- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Ganzheitliches Sicherheitskonzept nötig


Open Source und IT-Sicherheit gehören untrennbar zusammen
Um neu entdeckte Sicherheitsrisiken schnellstmöglich zu adressieren, gibt es einen mehrstufigen Security-Release-Prozess

- Anzeigen -





Viele Unternehmen entscheiden sich gegen proprietäre Lizenzmodelle und setzen stattdessen vermehrt auf Open-Source-Lösungen. Sie verlassen sich dabei auf die international etablierten Qualitäts-Standards der Open-Source-Welt und deren bewährtes Zusammenspiel. Die Digital Experience Company Acquia schildert am Beispiel des "CMS Drupal", wie im Open-Source-Umfeld eine hohe Sicherheit erreicht wird.

An ein über das Web verfügbares Content-Management-System werden sehr hohe Sicherheitsanforderungen gestellt. Dazu ist ein ganzheitliches Sicherheitskonzept erforderlich, dass nicht nur die Anwendung, sondern auch die zugehörige Infrastruktur umfasst. Eine Open-Source-Lösung hat dabei den Vorteil, dass die Betreiber in den Unternehmen sehr schnell auf Änderungen am Markt reagieren und auf Sicherheitsanforderungen und Schwachstellen gezielt eingehen können.

Beim Open-Source-Projekt Drupal werden zum Beispiel an jedem Mittwoch sicherheitsrelevante Informationen und Updates bereitgestellt. Anwender proprietärer Lösungen dagegen müssen oft auf einen monatlichen Patchday warten – oder sie werden gar nicht erst proaktiv über vorhandene Schwachstellen informiert. Bis dahin sind diese Systeme einem hohen Sicherheitsrisiko ausgesetzt, sollten Informationen zu Schwachstellen bereits vorzeitig über inoffizielle Kanäle in den Umlauf geraten.

Ein weiterer zentraler Punkt ist die Umsetzung und Einhaltung aktuellster Sicherheitsstandards. Dazu zählt etwa das Information-Security-Management-Zertifikat ISO 27001, eingebettet in ein Information-Security-Management-System (ISMS). Dieses umfasst administrative, physische und technische Sicherheitsmaßnahmen, um einen Betrieb mit minimalem Risiko zu gewährleisten. Dies ist besonders dann relevant, wenn der betriebliche Erfolg von der Sicherheit und Verfügbarkeit der zu betreibenden Webseite und darin verarbeiteten Informationen abhängt.

Die Security-Teams von Acquia und des Open-Source-Projektes Drupal arbeiten eng zusammen und unterstützten die gesamte Entwickler-Community mit einer Vielzahl von Maßnahmen, Schulungen sowie Workshops. Acquia nimmt das Open-Source-CMS-System Drupal als Basis und veredelt Drupal durch umfangreiche Platform-as-a-Service (PaaS)-Dienstleistungen. In öffentlichen Community-Diskussionsportalen werden aktuelle Entwicklungen aufgegriffen und von Experten aus allen Branchen thematisiert. In dieser Gemeinschaft kann jeder Verbesserungen beitragen, die dann zum Beispiel in Form von Modulen später in den Status einer stabilen veröffentlichten Version überwechseln und somit auch dem strikten Audit durch das Drupal-Security-Team unterliegen.

Um neu entdeckte Sicherheitsrisiken schnellstmöglich zu adressieren, gibt es einen mehrstufigen Security-Release-Prozess, der sich wie folgt darstellt:

1. Risiko identifizieren und an das Security-Team melden.
Jeder Anwender, der ein Sicherheitsrisiko entdeckt, sollte es mit einer möglichst detaillierten Beschreibung an das Security-Team melden. Sehr hilfreich ist es dabei, eine Herleitung zu der Reproduktion des Problems beizufügen.

2. Schwachstelle genauer analysieren und mögliche Auswirkungen abschätzen.
Das Security-Team überprüft die gemeldete Schwachstelle und stuft die potenzielle Sicherheitslücke nach der Schwere der Auswirkungen ein. Dazu gehört beispielsweise auch die Feststellung, welche Drupal-Versionen, Module oder Themes (Designvorlagen) von der Schwachstelle betroffen sind.

3. Verantwortliche beheben das Problem.
Unterstützt durch das Security-Team arbeiten Experten, Tester und andere Fachleute an einer professionellen Lösung. Die Lösungsvorschläge werden genauestens begutachtet und diskutiert, um ein optimales Ergebnis unter Berücksichtigung aller Abhängigkeiten zu erzielen.

4. Patches entwickeln, testen und veröffentlichen.
Der neue Code wird ausführlich getestet und in automatisierte Tests überführt, um sicherzustellen, dass das gewünschte Ergebnis erreicht wird und vor allem keine unerwünschten Nebenwirkungen damit verbunden sind. Durch die Zusammenarbeit und die gegenseitige Beurteilung von Experten rund um die Welt lässt sich somit eine sehr hohe Qualität erzielen. Sind all diese einzelnen Schritte erfolgreich abgeschlossen, wird der neue Code über Drupal.org veröffentlicht.

5. Sicherheitshinweise abonnieren.
Für Unternehmen und andere Organisationen, die Drupal einsetzen, gehört es zum Standard, dass sie die auf Drupal.org veröffentlichten Sicherheitshinweise abonnieren. Es werden diverse weitere Kanäle angeboten, um über sicherheitsrelevante Informationen auf dem Laufenden zu bleiben.

6. Sicherheit-Updates auf den Webseiten implementieren.
Drupal prüft selbstständig auf regelmäßiger Basis, ob es Updates gibt und informiert den Drupal-Administrator. Auf Drupal.org finden sich dann die entsprechenden Download-Links und Installationsanweisungen für alle neuen Versionen. Wer Open-Source-Software einsetzt, muss sich in der Regel selbst darum kümmern, dass Updates zeitnah eingespielt werden. Dafür bietet Acquia eine besondere Dienstleistung namens Remote Administration Services für seine Kunden an; sie spielen kurz nach der Veröffentlichung relevanter Updates diese in die auf der Acquia Cloud gehosteten Drupal-Projekte ein.

"Sich hinter proprietären Lizenzmodellen oder kompiliertem Code zu verstecken und darauf zu bauen, dass niemand potenzielle Sicherheitslücken entdeckt, kann sich sehr schnell zum Bumerang entwickeln. Die Folgen können verheerend sein", sagt Michael Heuer, Country Manager – Central Europe (DACH) bei Acquia in München. "Mit einem offenen Programmcode und einem ganzheitlichen Sicherheitskonzept kann die IT-Sicherheit deutlich gesteigert werden. Jeder aus der weltweiten Community kann Sicherheitsrisiken melden, die dann in einem effizienten Prozess schnellstmöglich behoben werden. Transparenz, Erfahrungsaustausch und ein sehr hoher Sicherheitsanspruch gehören zu den Grundlagen erfolgreicher Open-Source-Projekte."
(Acquia: ra)

eingetragen: 09.02.17
Home & Newsletterlauf: 03.03.17


Acquia: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Damit Unternehmensdaten online sicher sind

    Jeder zweite Internetnutzer ist nach einer jüngsten Umfrage des Branchenverbandes Bitkom inzwischen von Cyberkriminalität betroffen: "Datendiebstahl, Identitätsklau, Beleidigung oder Betrug: Kriminelle finden zunehmend Opfer im Internet. Jeder zweite Internetnutzer (50 Prozent) war im vergangenen Jahr Opfer von Cyberkriminalität. Am häufigsten klagen Onliner über die illegale Verwendung ihrer persönlichen Daten oder die Weitergabe ihrer Daten an Dritte. Fast jeder Vierte (23 Prozent) war davon betroffen."

  • Teil der CISO-View-Industrieinitiative

    CyberArk präsentiert den neuen Forschungsbericht "The CISO View: Protecting Privileged Access in DevOps and Cloud Environments". Er basiert auf den Erfahrungswerten eines CISO-Panels aus Global-1000-Unternehmen und liefert fünf Empfehlungen für die Sicherung von DevOps-Prozessen. Sicherheitsstrategien müssen unternehmensweite Maßnahmen zum Schutz privilegierter Zugriffe und Zugangsdaten umfassen - gerade auch im DevOps-Umfeld, in dem etliche Service-Accounts, Encryption-, API- und SSH-Keys, Secrets von Containern oder eingebettete Passwörter in Programm-Code oft ungesichert sind. So hat auch der "Global Advanced Threat Landscape Report 2018" von CyberArk ergeben, dass mehr als 70 Prozent der befragten Unternehmen noch keine "Privileged Access Security"-Strategie für DevOps-Umgebungen haben.

  • "DNS Flag Day": Das müssen Sie wissen

    Infoblox klärt auf: Der "DNS Flag Day" am ersten Februar ist eine Chance für das in die Jahre gekommene DNS-Protokoll. Dieses existiert bereits seit über dreißig Jahren in zahlreichen Variationen und Modellen. Die gängige EDNS-Erweiterung wird allerdings von einigen DNS Servern nicht unterstützt und daher oft mit diversen Workarounds kompliziert umgangen. Doch das führte zu Problemen: Es entstehen Schwachstellen, die Komplexität steigt, Upgrades werden immer umständlicher und die DNS-Sicherheit leidet. Bestimmte Workarounds werden nun zum DNS Flag Day entfernt. "Der DNS Flag Day wird sich langfristig bei allen Internetnutzern bemerkbar machen. Denn durch eine Vereinfachung der DNS-Quellcodes wird sich die Internetgeschwindigkeit in Zukunft steigern. Gleichzeitig ist dieser Tag eine gute Gelegenheit für alle DNS Administratoren ihr DNS zu testen und gegebenenfalls eine Aktualisierung vorzunehmen", erklärt Frank Ruge, Director Sales Central Europe bei Infoblox die Bedeutung des ersten Februars.

  • Betrügereien im Social Web

    Fast täglich gelangen neue Datenschutzverletzungen in die Schlagzeilen. Verbraucher stellen sich die Frage, wie sie sich vor Cyber-Bedrohungen schützen können. Anlässlich des Europäischen Datenschutztages, gibt der Internet-Security-Experte BullGuard acht Tipps, mit denen Verbraucher sicherer im Internet surfen können und geschützt bleiben.

  • Fünf Schritte für Datensicherheit in der Cloud

    Die Verlagerung von Geschäftsprozessen und Applikationen in die Cloud erfordert eine genaue Planung, damit die Datensicherheit zu jeder Zeit und in jedem Detail gewährleistet ist. NTT Security (Germany), das auf Sicherheit spezialisierte "Security Center of Excellence" der NTT Group, hat die wichtigsten Aktivitäten dabei in fünf Schritten festgehalten. Wenn Unternehmen komplette Geschäftsprozesse in die Cloud verlagern, lassen sich die erwarteten betriebswirtschaftlichen Ziele nur dann erreichen, wenn die Migration von Anfang an durch eine umfassende IT-Security-Strategie abgesichert ist - bei der die Sicherheit der Daten eine entscheidende Rolle spielt. NTT Security konkretisiert die wichtigsten Aktivitäten in fünf Schritten.