Softwaresicherheit - Individuelle Cyber-Security für Ihre Unternehmenssoftware

 
 
 

Benötigen Sie ein Angebot oder möchten Sie ein Kennenlerngespräch vereinbaren?




+49 561 473 953 30

This email address is being protected from spambots. You need JavaScript enabled to view it.

Wir erstellen individuelle Sicherheitskonzepte zur Gewährleistung der Softwaresicherheit in Ihrem Unternehmen


Mit Softwaresicherheit ist gemeint, die Integrität und Verfügbarkeit von Informationsressourcen zu wahren, um einen erfolgreichen Geschäftsbetrieb zu ermöglichen. Dieses Ziel wird durch die Umsetzung von Sicherheitskontrollen erreicht - um das Unternehmen vor Risiken zu schützen, die sich in der Nutzung von Software ergeben.

 

Software-Sicherheitsfehler können sich in jedem Stadium des Software-Entwicklungslebenszyklus einschleichen. Mögliche Ursachen für Sicherheitslücken sind u.a.:
  • Fehlende vorherige Identifizierung der Sicherheitsanforderungen
  • Erstellung eines konzeptionellen Designs mit Logikfehlern
  • Verwendung schlechter Programmiermethoden, die technische Verwundbarkeiten eröffnen
  • Falsche Softwareinstallation
  • Fehler, die während der Wartung oder Aktualisierung von Softwarekomponenten entstehen
Fehlende Sicherheitsmaßnahmen können folgende Bereiche des Systems gefährden:
  • Die Software selbst und dessen Informationen
  • Die Betriebssysteme der entsprechenden Server
  • Die Backend-Datenbank
  • Andere Anwendungen in einer geteilten Umgebung
  • Das Anwendersystem
  • Andere Software mit welcher der Nutzer interagiert

 

Die untenstehende Abbildung zeigt einen erfolgreichen Angriff in einem Flussdiagramm in 6 Schritten.

 

1.

Hacker

Grafik Angriffswellen zum Thema loesungen für Softwaresicherheit

Die Threat Agents (Hacker) starten eine Reihe von Angriffswellen (d.h. Methoden, durch die ein Zugriff zum System erlangt wird).

2.

Angriffe

Angriff
  • Webseiten
  • Viren
  • E-Mail Anhänge
  • Datenbanken
  • Sofortnachrichten

Die Angriffe können z.B. mittels Webseiten, Viren, E-Mail Anhängen oder Sofortnachrichten durchgeführt werden

3.

Sicherheits-schwachstellen

Schwachstelle
  • Schwache Indetitätsprüfung
  • Fehlende Verschlüsselung
  • Geteilte Benutzerkonten
  • Fehlende Datenvalidierung

Einer der Angriffe ist in der Lage eine Sicherheitsschwachstelle zu finden (z.B. schwache Authentifizierung, fehlende Verschlüsselung, fehlende Datenüberprüfung, geteilte Konten).

4.

Sicherheits-kontrollen

Kontrolle

Kontrollen:

  • Physisch
  • Verfahrensmäßig
  • Technisch
  • Rechtlich/Regulatorisch

Es gibt einen Ausfall in einer der Sicherheitskontrollen (Physisch, Technisch, Rechtlich/Regulatorisch), welche ansonsten den Angriff stoppen würde.

5.

Technische Auswirkung

Funktion

Verlust von:

  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit
  • Verantwortlichkeit

Der Angriff hat eine technische Auswirkung, wie z.B. den Verlust von einem der Folgenden: Vertraulichkeit, Integrität, Verfügbarkeit oder Verantwortlichkeit.

6.

Unternehmens-auswirkung

Auswirkung
  • Finanzieller Schaden
  • Non Compliance
  • Verletzung der Privatsphäre
  • Schaden am Unternehmensruf

Letztlich hat der Angriff eine Unternehmensauswirkung, wie z.B. Finanzieller Schaden, Non-Compliance, Verletzung der Privatsphäre oder Schaden am Organisationsruf.

 

Grafik Beispiel zum Thema loesungen für Softwaresicherheit und Cyber Security

 

Ihr Weg zur sicheren Software


Der Ansatz der Softwareentwicklung von Pumox berücksichtigt in jedem Schritt die Integration von Sicherheitsmaßnahmen. Unser Entwicklerteam nutzt einen ganzheitlichen Ansatz für die Gestaltung, Implementierung und Optimierung der Softwareentwicklung, die die Einbettung der Softwaresicherheit beinhaltet, um bessere und sicherere Unternehmensanwendungen zu schaffen.

 

  • Anforderungen
  • Konzept
  • Entwicklung
  • Integration
  • Tests
  • Produktivsetzung
  • Wartung

Sind Sie an einem individuellen Sicherheitskonzept für Ihre Softwarelösung interessiert? Fordern Sie hier ein unverbindliches Angebot an!


Wie können wir Ihnen weiterhelfen?

Welche Leistung interessiert Sie?

Wir kennen die Sicherheitsrisiken bei der Softwareentwicklung und wissen wie Ihre Softwarelösung schützen können - Das sind die TOP 10 der Schwachstellen nach OWASP


Das Open Web Application Security Project (OWASP) ist ein Open-Source Anwendungs-Sicherheitsprojekt. Das OWASP arbeitet an der Erstellung frei zugänglicher Artikel, Methoden, Dokumentationen, Werkzeugen und Technologien für Web-Sicherheit.

 

1.

Anfälligkeit für Injektionen


Der Threat Agent kann eine kleine Menge an Code injizieren, um eine Anwendung zur Durchführung von unkontrollierten Aufgaben zu implementieren. Der häufigste (und bekannteste) Injektionsangriff ist eine SQL-Injection, bei der ein Angreifer eine SQL-Anweisung in eine Applikation einfügt, um beispielsweise den Datenbankinhalt beim Angreifer abzuspeichern.

2.

Fehlerhaftes Authentifizierungs- und Session-Management


Sie kennen die Benutzeranmeldeinformationen von Personen, die auf Ihre Systeme zugreifen, aber wissen Sie, wer tatsächlich hinter der Tastatur steht? Hacker können Benutzeridentitäten stehlen und sich hinter einer echten Benutzer-ID verstecken, um einen einfachen Zugriff auf Ihre Daten und Programme zu erhalten. Starke Authentifizierungs- und Sitzungsmanagement-Steuerelemente müssen implementiert werden und es ist sicherzustellen, dass Ihre Benutzer sind, wer sie vorgeben, zu sein.

3.

Cross-Site Scripting (XSS)


XSS-Sicherheitslücken treten immer dann auf, wenn eine Anwendung nicht vertrauenswürdige Daten übernimmt und sie ohne ordnungsgemäße Validierung oder Verlassen an einen Webbrowser sendet. XSS ermöglicht es Angreifern, Skripte im Browser des Opfers auszuführen, die Benutzersitzungen abgreifen, Webseiten unleserlich machen oder den Benutzer auf bösartige Seiten weiterleiten können.

4.

Unsichere Direct Object Referenzen


Die meisten Webseiten speichern Benutzerdatensätze, die auf einem Schlüsselwert basieren, den der Benutzer kontrolliert (wie einen Benutzernamen oder eine E-Mail-Adresse). Wenn ein Benutzer seinen Schlüssel eingibt, ruft das System die entsprechenden Informationen ab und stellt es dem Benutzer zur Verfügung. Eine unsichere Direct Object Referenz tritt auf, wenn ein Berechtigungssystem einen Benutzer nicht daran hindert, Zugriff auf die Informationen eines anderen Benutzers zu erhalten.

5.

Fehlkonfiguration der Sicherheitsmaßnahmen


Das resultiert aus jeder Nichteinhaltung der "Best Practices" für Web-Anwendungssicherheit. Gute Sicherheit erfordert eine sichere Konfiguration, die für die Anwendung, Frameworks, Anwendungsserver, Webserver, Datenbankserver und Plattform definiert und implementiert ist.

6.

Aufdeckung Sensibler Daten


Viele Webanwendungen schützen vertrauliche Daten wie Kreditkarten, Steuer-IDs und Authentifizierungsanmeldeinformationen nicht ausreichend. Angreifer können solche schwach geschützten Daten stehlen oder ändern, um Kreditkartenbetrug, Identitätsdiebstahl oder andere Verbrechen auszuüben.

7.

Fehlender Funktionsebenen-Zugriff


Die meisten Webanwendungen überprüfen die Zugriffsrechte auf Funktionsebene, bevor diese Funktionalität in der Benutzeroberfläche sichtbar wird. Anwendungen müssen die gleichen Zugriffskontrollen auf dem Server ausführen, wenn auf jede Funktion zugegriffen wird. Wenn Anfragen nicht überprüft werden, können die Angreifer in der Lage sein, Anfragen zu fälschen, um auf die Funktionalität ohne ordnungsgemäße Berechtigung zuzugreifen.

8.

Gefälschte Cross-Site Anfragen – Cross Site Request Folgery (CSRF)


Ein CSRF-Angriff beinhaltet das Senden einer Anfrage an eine anfällige Webanwendung mit den Berechtigungsnachweisen eines vertrauenswürdigen Benutzers. Obwohl ein nicht vertrauenswürdiger Dritter die Anfrage generiert, benutzt der Angreifer den Browser des Opfers, um die Glaubwürdigkeit des Opfers auszunutzen. Ein CSRF-Angriff nutzt die Authentifizierung eines vertrauenswürdigen Benutzers aus, um ein System zur Ausführung einer bösartigen Aktion zu bringen.

9.

Verwendung von Komponenten mit Unbekannten Schwachstellen


Komponenten wie Bibliotheken, Frameworks und andere Softwaremodule laufen fast immer mit vollen Berechtigungen. Wenn eine anfällige Komponente ausgenutzt wird, kann ein solcher Angriff einen ernsthaften Datenverlust oder eine Serverübernahme ermöglichen. Anwendungen, die Komponenten mit bekannten Schwachstellen verwenden, können die Softwaresicherheit beeinträchtigen und eine Reihe möglicher Angriffe und Auswirkungen ermöglichen.

10.

Nicht überprüfte Umleitungen und Weiterleitungen


Wenn eine Webanwendung eine ungeprüfte Eingabe akzeptiert, die URL-Umleitungen beeinflusst, können Dritte Benutzer auf bösartige Webseiten umleiten. Darüber hinaus können Hacker die automatischen Weiterleitungsroutinen ändern, um Zugang zu sensiblen Informationen zu erhalten.

Sind Sie an einer sicheren individuellen Softwareentwicklung interessiert? Wir rufen Sie gerne zurück!