforderungen und Schwachstellen gezielt eingehen können.

Beim Open-Source-Projekt Drupal werden zum Beispiel an jedem Mittwoch sicherheitsrelevante Informationen und Updates bereitgestellt. Anwender proprietärer Lösungen dagegen müssen oft auf einen monatlichen Patchday warten – oder sie werden gar nicht erst proaktiv über vorhandene Schwachstellen informiert. Bis dahin sind diese Systeme einem hohen Sicherheitsrisiko ausgesetzt, sollten Informationen zu Schwachstellen bereits vorzeitig über inoffizielle Kanäle in den Umlauf geraten.

Ein weiterer zentraler Punkt ist die Umsetzung und Einhaltung aktuellster Sicherheitsstandards. Dazu zählt etwa das Information-Security-Management-Zertifikat ISO 27001, eingebettet in ein Information-Security-Management-System (ISMS). Dieses umfasst administrative, physische und technische Sicherheitsmaßnahmen, um einen Betrieb mit minimalem Risiko zu gewährleisten. Dies ist besonders dann relevant, wenn der betriebliche Erfolg von der Sicherheit und Verfügbarkeit der zu betreibenden Webseite und darin verarbeiteten Informationen abhängt.

Die Security-Teams von Acquia und des Open-Source-Projektes Drupal arbeiten eng zusammen und unterstützten die gesamte Entwickler-Community mit einer Vielzahl von Maßnahmen, Schulungen sowie Workshops. Acquia nimmt das Open-Source-CMS-System Drupal als Basis und veredelt Drupal durch umfangreiche Platform-as-a-Service (PaaS)-Dienstleistungen. In öffentlichen Community-Diskussionsportalen werden aktuelle Entwicklungen aufgegriffen und von Experten aus allen Branchen thematisiert. In dieser Gemeinschaft kann jeder Verbesserungen beitragen, die dann zum Beispiel in Form von Modulen später in den Status einer stabilen veröffentlichten Version überwechseln und somit auch dem strikten Audit durch das Drupal-Security-Team unterliegen.

Um neu entdeckte Sicherheitsrisiken schnellstmöglich zu adressieren, gibt es einen mehrstufigen Security-Release-Prozess, der sich wie folgt darstellt:

1. Risiko identifizieren und an das Security-Team melden.
Jeder Anwender, der ein Sicherheitsrisiko entdeckt, sollte es mit einer möglichst detaillierten Beschreibung an das Security-Team melden. Sehr hilfreich ist es dabei, eine Herleitung zu der Reproduktion des Problems beizufügen.

2. Schwachstelle genauer analysieren und mögliche Auswirkungen abschätzen.
Das Security-Team überprüft die gemeldete Schwachstelle und stuft die potenzielle Sicherheitslücke nach der Schwere der Auswirkungen ein. Dazu gehört beispielsweise auch die Feststellung, welche Drupal-Versionen, Module oder Themes (Designvorlagen) von der Schwachstelle betroffen sind.

3. Verantwortliche beheben das Problem.
Unterstützt durch das Security-Team arbeiten Experten, Tester und andere Fachleute an einer professionellen Lösung. Die Lösungsvorschläge werden genauestens begutachtet und diskutiert, um ein optimales Ergebnis unter Berücksichtigung aller Abhängigkeiten zu erzielen.

4. Patches entwickeln, testen und veröffentlichen.
Der neue Code wird ausführlich getestet und in automatisierte Tests überführt, um sicherzustellen, dass das gewünschte Ergebnis erreicht wird und vor allem keine unerwünschten Nebenwirkungen damit verbunden sind. Durch die Zusammenarbeit und die gegenseitige Beurteilung von Experten rund um die Welt lässt sich somit eine sehr hohe Qualität erzielen. Sind all diese einzelnen Schritte erfolgreich abgeschlossen, wird der neue Code über Drupal.org veröffentlicht.

5. Sicherheitshinweise abonnieren.
Für Unternehmen und andere Organisationen, die Drupal einsetzen, gehört es zum Standard, dass sie die auf Drupal.org veröffentlichten Sicherheitshinweise abonnieren. Es werden diverse weitere Kanäle angeboten, um über sicherheitsrelevante Informationen auf dem Laufenden zu bleiben.

6. Sicherheit-Updates auf den Webseiten implementieren.
Drupal prüft selbstständig auf regelmäßiger Basis, ob es Updates gibt und informiert den Drupal-Administrator. Auf Drupal.org finden sich dann die entsprechenden Download-Links und Installationsanweisungen für alle neuen Versionen. Wer Open-Source-Software einsetzt, muss sich in der Regel selbst darum kümmern, dass Updates zeitnah eingespielt werden. Dafür bietet Acquia eine besondere Dienstleistung namens Remote Administration Services für seine Kunden an; sie spielen kurz nach der Veröffentlichung relevanter Updates diese in die auf der Acquia Cloud gehosteten Drupal-Projekte ein.

"Sich hinter proprietären Lizenzmodellen oder kompiliertem Code zu verstecken und darauf zu bauen, dass niemand potenzielle Sicherheitslücken entdeckt, kann sich sehr schnell zum Bumerang entwickeln. Die Folgen können verheerend sein", sagt Michael Heuer, Country Manager – Central Europe (DACH) bei Acquia in München. "Mit einem offenen Programmcode und einem ganzheitlichen Sicherheitskonzept kann die IT-Sicherheit deutlich gesteigert werden. Jeder aus der weltweiten Community kann Sicherheitsrisiken melden, die dann in einem effizienten Prozess schnellstmöglich behoben werden. Transparenz, Erfahrungsaustausch und ein sehr hoher Sicherheitsanspruch gehören zu den Grundlagen erfolgreicher Open-Source-Projekte."
(Acquia: ra)

eingetragen: 09.02.17
Home & Newsletterlauf: 03.03.17


Acquia: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Gefahr für jedes Sicherheitssystem

    Auch wenn die Methoden von Cyber-Angreifern immer raffinierter werden, die Hauptangriffswege bleiben gleich: gefälschte E-Mails und bösartige Downloads. Nur eine vollständige Isolierung dieser Gefahrenherde garantiert ein sicheres Surfen und Downloaden von Dokumenten, meint Sicherheitssoftware-Anbieter Bromium. Cyber-Angreifer nehmen Unternehmen und Behörden nach wie vor unter Nutzung der Angriffswege E-Mail und Download ins Visier. So vergeht kaum ein Tag, an dem nicht neue Phishing-Mails mit gefährlicher Schadsoftware auftauchen. Auch Social Engineering, das vor allem in Form von Spear-Phishing-Mails auftritt, liegt im Trend und stellt eine große Gefahr für jedes Sicherheitssystem dar. Zudem stellen bösartige Downloads, also Downloads mit unbekanntem Schadcode, die IT immer noch vor vermeintlich unlösbare Probleme. Bei Downloads von Dateien aus externen Quellen besteht immer die Gefahr, Opfer von Malware zu werden: sei es durch die Installation von Programmen oder das Starten von FTP-Filetransfers. Die Angriffsvarianten der Hacker sind dabei äußerst vielfältig: Sie reichen von Fake-Updates über URL-Weiterleitungen und DNS-Manipulationen bis hin zu fingierten Treibern und System-Tools.

  • Sicherheits-Tipps für das Arbeiten von unterwegs

    Immer mehr Menschen arbeiten bei schweißtreibenden Temperaturen nicht nur im Büro, sondern auf dem Balkon, im Schwimmbad, an Urlaubsorten oder wo auch immer Abkühlung geboten wird. Einige verwandeln ihren gesamten Arbeitsplatz in eine Weltreise: Die Zahl der digitalen Nomaden beläuft sich laut Schätzungen auf eine halbe Million Menschen. Das Arbeiten von unterwegs bietet zwar eine willkommene Ablenkung, aber auch ein erhöhtes Sicherheitsrisiko. Deshalb hat die OTRS AG folgende Tipps zusammengestellt, wie das Sicherheitsrisiko beim Arbeiten außerhalb des Büros möglichst gering gehalten werden kann.

  • KRITIS-Unternehmen sind attraktive Ziele

    Der Schutz Kritischer Infrastrukturen (KRITIS) vor Cyberangriffen ist eine besonders heikle Aufgabe, da bei erfolgreichen Cyberangriffen darauf nicht nur die öffentliche Ordnung bedroht ist und gravierende Störungen von vielen Lebensbereichen eintreten werden, sondern auch ganz konkret Menschenleben in Gefahr sind. Wenn Strom plötzlich nicht mehr so fließt, wie es die Menschen und Unternehmen gewohnt sind, funktionieren beispielsweise schlagartig keine Ampeln mehr. Verkehrsunfälle sind vorprogrammiert. Umso länger der Strom wegbleibt, umso schlimmer werden die Folgen: Produktion, Transport und Verkauf von Wasser, Lebensmitteln, Arzneimitteln und vielem mehr kommen fast vollständig zum Erliegen. Der breiten Öffentlichkeit wurde ein solches Horrorszenario - ein länger andauernder europaweiter Stromausfall - erstmals durch den Roman Blackout von Marc Elsberg veranschaulicht.

  • Verwendung von PGP und Keyservern

    In letzter Zeit traten gehäuft Probleme bei der Verwendung von PGP und Keyservern auf: Bereits Angriffe mit einfachsten Methoden auf SKS Keyserver führten zu Überlastungen und dazu, dass Schlüssel unbrauchbar wurden. Darauf machen die IT-Sicherheitsexperten der PSW Group aufmerksam. Die E-Mail-Verschlüsselung per PGP ist attraktiv: Kostenfrei und mit wenig Aufwand können Anwender ihren Mail-Verkehr verschlüsseln. Dieses Verfahren hat jedoch deutliche Schwächen, die dazu führen, dass das vermeintliche Gefühl von Sicherheit tatsächlich beeinträchtigt wird. "Mittels eines PGP Key Servers kann jeder Nutzer auf einfache Art ein Schlüsselpaar erstellen. Das allerdings ist das erste Problem: Jeder kann für jeden x-beliebigen anderen Menschen eine Nutzerkennung anlegen, die aus Vor- und Zunamen sowie der E-Mail-Adresse besteht. Eine Identitätsprüfung findet dabei nicht statt", so Christian Heutger, CTO der PSW Group. Stattdessen verifizieren und bestätigen andere Nutzer die Identität nach dem Ansatz des Web of Trust: Durch eine PGP-Signatur bekunden PGP-Nutzer ihr Vertrauen am öffentlichen Schlüssel.

  • Laterales Phishing: Die wachsende Bedrohung

    Der Missbrauch gehackter E-Mail-Konten durch Cyberkriminelle ist nach wie vor eine der größten Bedrohungen für die E-Mail-Sicherheit. Dabei entwickeln Angreifer ihre Taktiken kontinuierlich weiter: In Zusammenarbeit mit Forschern der UC Berkeley und der UC San Diego entdeckten Sicherheitsforscher von Barracuda eine neue und wachsende Art des Kontoübernahme-Angriffs: das laterale Phishing. Bei lateralen Phishing-Angriffen missbrauchen Cyberkriminelle kompromittierte Konten, um Phishing-Mails an eine Reihe von Empfängern zu senden, von engen Kontakten innerhalb des Unternehmens bis hin zu Geschäftspartnern anderer Unternehmen. Die Studie ergab, dass eines von sieben Unternehmen in den letzten sieben Monaten laterale Phishing-Angriffe erlebt hat.