Die Entwicklung von Software unter Einhaltung von strengen Sicherheitsstandards stellt Unternehmen vor ein Problem: Eigentlich müsste die Integration von Security von zwei Seiten her erfolgen, durch Standardisierung von unten und durch die frühzeitige Integration der IT-Sicherheit in die Entwicklungsprozesse von oben.
Seitens der Hersteller gibt es zwar eine ganze Reihe von Standardisierungsinitiativen, etwa die Oasis Web Services Security oder die Trusted Computing Group. Derartige Vorhaben sind jedoch nicht mehr als ein Tropfen auf den heißen Stein, um durch sichere Anwendungsentwicklung tatsächlich zu besseren Softwareprodukten zu gelangen. Schaut man dann in die alltägliche Praxis hinein, so ist der Graben noch tiefer. Buffer Overflows sind immer noch das größte Sicherheitsproblem in Software, obwohl jedem Informatiker klar ist, wie man sie vermeidet. Es gibt unzählige Baustellen von Browser- und Kernel-Bugs bis hin zu Problemen in Datenbanken wie der von Oracle.
Einfache Angriffstechniken zeigen die Defizite
So startete im November 2006 die Kampagne „Monat der Kernel-Bugs“ unter Federführung des Metasploit-Projekts, in der Tester unterschiedliche Betriebssysteme genauer unter die Lupe nahmen. Im Laufe des Projekts fand sich jeden Tag auf der Webseite ein neuer Kernel-Bug, der mit Hilfe von „Black-Box-Testing“ aufgezeigt wurde. Sogar mit veralteten Methoden wie „Fuzzing„, dem Füttern von Anwendungen mit automatisch erzeugten und pseudo-zufälligen Eingaben, ließen sich gravierende Fehler in den Betriebssystem-Kernen finden.
Fuzzing bringt natürlich zunächst eher triviale Fehler hervor. Es braucht aber kaum Fantasie, um anschließend den Gütegrad der jeweiligen Anwendungen generell in Frage zu stellen. Offenbar haben viele Softwarehersteller nach wie vor erheblichen Nachholbedarf in der Softwarequalität. „Die Entwicklung sicherer Software als Vision zu formulieren, ist ohnehin problematisch, denn Sicherheit ist ja kein Selbstzweck“, sagt Professor Christoph Meinel, Geschäftsführer am Hasso-Plattner-Institut für Softwaresystemtechnik (HPI) in Potsdam.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…