Bei der Implementierung von Software ist es wie beim Hausbau. Ein Fehler in der Konstruktion kann zu immensen Kosten führen. Je später so ein Fehler entdeckt wird, desto schwieriger ist es, diesen zu beseitigen. Das gilt insbesondere auch für die IT-Security, also die Sicherheit von Software. Deshalb ist es unerlässlich, dass entwickelnde Programmierer ein Bewusstsein für mögliche Sicherheitslücken aufbauen und diese schon während der Entwicklung erkennen und beseitigen können.
IT-Security in Theorie & Praxis
Das Risiko potentieller Angriffe auf Webseiten steigt rasant. Die zunehmende Komplexität, welche die Digitalisierung mit sich bringt, führt dazu, dass Software einfacher anzugreifen ist. Denn während Hersteller von Software alle Lücken finden und schließen müssen, braucht ein Angreifer hingegen nur eine einzige zu finden und auszunutzen.
Bei Micromata wird deshalb größter Wert auf das Security-Know-how der Mitarbeiter gelegt. Beim IT-Security Meetup Kassel/Nordhessen etwa, das von Micromata mitbegründet wurde und hier eine ständige Heimat gefunden hat, besteht die Möglichkeit, mit namhaften IT-Experten in Kontakt zu treten, um in Sachen Softwaresicherheit immer auf dem neuesten Stand zu bleiben.
IT-Security von den Besten lernen
Jüngster Gastredner war Christian Schneider, der als ausgewiesener Experte auf diesem Gebiet anerkannt ist und schon mehrfach an der Offenlegung von Java-Sicherheitslücken beteiligt war. In seinem Workshop lernten die Teilnehmer noch einmal im Detail gängige Angriffsvarianten auf Webseiten kennen und wie sie vereitelt werden können. Beispielsweise wurde gezeigt, wie man Datenbanken über Browser angreifen oder Script-Angriffe durchführen kann. Auch komplexe und umfangreiche Angriffsmuster wurden gezeigt – und wie man sie abwehren kann.
Schneider schloss seinen Besuch mit beim IT-Security Meetup mit einem Beitrag über Java-Deserialisierungangriffe. Diese betreffen derzeit viele Java-Anwendungen, die Daten in einer serialisierten Form von außen entgegennehmen. Er zeigte eindrucksvoll, wie man sich dagegen besser schützen kann, indem man die Angriffsfläche minimiert.
Der zweite Redner bei diesem IT-Security Meetup war Ingo Hanke, ein Mitglied des Open Web Application Security Project (OWASP). In seinem Vortrag ging es um die Arbeit dieser Initiative, die es sich zur Aufgabe macht, über Sicherheitslücken in Webanwendungen aufzuklären und Tools zu deren Schließung bereitzustellen. Im Gepäck hatte Hanke eine Liste der aktuell 10 kritischsten Sicherheitsrisiken in Webanwendungen, welche im Sommer diesen des Jahres vermutlich deren Neuauflage nötig machen.
Der Abend schloss schließlich mit einem Beitrag über einen Univention Corporate Server, welcher direkt aus der Community kam und insbesondere für Systemadministratoren von Interesse war.
IT-Security als ständige Aufgabe
Am Ende eines intensiven aber sehr lehrreichen Tages hatten wir alle etwas dazugelernt. Und wir freuen uns schon auf die kommenden Veranstaltung des IT-Security Meetups Kassel/Nordhessen.
Hier ein weiterführender Beitrag zur Micromata-Kernkompetenz IT-Security.
Hier geht’s zur Homepage des IT-Security Meetup Kassel/Nordhessen.
