Zero-Trust-Strategie bei allen eingesetzten Programmen, Treiber und Plug-Ins ist obligatorisch

Zero-Trust-Strategie bei allen eingesetzten Programmen, Treiber und Plug-Ins ist obligatorisch. Eine realitätsnahe Sandbox-Umgebung mit anschließendem Gütesiegel berechtigt zum unternehmensweiten Roll-Out.

Software bestimmt unseren Alltag. Hochkomplexe Anwendungen, nützliche Programme, kleine Tools, Plug-Ins oder Treiber – gefördert durch die Digitalisierung nimmt der Umfang von Software in Unternehmen immer weiter zu. Schon den Überblick zu behalten, welche Software überhaupt alles im Einsatz ist, ist eine echte Herausforderung. Auf der Strecke bleibt oft das Wissen um die tatsächlichen Funktionen und damit auch die Sicherheit.

Selbst einfachste Software führt oft zu Informationsabfluss

Mehr Funktionen, mehr Geschwindigkeit – und das zu einem möglichst überschaubaren Preis – sind die Grundanforderungen an Software. Das Resultat in vielen Fällen: Aufgeblähte Programme, bei denen der Hersteller selbst die Übersicht verloren hat. Oder es fehlen umfassende, prozessübergreifende QS-Verfahren im Sinne von Security By Design.

So finden wir häufig völlig veraltete Komponenten mit gravierenden Verwundbarkeiten in Setup-Routinen, obwohl diese von der Software selbst überhaupt nicht mehr benötigt werden. Oder es werden aus reinen Visualisierungsgründen lokale Webserver installiert, die schlichtweg nicht im Rahmen des Perimeters nach außen abgesichert werden.

Aber auch "Working as intended"-Sicherheitsrisiken sind eingeübte, nachlässige Praxis. Die häufigste Beobachtung: wahlloser Informationsabfluss. Selbst einfachste Software kann, wenn der Hersteller dies möchte, im Hintergrund Datenverbindungen aufbauen, um Informationen einzusammeln. Neben Details von validem Interesse, wie Lizenz- oder Produktinformationen, werden dort aber auch häufig Informationen über die Nutzung der Software ausgetauscht, die weit über das Maß dessen hinausgehen, was interne Datenschutzrichtlinien oder Compliance-Vorgaben zulassen. So konnten wir beispielsweise in einem Druckertreiber nachweisen, dass sämtliche Informationen über den Druckjob (Einstellung, das zu druckende Projekt etc.) bei Nutzung des Treibers unkontrolliert an den Druckerhersteller weitergeleitet wurden. Dies ist ein typischer Fall für einen nicht akzeptablen Compliance-Verstoß.

Einzelfälle? Keineswegs. Bei über 9.000 analysierten Softwareprodukten konnten wir in 65 Prozent der Fälle eine offene Flanke für Cyberattacken feststellen, die ein Risiko für die Sicherheit des Systems, des Unternehmens und der Daten darstellt.

Über das Unternehmen

Die operational services GmbH & Co. KG (OS) ist ein deutscher ICT Service Provider und gilt als Backbone der Digitalisierung deutscher Unternehmen aller Größenklassen. Die OS entwickelt modernste Informationssysteme, sichert den langfristigen Systemsupport und die Verfügbarkeit kritischer Betriebsprozesse, insbesondere auch für regulierte Kunden (Public, Health, Financial Services, KRITIS).

Erfahren Sie hier mehr dazu.

Analyse verhindert unbewusste Risiken

Die Lösung fängt im Kopf an: Es braucht eine Zero-Trust-Haltung und -Prozesse, die jedes Unternehmen bereits im eigenen Netzwerk pflegt und die auch für eingesetzte Programme jeglichen Typs gelten. Ein gesundes Misstrauen gepaart mit dem Einsatz automatisierter, systematischer Tools ist die Grundlage für Cyber-Sicherheit. Diese Haltung gilt gleichermaßen gegenüber Open-Source-Software von Hobbyentwicklern sowie in Bezug auf integrierte Lösungen globaler Tech-Giganten.

Eine realitätsnahe Sandbox-Umgebung mit Überwachung aller Kommunikationswege und Analyse der Aktionen der Software während Installation und Nutzung bringt vorhandene Probleme schonungslos ans Licht. Fehler bei der Entwicklung oder unerwünschtes Verhalten kann so frühzeitig entdeckt und das Sicherheitsrisiko bei Einsatz der Software abgewogen werden.

Das Ergebnis: Die Software, die eingesetzt werden soll, bekommt ein Compliance-konformes Gütesiegel. Erst nach erfolgreichem Durchlauf des Sandbox-Verfahrens dürfen die originäre Software und spätere Updates intern veröffentlicht werden – an PC-Arbeitsplätzen, Druckern oder anderen Endgeräten.

Übrigens: Unerwünschtes Verhalten von Software lässt sich häufig ohne großen Aufwand selbst korrigieren – und zwar durch das Blockieren bestimmter Verbindungen oder das Abschalten von Funktionen. Es gibt viele Möglichkeiten, eine Software wieder sicher einsetzen zu können – auch das Auswechseln des Codes in Abstimmung mit dem Hersteller ist eine Option.

Aus unseren langjährigen Projektstudien wissen wir, dass in circa 94 Prozent aller Fälle das Software-inhärente Sicherheitsrisiko deutlich reduziert werden kann, ohne die Software in ihren grundlegenden Funktionen einzuschränken. Das ist ein vielversprechender Wert, den wir durch intensives Testen, angewandte Kreativität und durch unsere Knowledge Database erreichen.

Zero-Trust im Softwareeinsatz lohnt sich. Denn nur wer seine Risiken und Schwachstellen kennt, kann sich effektiv schützen. Wir nennen das: Software Security Testing.

Über den Autor

Marcel Hoch ist Teamleiter bei der operational services GmbH & Co. KG (Backbone of Digitization) für die Themen Software Security Testing, Penetration Testing und Security Operation Center. Er ist seit sieben Jahren bei großen Konzernen in verschiedenen Security-Bereichen tätig und hat sich von Anfang an intensiv mit Software, ihren Schwachstellen und den Analysemöglichkeiten beschäftigt.

Sie möchten gerne weiterlesen?

Registrieren Sie sich jetzt kostenlos:

Bleiben Sie stets zu allen wichtigen Themen und Trends informiert.
Das Passwort muss mindestens acht Zeichen lang sein.

Mit der Registrierung akzeptiere ich die Nutzungsbedingungen der Portale im Industrie-Medien-Netzwerks. Die Datenschutzerklärung habe ich zur Kenntnis genommen.

Sie sind bereits registriert?

Dieser Beitrag wird präsentiert von: