IT-Security. Unsere Experten sorgen für Ihre Software-Sicherheit

Als Softwarehaus ist es für uns Ehrensache, Sie beim Ausbau Ihrer IT-Security zu unterstützen.

IT-Security

Die Sicherheitslage im Netz ist ernst. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) legt deshalb Standards fest, wie man der Bedrohung im Netz wirksam entgegentreten kann. Neben staatlichen Einrichtungen, so genannten „Kritischen Infrastrukturen“ (KRITIS), gilt insbesondere für Industrie- und Geschäftssoftware: Safety first, IT-Security duldet kein Laissez-faire.

Wer im Netz sicher agieren will, muss sich vor Cyberkriminalität bestmöglich schützen. Wer dies nicht tut, riskiert die Gefährdung seiner Geschäfts- und Produktionsprozesse und damit hohe Verluste, finanzielle ebenso wie solche in Sachen Vertrauenswürdigkeit.

Besonders dort, wo Wirtschaftsspionage für Kriminelle ein lohnenswertes Unterfangen ist, empfiehlt es sich dringend, in Softwaresicherheit zu investieren. Die Kosten, die das im Projektbudget auslöst, stehen in keinem Verhältnis zu jenen, die ein gelungener Angriff verursachen kann.

Unser Security-Team ist für die digitale Sicherheit zuständig. Als fachkundige Task-Force stellen sie möglichen Sicherheitsrisiken nach, prüfen Auftragssoftware auf ihr Gefährdungspotenzial und leiten im Bedarfsfall entsprechende Gegenmaßnahmen ein. Im Idealfall tritt dieser Bedarf gar nicht erst ein. Falls aber doch, kann ein kurzer, minimalinvasiver Eingriff aber auch der Austausch eines ganzen Softwarebestandteils nötig werden.

Instrumente

Micromata orientiert sich an weltweit verbindlichen Security-Richtlinien und nutzt ein ganzes Arsenal leistungsstarker Instrumente und Verfahrensweisen, um diesen gerecht zu werden -sei es in der Software- und Netzwerksicherheit oder bei der Sensibilisierung der Mitarbeiter. Im Folgenden stellen wir Ihnen eine Auswahl unserer Security-Initiativen und -Maßnahmen vor.

IT-Security Meetup Kassel/Nordhessen

Als erstes Beispiel sei hier das IT-Security Meetup Kassel-Nordhessen genannt, über welches unsere Mitarbeiter im regen Austausch mit anderen Sicherheitsexperten der Region stehen. Mindestens einmal im Monat geben sie sich in unserem Haus ein Stelldichein, um im Rahmen von Workshops und Seminaren ihr Security-Know-how weiter zu vertiefen. Das Programm der Initiative finden Sie hier

Fortbildungen

Wer Verbrechern das Handwerk legen will, tut dies nicht, indem er ihnen hinterherjagt. Er tut es, indem er ihnen voraus ist. Durch ständige Weiterbildung und Qualitätsoptimierung, beispielsweise durch Zertifizierungen, sind wir in diesem Wettlauf mit Cyberkriminellen sehr gut positioniert und arbeitet kontinuierlich daran, den Vorsprung weiter zu vergrößern.

Externe Experten

Dank der Zusammenarbeit mit externen Sicherheitsexperten gelingt es uns, in Sachen IT Security immer auf dem neuesten Stand zu bleiben. Beispielsweise durch die regelmäßigen Sicherheitsaudits des Datenschutz Nord, die unser eigenes Denken in Sachen Security sensibilisieren, uns helfen, Schwachstellen zu identifizieren und, wo nötig, nachzurüsten.

CASED

Seit Frühjahr 2011 ist Micromata Mitglied im Forschungscluster CASED: Center for Advanced Security Research Darmstadt. Informatiker, Ingenieure, Physiker, Juristen und Betriebswirte der TU Darmstadt, des Fraunhofer SIT und der Hochschule Darmstadt erarbeiten hier richtungsweisende IT-Sicherheitslösungen und bringen sie in wirtschaftliche Verwertung.

Ein Beispiel dafür ist die Wahlsoftware POLYAS, die außerordentlich hohen Sicherheitskriterien genügt. Aber auch für Industriesoftware spielt IT-Security eine zunehmend tragende Rolle. Durch die Partnerschaft mit CASED streben wir einen intensiven Austausch zwischen Wissenschaft und Wirtschaft an, um im Bereich IT-Security weiter Vorreiter zu bleiben.

Common Criteria

Die Common Criteria (Industrienorm ISO/IEC 10408) sind ein weltweit gültiger Standard für den Schutz und die Integrität von IT-Produkten. Sie geben die wesentlichen Richtlinien vor, was ein System oder eine Software zu leisten hat, um als sicher und vertrauenswürdig zu gelten.

Micromata kann in diesem Kontext große Kompetenz vorweisen, die u. a. auf die Entwicklung von POLYAS zurückgeht. POLYAS ist das erste Onlinewahlsystem überhaupt, das auf den CC basiert, namentlich auf dem „Schutzprofil für Onlinewahlen“, das vom BSI eigens für den Anwendungsfall internetbasierter Wahlen konzipiert wurde.

Penetration Tests

Penetration Tests sind Sicherheitschecks. Alle Systembestandteile werden dabei auf etwaige Sicherheitsschwächen geprüft, indem man sie aus der Perspektive des Angreifers attackiert. Dabei werden konkrete Schwachstellen im System identifiziert und Gegenmaßnahmen eingeleitet. Um einen guten Anwendungs- bzw. Penetrationstest durchzuführen, lassen wir zunächst einen automatisierten ‚Vulnerability Scan‘ über das System laufen, der zunächst nicht mehr ist als eine erste Empfindlichkeitsprüfung. Anschließend erfolgt die sorgfältige Erarbeitung eines detaillierten Testverfahrens anhand valider und realistischer Angriffsmuster.

Um dabei den menschlichen Risiken der Befangenheit oder der Betriebsblindheit vorzubeugen, ist es entscheidend, die Parametrisierung des Tests nicht den Programmierern der zu prüfenden Software zu überlassen, sondern unbedingt geboten, eine unabhängige Instanz, z. B. in Form eines Security-Teams, einzuschalten.

Open Web Application Security Project (OWASP)

Das OWASP ist eine Non-Profit-Organisation zur Verbesserung der allgemeinen Sicherheit im World Wide Web. Das Netzwerk leistet unschätzbar wertvolle Dienste bei der Identifizierung und Dokumentation von Sicherheitslücken in marktüblichen Technologien, die regelmäßig und frei zugänglich von der Initiative über das Internet veröffentlicht werden.

Darüber hinaus entwickelt die OWASP Community ständig neue Werkzeuge und Methoden zur Schließung bekannter Sicherheitslöcher und stellt auch diese zur freien Verfügung ins Netz. „Wenn wir uns auf der Suche nach undichten Stellen ausschließlich auf uns selbst verlassen, sind wir zum Scheitern verurteilt“, berichtet Matthias Altmann (Softwareentwickler) aus der Security-Praxis bei Micromata. „Denn ebenso wie die Softwaretechnik selbst, entwickeln sich auch die Angriffsmöglichkeiten weiter. Dank der OWASP haben wir nicht nur jederzeit eine Vogelperspektive auf die Lage, sondern auch konkrete Empfehlungen, wie aktuellen Bedrohungsmustern zu begegnen ist.“

 Fazit

Vorsorge ist besser als Nachsehen. Micromata sieht sich in Sachen IT-Sicherheit immer besser aufgestellt. „Da die von uns programmierte Software für unsere Kunden in hohem Maße system- und umsatzrelevant ist, empfehlen wir, bei der IT-Sicherheit keine Kompromisse zu machen“ so Kai Reinhard. „Jeder Euro, der in die Abwehr von Datensabotage oder Wirtschaftsspionage investiert wird amortisiert sich, wenn man so will, ab dem Moment der Liveschaltung. Während jeder gesparte Euro, so wie sich die Cyberkriminalität derzeit entwickelt, sich in potenziertem Ausmaß rächen kann.“

Florian Heinecke

Florian Heinecke