Die weltweite Pandemie hat zu einem enormen Anstieg der Zahl der Cyberangriffe geführt. 81 % der Unternehmen melden seit dem Ausbruch von Covid-19 Bedrohungen ihrer Netzwerke, so eine Studie von McAfee, einem weltweit tätigen Unternehmen für Cybersicherheit.
Nach schwerwiegenden Vorfällen wie den Cyberangriffen auf SolarWinds und Microsoft Exchange Server unternehmen Regierungen weltweit erste oder weitere Schritte zur Einführung neuer Maßnahmen zur Verbesserung der Cybersicherheit in Unternehmen. Ransomware-Bedrohungen haben sich auf kritische nationale Infrastrukturen ausgewirkt, ein wichtiges Beispiel ist der Angriff auf Colonial Pipelines in den Vereinigten Staaten.
Das Metaversum ist vielleicht die aufregende zukünftige Entwicklung des Internets, die auf dauerhaften, gemeinsam genutzten virtuellen Welten basiert, in denen Menschen als 3D-Avatare interagieren. Ein ähnlicher Wandel steht jedoch bei der Art und Weise, wie die meisten Branchen die Sicherung von Software und digitalen Umgebungen angehen, noch aus.
Die Menschen leben ihr Leben zunehmend online. Wir treffen uns mit Freunden, arbeiten und kaufen im Internet ein. Aber wie schützen wir uns vor Cyber-Kriminellen?
Die Infrastruktur und die Geräte, die diese neuen virtuellen Welten umgeben, müssen sicher gemacht werden. Virtual-Reality-Headsets (VR) sind das neue Tor zu riesigen Bergen von Nutzerdaten. Die Sicherheit komplexer eingebetteter Systeme ist erforderlich, um die Geräte des Internets der Dinge (IoT) sicher zu machen, und die schöne neue Welt der VR und der erweiterten Realität (AR) bildet hier keine Ausnahme. Wie beim Log4Shell-Exploit können sich einfache Fehler auf der Code-Ebene zu einem Backstage-Pass für Cyberkriminelle entwickeln, und in einer simulierten Realität erzeugt jede Bewegung Daten, die gestohlen werden können.
Der Log4j Angriff
Der Cyberangriff auf das Log4j-Protokollierungstool war Berichten zufolge einer der schlimmsten in der Geschichte und wurde mit der verheerenden Heartbleed-OpenSSL-Schwachstelle verglichen, die auch nach über sechs Jahren noch ausgenutzt wird. Die Nachwirkungen von Log4Shell werden wahrscheinlich noch lange Zeit nachwirken. Es ist eine Lektion, dass viele Organisationen einfach nicht schnell genug handeln, um sich zu schützen. Je nach Größe des Unternehmens kann das Patchen unglaublich schwierig und bürokratisch sein und eine abteilungsübergreifende Dokumentation und Implementierung erfordern. Häufig verfügen IT-Abteilungen und Entwickler nicht über ein ausreichendes Wissen über alle verwendeten Bibliotheken, Komponenten und Tools und sind durch strenge Bereitstellungszeitpläne eingeschränkt, um Störungen und Ausfallzeiten von Anwendungen zu minimieren.
Da immer mehr Anwendungen online, in der Cloud oder als Software-as-a-Service (SaaS) bereitgestellt werden, ist es unmöglich zu verfolgen, welche Bibliotheken verwendet werden, es sei denn, sie werden zur Laufzeit aktiv gescannt. Dies ist eine Herausforderung, vor der die meisten Entwickler stehen, wenn sie versuchen, anfällige Open-Source-Komponenten zu identifizieren – sie wissen einfach nicht, was sie nicht wissen!
Der Schwerpunkt muss auf architektonische Sicherheit gelegt werden
Cyberangriffe stellen eine wachsende Bedrohung dar, doch viele Entwickler verfügen nicht über die notwendigen Kenntnisse, um sich vor ihnen zu schützen.
Der jüngste Top-10-Bericht des Open Web Application Security Project (OWASP) enthält wichtige Ergänzungen, darunter Injektionsschwachstellen, die vom ersten auf den dritten Platz zurückgefallen sind. Die neu hinzugekommenen Schwachstellen spiegeln eine neue Etappe auf dem Weg eines Entwicklers zur sicheren Programmierung und zu bewährten Sicherheitspraktiken wider, aber leider sind die meisten nicht in der Lage, das Risiko zu verringern, weil sie nicht entsprechend geschult sind.
Entwickler müssen über umfassende Sicherheitskenntnisse verfügen, um gängige Sicherheitslücken im Code zu bekämpfen. Immer mehr Unternehmen stellen sich dieser Herausforderung mit Hilfe von entwicklergesteuerter Prävention. Trotzdem steht “Insecure Design”, das auch als “fehlendes oder unwirksames Kontrolldesign” bezeichnet wird, in den OWASP Top 10 und ist eher durch architektonische Sicherheitsprobleme als durch einen spezifischen Sicherheitsfehler gekennzeichnet.
Da sich immer mehr Unternehmen mit der entwicklergesteuerten Prävention befassen, ist es für diese Entwickler wichtiger denn je, über das hinauszugehen, was sie in der Schule oder Ausbildung gelernt haben. Es reicht nicht mehr aus, zu wissen, wie man die grundlegendsten Fehler vermeidet: Entwickler müssen in der Lage sein, wie ein Hacker zu denken, um ihnen einen Schritt voraus zu sein.
