Security

E-Commerce-Security: Nicht nur ein Thema für die Technik

Eine Forsa-Umfrage [1] zeigt: Über 70 Prozent der Unternehmen sehen sich nicht durch Cyberkriminelle gefährdet. Gerade das E-Commerce-Umfeld ist für Kriminelle jedoch besonders interessant – und damit einem hohen Risiko ausgesetzt. Aber wie erkennen Betreiber Handlungsbedarf, wie stellen sie sich am besten auf – und wieso ist IT-Security nicht nur ein technisches, sondern auch ein betriebswirtschaftliches Thema?

Sicherheit im Lifecycle mit DevSecOps: Einblicke für alle IT-Disziplinen durch umfassendes Monitoring

Während das Zusammenspiel von Development und Operations dank wachsender Erfahrungswerte immer runder läuft, meldet sich eine weitere wichtige IT-Disziplin zu Wort: Mitarbeiter, die für die Sicherheit einer Infrastruktur verantwortlich sind, wollen ebenfalls stärker in die holistische Betrachtung von technologischen Ökosystemen eingebunden werden. Mit DevSecOps setzt sich eine Denk- und Arbeitsweise durch, bei der die Sicherheit von IT-Infrastrukturen vom ersten Tag an über den gesamten Softwarelebenszyklus hinweg mitgedacht wird. Grundlegende Voraussetzung für ein wirkungsvolles Ineinandergreifen aller drei Disziplinen ist ein einheitlicher Blick auf zentrale Kennzahlen und alle sicherheitsrelevanten Signale.

IT Security 2021: „Das Thema Infrastruktursicherheit erlebt einen Paradigmenwechsel“

Im IT Security Camp vermittelt Christian Schneider aktuelle Techniken zur Absicherung von Software-Systemen. In einem 3tägigen Praxis-Workshop werden Angriff und Verteidigung auf Anwendungen live geübt und etliche Aspekte der IT-Security behandelt. Wir haben uns vorab mit ihm über aktuelle Security-Trends unterhalten – von der Cloud über DevSecOps bis hin zum Datenschutzproblem von WhatsApp.

Kundendaten in Gefahr: Checkmarx dokumentiert kritische Schwachstellen in Apache Unomi

Die Open-Source-Lösung Apache Unomi gilt unter vielen Webexperten als hervorragende Kundendatenplattform: Die Lösung ist hochskalierbar, bietet ein breites Featureset und punktet gerade in der EU mit ihrem vorbildlichen Privacy Management. Mit Blick auf die Popularität der Plattform nahm das Checkmarx Security Research Team jüngst den Code von Unomi unter die Lupe – und identifizierte gleich zwei kritische Sicherheitslücken. Dr. Jürgen Eitle, Solution Expert bei Checkmarx, erklärt, um welche Schwachstellen es sich handelte und wie sie im Zusammenspiel mit Apache behoben wurden.

Java 16 & die Zukunft der Produktion – Unsere Top-Themen der Woche

Es war mal wieder soweit: Das halbjährliche Release von Java stand letzte Woche auf dem Plan – und wie immer hat die Community geliefert. Sämtliche Änderungen und neue Features hat sich, ebenfalls wie immer, Falk Sippach angeschaut. Letzte Woche war außerdem die Zukunft der Produktion (mit AWS) im Fokus der Aufmerksamkeit und wir suchten nach einer Antwort auf die Frage, wie IT-Recruiter Fachpersonal finden und halten können.

Hackerangriffe nehmen zu: Ist Open Source eine Lösung?

In einem Bericht zur IT-Sicherheit in Deutschland hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Ende 2020 alarmierende Zahlen veröffentlicht: Jeden Tag werden rund 320.000 Varianten von Schadprogrammen in Umlauf gebracht. Diese Zunahme an Cyberkriminalität betrifft jedoch nicht nur die Bundesrepublik, sondern ist ein weltweites Problem. Die Hacker lassen sich dabei immer raffiniertere Methoden einfallen, um an den herkömmlichen Sicherheitsvorkehrungen vorbeizukommen. Ein wichtiges Mittel, um diesen Kriminellen das Leben schwer zu machen wird aber noch oft vernachlässigt: Open Source.

Mehr Sicherheit im Cloud-Zeitalter: Warum Cloud-native Anwendungen auch ein Cloud-natives Sicherheitskonzept brauchen

Die Zukunft gehört der Cloud, so viel ist sicher: Die Vorteile liegen auf der Hand und sind Thema in allen möglichen technischen und nicht-technischen Publikationen. Ein Aspekt, der dabei allerdings öfter ausgeblendet zu werden scheint, ist die Sicherheit. Cloud-native Lösungen sind schön und gut, bergen aber Risiken. Welche das sind und wie man ihnen begegnet, erklärt Liran Tal in diesem Artikel.

Sicherheit im Octoverse: DevSecOps mit GitHub

Die Welt der Softwareentwicklung ist schnelllebig und wird immer mehr geprägt von Open-Source-Software. Was einerseits ein Segen für die Entwicklerwelt ist, ist andererseits aber auch mit Risiken behaftet: Die Sicherheit zu gewährleisten, ist ein Knochenjob. Helfen kann dabei, wenn man die Prinzipien und Prozesse von DevSecOps verinnerlicht. Wie GitHub dabei als unterstützende Kraft genutzt werden kann, das erklärt Justin Hutchings, Staff Product Manager bei GitHub, in diesem Artikel.

Block Cipher erklärt: Symmetrische Verschlüsselung in Ruby

Neben Stream Ciphern [1], [2] bietet die Standard-Library von Ruby auch Block Cipher, um symmetrische Verschlüsselung betreiben zu können. Allen voran wird natürlich auch der am weitesten verbreitete Block Cipher, AES [3], unterstützt. Zwar ist der Erfolg von AES nach knapp 20 Jahren ungebrochen und es gibt keinerlei Anzeichen, dass sich das in näherer Zukunft ändern könnte, doch bedeutet das Verschlüsseln mit AES nicht automatisch Sicherheit. Es kommt ganz darauf an, wie man mit AES verschlüsselt. Im Gegensatz zu Stream Ciphern bieten Block Cipher verschiedene Betriebsmodi an, die sich hinsichtlich ihrer Sicherheit teilweise gehörig unterscheiden.

Schutzmechanismen gegen Java-Deserialisierungs-Exploits: Deserialisierungsschwachstellen im Java-Programmcode

In diesem Teil unserer Artikelserie zu Deserialisierungsschwachstellen in Java sehen wir uns an, welche Schutzmechanismen existieren, um erste Maßnahmen vor dem Eintreffen eines geeigneten Patches zu treffen. Letztlich geht es um die Frage, wie man das Erstellen von Gadget Chains verhindern oder gleich ganz auf das Serialisierungs-API verzichten kann.

6 Schritte zur Daten-Demokratisierung: Für stärkere Unternehmen und höhere Werte

Unternehmen verfügen heute über eine Fülle wertvoller Daten – und sollten eigentlich glücklich darüber sein. Die Daten ermöglichen eine höhere Intelligenz, um Entscheidungen zu treffen, und schaffen neue Einnahmequellen. Ob es darum geht, Kundenbindungsprogramme zu verbessern, Analysen zum besseren Verständnis des Verbraucher- und Unternehmensverhaltens zu verwenden oder neue Produkte und Services auf Basis von Erkenntnissen zu entwickeln – oder einfach nur schneller innovativ zu sein: Daten sind lebenswichtig und unterstützen Unternehmen dabei, neue Möglichkeiten zu erschließen. Damit Organisationen neue Wert realisieren können, müssen die relevantesten Daten allen Anwendern zur Verfügung gestellt werden. Nur so lassen sich die Daten entsprechend nutzen.

Cybercrime as a Service, Yarn & Women in Tech – Unsere Top-Themen der Woche

Letzte Woche fiel in fast ganz Deutschland Schnee. Gefühlt das erste Mal seit Jahren. Und ein eindeutiger Hinweis, dass wir uns mit großen Schritten den Winterferien und Weihnachten nähern. Und während wir dieses Jahr ob der Pandemie wohl eher weniger Angst vor Taschendieben in vollkommen überfüllten Einkaufszentren haben müssen, ist die Kriminalitätsrate online ungebrochen hoch. Mittlerweile kann man sich sogar ganze Söldnerteams engagieren. Dies und mehr in unseren Highlights der letzten Woche.

Cybercrime as a Service: Wie Söldnergruppen Geschäfte machen

Seit Jahren wird Malware wie ein wirtschaftliches Gut angeboten. Und dieser Trend setzt sich fort: Die Hacker-Industrie bietet verstärkt nicht nur Tools an, sondern auch Gesamtpakete von Dienstleistungen. Eine Nachfrage ist gegeben, denn Advanced Persistent Threats (APTs) sind nicht einfach zu entwerfen, ermöglichen aber gezielte und profitable Angriffe. Die Opfer brauchen daher professionelle Hilfe.

Passwortlos – aber richtig: 7 Fehler, die es zu vermeiden gilt

Die Zukunft ist passwortlos – dafür spricht die Entwicklung am Markt. Immer bessere digitale Identitäten sowie verfügbare Biometrie-Technologie erleichtern den sicheren Zugriff auf Onlinedienste ohne den Bedarf von kryptischen Zeichenfolgen. Doch auf dem Weg zu einer passwortlosen Infrastruktur gibt es einige Fallstricke. Al Lakhani, Gründer und Geschäftsführer der Münchner IDEE GmbH, zeigt, was es zu vermeiden gilt.