Security by Design. IT-Sicherheit ist erfolgskritisch

Die Komplexität digitaler Systeme steigt rasant, so dass Unternehmen sich einer zunehmenden Fülle von Bedrohungen aus dem Netz gegenüber sehen. Insbesondere Industrie- und Geschäftssoftware ist ein beliebtes Ziel von Cyberkriminellen.

IT-Sicherheit

Wer im Netz sicher agieren will, sollte sich deshalb vor Angriffen aus dem digitalen Raum bestmöglich schützen. Besonders dort, wo Wirtschaftsspionage ein lohnenswertes Unterfangen ist, empfiehlt es sich, in Softwaresicherheit zu investieren. Die Kosten, die dies im Projektbudget verursacht, stehen in keinem Verhältnis zu jenen, die ein gelungener Angriff verursachen kann. Wir helfen Ihnen gerne, Ihre Software bestmöglich vor den Gefahren im Netz zu schützen. Mit den Mitteln einer professionellen IT-Security.

IT-Security von Anfang an

Wir empfehlen einen ganzheitlichen Ansatz in Sachen IT-Security. Von der Anforderungsanalyse über das Design bis hin zu Implementierung und Testing sollten alle Realisierungsschritte security-sensibel umgesetzt werden. Nur eine Software, die sicherheitsrelevante Faktoren von Anfang an konsequent berücksichtigt, kann am Ende als maximal sicher gelten.

Auf welchen Gebieten operiert unsere IT-Security?

Softwareentwicklung

Programmiersprache: Die Qualität eines Produktes beginnt beim Material. Im Falle von Software ist dies die Programmiersprache: Was kann sie? Wie robust ist sie? Enthält sie Schwachstellen oder ist sie fähig, die vielfältigen Angriffe aus dem Netz zu parieren? Programmiersprachen wie Java sind beispielsweise so strukturiert, dass bestimmte Einfallstore für Schadcode gar nicht erst entstehen und folglich auch nicht aufwendig geschlossen werden müssen.

Architekturprinzipien: Auch der Bauplan einer Software hat Auswirkungen auf die IT-Security. Das betrifft beispielsweise Faktoren wie Transparenz, Konsistenz und Skalierbarkeit. All dies sind wichtige Aspekte, um eine Anwendung zukunftsfähig zu machen und ihre Lebensdauer auch hinsichtlich IT-Sicherheit maßgeblich zu steigern.

Sicherer Code: Bestimmte Sicherheitsmechanismen beim Coding sind Pflicht. Das betrifft insbesondere neuralgische Punkte wie Eingabefelder und Datenübertragungswege – beliebte Angriffsflächen für Cyberkriminelle. Unsere Softwareentwickler können ihren Code so formulieren, dass Angriffsszenarien wie Phishing oder Cross-Site Scripting mit hoher Wahrscheinlichkeit gar nicht erst erfolgreich sind.

Datenbanksicherheit: Datenbanken müssen vor unbefugtem Zugriff geschützt werden, damit die Vertraulichkeit, Verfügbarkeit und Integrität der gespeicherten Daten unversehrt bleibt. Zweckdienliche und gängige Praxis bei Micromata sind z. B. Zugriffskontrollen, Authentifizierung, Verschlüsselung, Konsistenzkontrollen und Datensicherung.

Incident Management: Ein professionelles Incident Management ist security-relevant. Gemeint ist damit das Identifizieren, Managen, Dokumentieren und Analysieren möglicher Bedrohungen. Ziel ist eine valide, umfassende und aktuelle Sicht auf alle sicherheitsrelevanten Fragen und Herausforderungen im Bezug auf die gesamte IT-Infrastruktur.

Penetrationstests

Penetrationstests sind Sicherheitschecks aus der Perspektive des Angreifers. Dabei werden mithilfe vordefinierter Testszenarien konkrete Schwachstellen identifiziert. Um einen guten Anwendungs- bzw. Penetrationstest durchzuführen, lassen wir einen automatisierten Vulnerability Scan über das System laufen, der zunächst nicht mehr ist als eine erste Empfindlichkeitsprüfung. Anschließend erfolgt die sorgfältige Erarbeitung eines detaillierten Testverfahrens anhand valider und realistischer Angriffsmuster.

Code Reviews: Ein weiteres probates Mittel zur Prüfung der Codesicherheit sind so genannte Code Reviews, die schon während des Entwicklungsprozesses durchgeführt werden. Wir praktizieren sie in Form von Pair Programming (Zwei-Augen-Prinzip), als Walkthrough oder als Inspektion.

Systemadministration

Netzwerksicherheit: Ohne Netzwerksicherheit keine IT-Security. Unsere Systemadministratoren sorgen dafür, dass eine hohe Netzwerksicherheit gegeben ist und haben langjährige Erfahrung im Umgang mit heterogenen IT-Landschaften und komplexen Infrastrukturen.

Hosting: Wir geben Ihrer Software ein sicheres Zuhause – in einem Hochsicherheitsrechenzentrum. Außerdem administrieren wir sie selbst, so dass sensible Daten nicht in die Hände Dritter geraten können.

Datenschutz

Datenschutz-Grundverordnung (EU-DSGVO): Die Datenschutzgrundverordnung der EU verpflichtet Unternehmen ab Mai 2018 dazu, Speicherung und Übertragung personenbezogener Daten nach einheitlichen neu definierten Regeln zu praktizieren. Um diesen gerecht zu werden, arbeiten wir eng mit unseren Kunden und mit Datenschutz Nord zusammen.

Datenschutzbeauftragter: Datenschutz Nord übernimmt in unserem Auftrag auch die Funktion eines Datenschutzbeauftragten für unser Haus. Damit stellen wir sicher, dass unsere Maßnahmen zum Datenschutz gleichermaßen effektiv und rechtskonform sind.

Know-how-Transfer

Wie bei Micromata ganz allgemein üblich, leben wir auch in Sachen IT-Security einen lebhaften internen sowie externen Know-how-Transfer.

IT-Security-Team: Unser IT-Security-Team macht es sich zur Aufgabe, sämtliche IT-Security-Themen bei Micromata zu betreuen, zu prüfen und weiterzuentwickeln. Sie sind Anlaufstelle und Begleiter zu allen sicherheitsrelevanten Fragen in allen security-sensiblen Bereichen.

Schulungen: Wissen schafft IT-Sicherheit. Am besten begegnen wir den Absichten von Cyberkriminellen, indem wir nicht nur mit ihnen Schritt halten, sondern ihnen wo möglich eine Nasenlänge voraus sind. Kontinuierliches Lernen, regelmäßige Schulungen und Workshops sind dafür unerlässlich und Teil unserer IT-Security-Strategie.

Interne Plattformen: Wissen potenziert sich, wenn man es teilt. Getreu diesem Micromata-Grundsatz teilen wir auch unser IT-Security-Wissen untereinander. Neben dem alltäglichen Austausch nutzen wir dafür verschiedene interne Plattformen, um jeden Softwareentwickler bei Micromata zum Thema IT-Security zu informieren und zu sensibilisieren. Darunter der wöchentliche Security-Kreis sowie regelmäßige ISMS- und Pentester-Meetings.

IT-Security Meetup Kassel: Micromata ist Mitbegründer und Gastgeber des IT-Security Meetups Kassel und treibt damit aktiv die Aufklärung zum Thema IT-Sicherheit voran. Die Vorträge und Workshops des Meetups richten sich teils an Fortgeschrittene, teils an interessierte Einsteiger und leisten sowohl einen wichtigen Beitrag zur Professionalisierung von IT-Sicherheitsfachleuten als auch zur Wissensvermittlung an Nutzer, die sich mündig im Netz bewegen möchten.

TECH TALKS: Auch in den regelmäßigen TECH TALKS von Micromata ist IT-Security immer wieder Thema. Empfehlen können wir an dieser Stelle etwa die TECH TALKS Basic Web Security oder Einführung in die Kryptoanalyse.

Fazit

Vorsorge ist besser als Nachsehen. Micromata sieht sich in Sachen IT-Security immer besser aufgestellt. „Da die von uns programmierte Software für unsere Kunden in hohem Maße system- und umsatzrelevant ist, empfehlen wir, bei der IT-Sicherheit keine Kompromisse zu machen“ so Kai Reinhard. „Jeder Euro, der in die Abwehr von Datensabotage oder Wirtschaftsspionage investiert wird amortisiert sich, wenn man so will, ab dem Moment der Liveschaltung. Während jeder gesparte Euro, so wie sich die Cyberkriminalität derzeit entwickelt, sehr teure Folgen haben kann.“

(jw)

Veröffentlicht am