Die Veränderung, die wir in den AppSec Badlands brauchen: Meine Prognosen für 2019
2018 war ein Mammutjahr für Cybersicherheitsexperten. Trotz der Warnungen, Sicherheit ernster zu nehmen, der ständigen Presse über die Förderung von mehr Talenten in der Sicherheitsbranche und den allgemeinen Versuchen, Organisationen cyberbewusster zu machen, müssen wir auf die rauchenden Krater starren, die Hunderte von Cyberangriffen hinterlassen haben, die für groß angelegte Datenverletzungen und das Misstrauen der Verbraucher gegenüber einigen sehr bekannten Haushaltsnamen stehen. Allein in der ersten Hälfte des Jahres 2018 wurden 4,5 Milliarden Datensätze in 945 separaten Vorfällen kompromittiert.
Ich habe es schon viele Male gesagt: Wir können es besser machen. Der eigentliche Kampf, dem wir uns stellen müssen, ist jedoch nicht gegen Skript-Kiddies, gefährliche organisierte Cybercrime-Syndikate oder mysteriöse Gestalten in Kapuzenpullis, die auf Laptops herumtippen - der Kampf besteht darin, mehr Menschen dafür zu sensibilisieren, dass diese Sicherheitsverletzungen überhaupt passieren.
Die Einhaltung der GDPR ist ein guter Anfang, wird aber kurzfristig keinen großen Effekt haben.
Die Datenschutzgrundverordnung (GDPR) der Europäischen Union ist nun in vollem Gange; eine drohende Gefahr für Unternehmen, die den Datenschutz nicht ernst nehmen. Mit enormen Geldstrafen für diejenigen, die nicht konform sind, sollte dies ein Tritt in den Hintern für Unternehmen sein, um ihre Sicherheitspraktiken zu verschärfen, Kundendaten mit mehr Respekt zu behandeln und eine Strategie zur Abschwächung von Cyberangriffen zu entwickeln.
Einige Unternehmen wurden bereits vor hohen Geldstrafen gewarnt, aber wir müssen noch die wahren Folgen der Nichteinhaltung der DSGVO sehen. Keine ruinösen Strafen, nur eine ganze Menge Pop-ups, durch die wir Webnutzer klicken müssen. Das liegt zum Teil daran, dass juristische Prozesse viel Zeit in Anspruch nehmen und es viele Möglichkeiten gibt, in Berufung zu gehen - alle Unternehmen, an denen ein Exempel statuiert wurde, sind wahrscheinlich in einen monate- oder jahrelangen Rechtsstreit verwickelt. Zum Abschluss eines Albtraumjahres für Facebook wurde kürzlich eine weitere Datenpanne bekannt: ein API-Bug, der die privaten Fotos von 6,8 Millionen Nutzern 1500 nicht autorisierten Anwendungen zugänglich machte. Er wurde innerhalb von zwei Wochen gefunden und gepatcht, doch Datenschutzbehörden und die Öffentlichkeit wurden erst Monate später auf den Verstoß aufmerksam gemacht. Die GDPR-Gesetze verlangen eine Benachrichtigung über einen Verstoß innerhalb von 72 Stunden, daher wirft dies eine Menge Fragen darüber auf, wie einflussreich und effektiv diese Gesetze derzeit wirklich sind.
Und natürlich haben die Sicherheitsverletzungen auch anderswo nicht aufgehört: Der Einbruch bei Marriott im November hat gezeigt, dass satte 500 Millionen Datensätze kompromittiert wurden und, was vielleicht noch beunruhigender ist, dass die Angreifer vier Jahre lang Zugriff auf die Systeme hatten, bevor sie entdeckt wurden. Es sollte jedoch angemerkt werden, dass Marriott anscheinend Schadensbegrenzung betreibt: Sie haben den Opfern ein kostenloses 12-monatiges Abonnement für WebWatcher angeboten, ein Tool zur Kreditüberwachung... aber bei 500 Millionen Datensätzen, die die Hacker durchforsten konnten, bleibt abzuwarten, ob ein Jahr für die meisten genug Zeit ist, um irgendetwas Sinnvolles zu überwachen; schließlich kann es einige Jahre dauern, bis Ihre Daten für eine skrupellose Nutzung aufgedeckt werden.
Langfristig werden Vorschriften wie GDPR positive Veränderungen bewirken, wenn sie durchgesetzt werden. Wenn Unternehmen mit einer signifikanten finanziellen Strafe (oder sogar Sammelklagen von Kunden, deren Daten kompromittiert wurden) oder einem Gewinnrückgang in ausreichendem Umfang konfrontiert werden, glaube ich, dass wir bei den meisten Unternehmen einen frenetischen Fokus auf die Stärkung der Online-Datenbanken sehen werden.
Finanzinstitute werden auch weiterhin den Weg für kurzfristige positive Veränderungen vorgeben.
Es mag nicht überraschen, dass Finanzinstitute - als Hüter des hart verdienten Geldes der Welt - einige der strengsten Best-Practice-Richtlinien für Cybersicherheit sowie End-to-End-Prozesse zur Reduzierung ihres Risikos haben.
Eine wichtige Triebfeder für diese Konformität ist das PCI Security Standards Council, das sich weiterhin dafür einsetzt, Finanzorganisationen bei der Umsetzung einer praktikablen Sicherheitspolitik zu unterstützen und Richtlinien in allen Bereichen einzuhalten. Das PCI Security Standards Council ist eine treibende Kraft, wenn es darum geht, die höchsten Sicherheitsstandards für Zahlungssoftware zu erreichen.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach sind sie in der Regel sicherheitsbewusster und stellen Ressourcen für ganzheitliche Schulungsprogramme nicht nur für AppSec-Experten und Pen-Tester bereit, sondern auch für ihre (in der Regel sehr großen und weltweit verteilten) Entwicklungsteams. Sie stellen sicher, dass die Entscheidungsträger auf oberster Ebene verstehen, dass Sicherheitsprozesse keine "Set-and-Forget"-Maßnahmen sind; sie müssen sich genauso schnell weiterentwickeln wie die eingesetzte Technologie und sich an variable Risiken anpassen.
Mehr Unternehmen werden ihre Sicherheits-Pipeline umgestalten.
Im Vergleich zu anderen Zweigen der IT ist AppSec relativ jung. Es ist schwer, das neue Kind zu sein: Man wird leicht missverstanden und hat vielleicht noch nicht die wichtigen Beziehungen aufgebaut, die man braucht. Ich glaube jedoch, dass es für AppSec mit jedem Jahr einfacher wird, seinen Platz selbst in den antiquiertesten Organisationen zu finden, die sich gegen Veränderungen sträuben.
Es wird immer deutlicher, dass Unternehmen die Sicherheits-Compliance nicht zu einem letzten, in letzter Minute erfolgenden Schritt in ihren Softwareprozessen machen können. Es muss Kontrollen und Maßnahmen von Punkt zu Punkt geben, mit mehr Konzentration auf die Aggregation von Daten und mehr Transparenz für die Führungsebenen des Unternehmens. Ohne dies wird die Sicherheit für die meisten aus den Augen und aus dem Sinn bleiben. Und in diesem Szenario ist es praktisch unmöglich, die für die Risikoplanung erforderlichen Ressourcen zu sammeln.
Die gute Nachricht ist, dass mehr Unternehmen als je zuvor ihre eigenen Cyberangriffe erkennen und daran arbeiten, sie zu beheben. Die schlechte Nachricht? Dieser Prozess dauert im Durchschnitt fünfundachtzig Tage.
Pen-Testing-Tools und manuelle Code-Reviews sind mühsam, teuer und langsam in einer Zeit, in der schnelle Innovation und Feature-Produktion im Technologiebereich ein Muss sind. Das Sicherheitsbewusstsein muss sich von Anfang an durchsetzen: von dem Moment an, in dem ein Entwickler den Code überhaupt erst schreibt.
Unsere Branche wird das Hauptproblem erkennen: Wir brauchen Menschen, die sich mehr kümmern.
Die Sache ist die: Ich könnte konservativ zwanzig Personen in meinem Netzwerk zählen, die irgendwann in den letzten vier Jahren in einem Marriott-Hotel übernachtet haben. Da in dieser Zeit 500 Millionen Datensätze gestohlen wurden, ist die Wahrscheinlichkeit groß, dass ihre Daten Teil dieses Diebstahls waren. Alles, von aktuellen Kontaktinformationen über noch gültige Kreditkartennummern bis hin zu Passdaten, könnte gerade jetzt im Dark Web zum Verkauf stehen. Allerdings war ihr Betreuungsfaktor im Grunde gleich Null.
Und, nun ja, es ist leicht, selbstgefällig zu sein, wenn man bei einem so groß angelegten Datenraub im Grunde eine Nadel im Heuhaufen ist.
Doch das eigentliche Problem? Die Unternehmen, die es versäumt haben, die Daten ihrer eigenen Kunden zu schützen, sehen sich kaum mit Konsequenzen konfrontiert. Wird ihr Aktienkurs unmittelbar nach dem Vorfall in Mitleidenschaft gezogen? Darauf können Sie wetten. Target, Equifax und jetzt auch Marriott können das bestätigen. Ein Blick auf die nächsten zwölf Monate zeigt jedoch, dass sich der Kurs recht schnell wieder normalisiert. Ein paar Jahre später ist finanziell gesehen alles vergeben.
Solange es keine ernsthaften Konsequenzen gibt: hohe Geldstrafen, strengere Vorschriften und erhebliche Geschäftseinbußen, wird AppSec eine Branche sein, die ständig darum kämpfen muss, die Schwere der wachsenden Cyber-Risiken, denen ein Unternehmen ausgesetzt ist, zu vermitteln.
Ich fürchte, es wird noch viel schlimmer werden, bevor es besser wird. Deshalb ist es von größter Wichtigkeit, dass wir daran arbeiten, sicherheitsbewusste Entwickler und robuste Sicherheitskulturen an den vordersten Linien der technischen Teams eines Unternehmens aufzubauen. Behalten Sie das Thema im Hinterkopf und streben Sie weiterhin nach einem höheren Standard der Software-Sicherheit.
Der wahre Kampf, dem wir uns stellen müssen, ist nicht gegen Skript-Kiddies oder gefährliche organisierte Cybercrime-Syndikate... er besteht darin, mehr Menschen dazu zu bringen, sich dafür zu interessieren, dass Datenschutzverletzungen überhaupt passieren.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
2018 war ein Mammutjahr für Cybersicherheitsexperten. Trotz der Warnungen, Sicherheit ernster zu nehmen, der ständigen Presse über die Förderung von mehr Talenten in der Sicherheitsbranche und den allgemeinen Versuchen, Organisationen cyberbewusster zu machen, müssen wir auf die rauchenden Krater starren, die Hunderte von Cyberangriffen hinterlassen haben, die für groß angelegte Datenverletzungen und das Misstrauen der Verbraucher gegenüber einigen sehr bekannten Haushaltsnamen stehen. Allein in der ersten Hälfte des Jahres 2018 wurden 4,5 Milliarden Datensätze in 945 separaten Vorfällen kompromittiert.
Ich habe es schon viele Male gesagt: Wir können es besser machen. Der eigentliche Kampf, dem wir uns stellen müssen, ist jedoch nicht gegen Skript-Kiddies, gefährliche organisierte Cybercrime-Syndikate oder mysteriöse Gestalten in Kapuzenpullis, die auf Laptops herumtippen - der Kampf besteht darin, mehr Menschen dafür zu sensibilisieren, dass diese Sicherheitsverletzungen überhaupt passieren.
Die Einhaltung der GDPR ist ein guter Anfang, wird aber kurzfristig keinen großen Effekt haben.
Die Datenschutzgrundverordnung (GDPR) der Europäischen Union ist nun in vollem Gange; eine drohende Gefahr für Unternehmen, die den Datenschutz nicht ernst nehmen. Mit enormen Geldstrafen für diejenigen, die nicht konform sind, sollte dies ein Tritt in den Hintern für Unternehmen sein, um ihre Sicherheitspraktiken zu verschärfen, Kundendaten mit mehr Respekt zu behandeln und eine Strategie zur Abschwächung von Cyberangriffen zu entwickeln.
Einige Unternehmen wurden bereits vor hohen Geldstrafen gewarnt, aber wir müssen noch die wahren Folgen der Nichteinhaltung der DSGVO sehen. Keine ruinösen Strafen, nur eine ganze Menge Pop-ups, durch die wir Webnutzer klicken müssen. Das liegt zum Teil daran, dass juristische Prozesse viel Zeit in Anspruch nehmen und es viele Möglichkeiten gibt, in Berufung zu gehen - alle Unternehmen, an denen ein Exempel statuiert wurde, sind wahrscheinlich in einen monate- oder jahrelangen Rechtsstreit verwickelt. Zum Abschluss eines Albtraumjahres für Facebook wurde kürzlich eine weitere Datenpanne bekannt: ein API-Bug, der die privaten Fotos von 6,8 Millionen Nutzern 1500 nicht autorisierten Anwendungen zugänglich machte. Er wurde innerhalb von zwei Wochen gefunden und gepatcht, doch Datenschutzbehörden und die Öffentlichkeit wurden erst Monate später auf den Verstoß aufmerksam gemacht. Die GDPR-Gesetze verlangen eine Benachrichtigung über einen Verstoß innerhalb von 72 Stunden, daher wirft dies eine Menge Fragen darüber auf, wie einflussreich und effektiv diese Gesetze derzeit wirklich sind.
Und natürlich haben die Sicherheitsverletzungen auch anderswo nicht aufgehört: Der Einbruch bei Marriott im November hat gezeigt, dass satte 500 Millionen Datensätze kompromittiert wurden und, was vielleicht noch beunruhigender ist, dass die Angreifer vier Jahre lang Zugriff auf die Systeme hatten, bevor sie entdeckt wurden. Es sollte jedoch angemerkt werden, dass Marriott anscheinend Schadensbegrenzung betreibt: Sie haben den Opfern ein kostenloses 12-monatiges Abonnement für WebWatcher angeboten, ein Tool zur Kreditüberwachung... aber bei 500 Millionen Datensätzen, die die Hacker durchforsten konnten, bleibt abzuwarten, ob ein Jahr für die meisten genug Zeit ist, um irgendetwas Sinnvolles zu überwachen; schließlich kann es einige Jahre dauern, bis Ihre Daten für eine skrupellose Nutzung aufgedeckt werden.
Langfristig werden Vorschriften wie GDPR positive Veränderungen bewirken, wenn sie durchgesetzt werden. Wenn Unternehmen mit einer signifikanten finanziellen Strafe (oder sogar Sammelklagen von Kunden, deren Daten kompromittiert wurden) oder einem Gewinnrückgang in ausreichendem Umfang konfrontiert werden, glaube ich, dass wir bei den meisten Unternehmen einen frenetischen Fokus auf die Stärkung der Online-Datenbanken sehen werden.
Finanzinstitute werden auch weiterhin den Weg für kurzfristige positive Veränderungen vorgeben.
Es mag nicht überraschen, dass Finanzinstitute - als Hüter des hart verdienten Geldes der Welt - einige der strengsten Best-Practice-Richtlinien für Cybersicherheit sowie End-to-End-Prozesse zur Reduzierung ihres Risikos haben.
Eine wichtige Triebfeder für diese Konformität ist das PCI Security Standards Council, das sich weiterhin dafür einsetzt, Finanzorganisationen bei der Umsetzung einer praktikablen Sicherheitspolitik zu unterstützen und Richtlinien in allen Bereichen einzuhalten. Das PCI Security Standards Council ist eine treibende Kraft, wenn es darum geht, die höchsten Sicherheitsstandards für Zahlungssoftware zu erreichen.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach sind sie in der Regel sicherheitsbewusster und stellen Ressourcen für ganzheitliche Schulungsprogramme nicht nur für AppSec-Experten und Pen-Tester bereit, sondern auch für ihre (in der Regel sehr großen und weltweit verteilten) Entwicklungsteams. Sie stellen sicher, dass die Entscheidungsträger auf oberster Ebene verstehen, dass Sicherheitsprozesse keine "Set-and-Forget"-Maßnahmen sind; sie müssen sich genauso schnell weiterentwickeln wie die eingesetzte Technologie und sich an variable Risiken anpassen.
Mehr Unternehmen werden ihre Sicherheits-Pipeline umgestalten.
Im Vergleich zu anderen Zweigen der IT ist AppSec relativ jung. Es ist schwer, das neue Kind zu sein: Man wird leicht missverstanden und hat vielleicht noch nicht die wichtigen Beziehungen aufgebaut, die man braucht. Ich glaube jedoch, dass es für AppSec mit jedem Jahr einfacher wird, seinen Platz selbst in den antiquiertesten Organisationen zu finden, die sich gegen Veränderungen sträuben.
Es wird immer deutlicher, dass Unternehmen die Sicherheits-Compliance nicht zu einem letzten, in letzter Minute erfolgenden Schritt in ihren Softwareprozessen machen können. Es muss Kontrollen und Maßnahmen von Punkt zu Punkt geben, mit mehr Konzentration auf die Aggregation von Daten und mehr Transparenz für die Führungsebenen des Unternehmens. Ohne dies wird die Sicherheit für die meisten aus den Augen und aus dem Sinn bleiben. Und in diesem Szenario ist es praktisch unmöglich, die für die Risikoplanung erforderlichen Ressourcen zu sammeln.
Die gute Nachricht ist, dass mehr Unternehmen als je zuvor ihre eigenen Cyberangriffe erkennen und daran arbeiten, sie zu beheben. Die schlechte Nachricht? Dieser Prozess dauert im Durchschnitt fünfundachtzig Tage.
Pen-Testing-Tools und manuelle Code-Reviews sind mühsam, teuer und langsam in einer Zeit, in der schnelle Innovation und Feature-Produktion im Technologiebereich ein Muss sind. Das Sicherheitsbewusstsein muss sich von Anfang an durchsetzen: von dem Moment an, in dem ein Entwickler den Code überhaupt erst schreibt.
Unsere Branche wird das Hauptproblem erkennen: Wir brauchen Menschen, die sich mehr kümmern.
Die Sache ist die: Ich könnte konservativ zwanzig Personen in meinem Netzwerk zählen, die irgendwann in den letzten vier Jahren in einem Marriott-Hotel übernachtet haben. Da in dieser Zeit 500 Millionen Datensätze gestohlen wurden, ist die Wahrscheinlichkeit groß, dass ihre Daten Teil dieses Diebstahls waren. Alles, von aktuellen Kontaktinformationen über noch gültige Kreditkartennummern bis hin zu Passdaten, könnte gerade jetzt im Dark Web zum Verkauf stehen. Allerdings war ihr Betreuungsfaktor im Grunde gleich Null.
Und, nun ja, es ist leicht, selbstgefällig zu sein, wenn man bei einem so groß angelegten Datenraub im Grunde eine Nadel im Heuhaufen ist.
Doch das eigentliche Problem? Die Unternehmen, die es versäumt haben, die Daten ihrer eigenen Kunden zu schützen, sehen sich kaum mit Konsequenzen konfrontiert. Wird ihr Aktienkurs unmittelbar nach dem Vorfall in Mitleidenschaft gezogen? Darauf können Sie wetten. Target, Equifax und jetzt auch Marriott können das bestätigen. Ein Blick auf die nächsten zwölf Monate zeigt jedoch, dass sich der Kurs recht schnell wieder normalisiert. Ein paar Jahre später ist finanziell gesehen alles vergeben.
Solange es keine ernsthaften Konsequenzen gibt: hohe Geldstrafen, strengere Vorschriften und erhebliche Geschäftseinbußen, wird AppSec eine Branche sein, die ständig darum kämpfen muss, die Schwere der wachsenden Cyber-Risiken, denen ein Unternehmen ausgesetzt ist, zu vermitteln.
Ich fürchte, es wird noch viel schlimmer werden, bevor es besser wird. Deshalb ist es von größter Wichtigkeit, dass wir daran arbeiten, sicherheitsbewusste Entwickler und robuste Sicherheitskulturen an den vordersten Linien der technischen Teams eines Unternehmens aufzubauen. Behalten Sie das Thema im Hinterkopf und streben Sie weiterhin nach einem höheren Standard der Software-Sicherheit.
2018 war ein Mammutjahr für Cybersicherheitsexperten. Trotz der Warnungen, Sicherheit ernster zu nehmen, der ständigen Presse über die Förderung von mehr Talenten in der Sicherheitsbranche und den allgemeinen Versuchen, Organisationen cyberbewusster zu machen, müssen wir auf die rauchenden Krater starren, die Hunderte von Cyberangriffen hinterlassen haben, die für groß angelegte Datenverletzungen und das Misstrauen der Verbraucher gegenüber einigen sehr bekannten Haushaltsnamen stehen. Allein in der ersten Hälfte des Jahres 2018 wurden 4,5 Milliarden Datensätze in 945 separaten Vorfällen kompromittiert.
Ich habe es schon viele Male gesagt: Wir können es besser machen. Der eigentliche Kampf, dem wir uns stellen müssen, ist jedoch nicht gegen Skript-Kiddies, gefährliche organisierte Cybercrime-Syndikate oder mysteriöse Gestalten in Kapuzenpullis, die auf Laptops herumtippen - der Kampf besteht darin, mehr Menschen dafür zu sensibilisieren, dass diese Sicherheitsverletzungen überhaupt passieren.
Die Einhaltung der GDPR ist ein guter Anfang, wird aber kurzfristig keinen großen Effekt haben.
Die Datenschutzgrundverordnung (GDPR) der Europäischen Union ist nun in vollem Gange; eine drohende Gefahr für Unternehmen, die den Datenschutz nicht ernst nehmen. Mit enormen Geldstrafen für diejenigen, die nicht konform sind, sollte dies ein Tritt in den Hintern für Unternehmen sein, um ihre Sicherheitspraktiken zu verschärfen, Kundendaten mit mehr Respekt zu behandeln und eine Strategie zur Abschwächung von Cyberangriffen zu entwickeln.
Einige Unternehmen wurden bereits vor hohen Geldstrafen gewarnt, aber wir müssen noch die wahren Folgen der Nichteinhaltung der DSGVO sehen. Keine ruinösen Strafen, nur eine ganze Menge Pop-ups, durch die wir Webnutzer klicken müssen. Das liegt zum Teil daran, dass juristische Prozesse viel Zeit in Anspruch nehmen und es viele Möglichkeiten gibt, in Berufung zu gehen - alle Unternehmen, an denen ein Exempel statuiert wurde, sind wahrscheinlich in einen monate- oder jahrelangen Rechtsstreit verwickelt. Zum Abschluss eines Albtraumjahres für Facebook wurde kürzlich eine weitere Datenpanne bekannt: ein API-Bug, der die privaten Fotos von 6,8 Millionen Nutzern 1500 nicht autorisierten Anwendungen zugänglich machte. Er wurde innerhalb von zwei Wochen gefunden und gepatcht, doch Datenschutzbehörden und die Öffentlichkeit wurden erst Monate später auf den Verstoß aufmerksam gemacht. Die GDPR-Gesetze verlangen eine Benachrichtigung über einen Verstoß innerhalb von 72 Stunden, daher wirft dies eine Menge Fragen darüber auf, wie einflussreich und effektiv diese Gesetze derzeit wirklich sind.
Und natürlich haben die Sicherheitsverletzungen auch anderswo nicht aufgehört: Der Einbruch bei Marriott im November hat gezeigt, dass satte 500 Millionen Datensätze kompromittiert wurden und, was vielleicht noch beunruhigender ist, dass die Angreifer vier Jahre lang Zugriff auf die Systeme hatten, bevor sie entdeckt wurden. Es sollte jedoch angemerkt werden, dass Marriott anscheinend Schadensbegrenzung betreibt: Sie haben den Opfern ein kostenloses 12-monatiges Abonnement für WebWatcher angeboten, ein Tool zur Kreditüberwachung... aber bei 500 Millionen Datensätzen, die die Hacker durchforsten konnten, bleibt abzuwarten, ob ein Jahr für die meisten genug Zeit ist, um irgendetwas Sinnvolles zu überwachen; schließlich kann es einige Jahre dauern, bis Ihre Daten für eine skrupellose Nutzung aufgedeckt werden.
Langfristig werden Vorschriften wie GDPR positive Veränderungen bewirken, wenn sie durchgesetzt werden. Wenn Unternehmen mit einer signifikanten finanziellen Strafe (oder sogar Sammelklagen von Kunden, deren Daten kompromittiert wurden) oder einem Gewinnrückgang in ausreichendem Umfang konfrontiert werden, glaube ich, dass wir bei den meisten Unternehmen einen frenetischen Fokus auf die Stärkung der Online-Datenbanken sehen werden.
Finanzinstitute werden auch weiterhin den Weg für kurzfristige positive Veränderungen vorgeben.
Es mag nicht überraschen, dass Finanzinstitute - als Hüter des hart verdienten Geldes der Welt - einige der strengsten Best-Practice-Richtlinien für Cybersicherheit sowie End-to-End-Prozesse zur Reduzierung ihres Risikos haben.
Eine wichtige Triebfeder für diese Konformität ist das PCI Security Standards Council, das sich weiterhin dafür einsetzt, Finanzorganisationen bei der Umsetzung einer praktikablen Sicherheitspolitik zu unterstützen und Richtlinien in allen Bereichen einzuhalten. Das PCI Security Standards Council ist eine treibende Kraft, wenn es darum geht, die höchsten Sicherheitsstandards für Zahlungssoftware zu erreichen.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach sind sie in der Regel sicherheitsbewusster und stellen Ressourcen für ganzheitliche Schulungsprogramme nicht nur für AppSec-Experten und Pen-Tester bereit, sondern auch für ihre (in der Regel sehr großen und weltweit verteilten) Entwicklungsteams. Sie stellen sicher, dass die Entscheidungsträger auf oberster Ebene verstehen, dass Sicherheitsprozesse keine "Set-and-Forget"-Maßnahmen sind; sie müssen sich genauso schnell weiterentwickeln wie die eingesetzte Technologie und sich an variable Risiken anpassen.
Mehr Unternehmen werden ihre Sicherheits-Pipeline umgestalten.
Im Vergleich zu anderen Zweigen der IT ist AppSec relativ jung. Es ist schwer, das neue Kind zu sein: Man wird leicht missverstanden und hat vielleicht noch nicht die wichtigen Beziehungen aufgebaut, die man braucht. Ich glaube jedoch, dass es für AppSec mit jedem Jahr einfacher wird, seinen Platz selbst in den antiquiertesten Organisationen zu finden, die sich gegen Veränderungen sträuben.
Es wird immer deutlicher, dass Unternehmen die Sicherheits-Compliance nicht zu einem letzten, in letzter Minute erfolgenden Schritt in ihren Softwareprozessen machen können. Es muss Kontrollen und Maßnahmen von Punkt zu Punkt geben, mit mehr Konzentration auf die Aggregation von Daten und mehr Transparenz für die Führungsebenen des Unternehmens. Ohne dies wird die Sicherheit für die meisten aus den Augen und aus dem Sinn bleiben. Und in diesem Szenario ist es praktisch unmöglich, die für die Risikoplanung erforderlichen Ressourcen zu sammeln.
Die gute Nachricht ist, dass mehr Unternehmen als je zuvor ihre eigenen Cyberangriffe erkennen und daran arbeiten, sie zu beheben. Die schlechte Nachricht? Dieser Prozess dauert im Durchschnitt fünfundachtzig Tage.
Pen-Testing-Tools und manuelle Code-Reviews sind mühsam, teuer und langsam in einer Zeit, in der schnelle Innovation und Feature-Produktion im Technologiebereich ein Muss sind. Das Sicherheitsbewusstsein muss sich von Anfang an durchsetzen: von dem Moment an, in dem ein Entwickler den Code überhaupt erst schreibt.
Unsere Branche wird das Hauptproblem erkennen: Wir brauchen Menschen, die sich mehr kümmern.
Die Sache ist die: Ich könnte konservativ zwanzig Personen in meinem Netzwerk zählen, die irgendwann in den letzten vier Jahren in einem Marriott-Hotel übernachtet haben. Da in dieser Zeit 500 Millionen Datensätze gestohlen wurden, ist die Wahrscheinlichkeit groß, dass ihre Daten Teil dieses Diebstahls waren. Alles, von aktuellen Kontaktinformationen über noch gültige Kreditkartennummern bis hin zu Passdaten, könnte gerade jetzt im Dark Web zum Verkauf stehen. Allerdings war ihr Betreuungsfaktor im Grunde gleich Null.
Und, nun ja, es ist leicht, selbstgefällig zu sein, wenn man bei einem so groß angelegten Datenraub im Grunde eine Nadel im Heuhaufen ist.
Doch das eigentliche Problem? Die Unternehmen, die es versäumt haben, die Daten ihrer eigenen Kunden zu schützen, sehen sich kaum mit Konsequenzen konfrontiert. Wird ihr Aktienkurs unmittelbar nach dem Vorfall in Mitleidenschaft gezogen? Darauf können Sie wetten. Target, Equifax und jetzt auch Marriott können das bestätigen. Ein Blick auf die nächsten zwölf Monate zeigt jedoch, dass sich der Kurs recht schnell wieder normalisiert. Ein paar Jahre später ist finanziell gesehen alles vergeben.
Solange es keine ernsthaften Konsequenzen gibt: hohe Geldstrafen, strengere Vorschriften und erhebliche Geschäftseinbußen, wird AppSec eine Branche sein, die ständig darum kämpfen muss, die Schwere der wachsenden Cyber-Risiken, denen ein Unternehmen ausgesetzt ist, zu vermitteln.
Ich fürchte, es wird noch viel schlimmer werden, bevor es besser wird. Deshalb ist es von größter Wichtigkeit, dass wir daran arbeiten, sicherheitsbewusste Entwickler und robuste Sicherheitskulturen an den vordersten Linien der technischen Teams eines Unternehmens aufzubauen. Behalten Sie das Thema im Hinterkopf und streben Sie weiterhin nach einem höheren Standard der Software-Sicherheit.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
2018 war ein Mammutjahr für Cybersicherheitsexperten. Trotz der Warnungen, Sicherheit ernster zu nehmen, der ständigen Presse über die Förderung von mehr Talenten in der Sicherheitsbranche und den allgemeinen Versuchen, Organisationen cyberbewusster zu machen, müssen wir auf die rauchenden Krater starren, die Hunderte von Cyberangriffen hinterlassen haben, die für groß angelegte Datenverletzungen und das Misstrauen der Verbraucher gegenüber einigen sehr bekannten Haushaltsnamen stehen. Allein in der ersten Hälfte des Jahres 2018 wurden 4,5 Milliarden Datensätze in 945 separaten Vorfällen kompromittiert.
Ich habe es schon viele Male gesagt: Wir können es besser machen. Der eigentliche Kampf, dem wir uns stellen müssen, ist jedoch nicht gegen Skript-Kiddies, gefährliche organisierte Cybercrime-Syndikate oder mysteriöse Gestalten in Kapuzenpullis, die auf Laptops herumtippen - der Kampf besteht darin, mehr Menschen dafür zu sensibilisieren, dass diese Sicherheitsverletzungen überhaupt passieren.
Die Einhaltung der GDPR ist ein guter Anfang, wird aber kurzfristig keinen großen Effekt haben.
Die Datenschutzgrundverordnung (GDPR) der Europäischen Union ist nun in vollem Gange; eine drohende Gefahr für Unternehmen, die den Datenschutz nicht ernst nehmen. Mit enormen Geldstrafen für diejenigen, die nicht konform sind, sollte dies ein Tritt in den Hintern für Unternehmen sein, um ihre Sicherheitspraktiken zu verschärfen, Kundendaten mit mehr Respekt zu behandeln und eine Strategie zur Abschwächung von Cyberangriffen zu entwickeln.
Einige Unternehmen wurden bereits vor hohen Geldstrafen gewarnt, aber wir müssen noch die wahren Folgen der Nichteinhaltung der DSGVO sehen. Keine ruinösen Strafen, nur eine ganze Menge Pop-ups, durch die wir Webnutzer klicken müssen. Das liegt zum Teil daran, dass juristische Prozesse viel Zeit in Anspruch nehmen und es viele Möglichkeiten gibt, in Berufung zu gehen - alle Unternehmen, an denen ein Exempel statuiert wurde, sind wahrscheinlich in einen monate- oder jahrelangen Rechtsstreit verwickelt. Zum Abschluss eines Albtraumjahres für Facebook wurde kürzlich eine weitere Datenpanne bekannt: ein API-Bug, der die privaten Fotos von 6,8 Millionen Nutzern 1500 nicht autorisierten Anwendungen zugänglich machte. Er wurde innerhalb von zwei Wochen gefunden und gepatcht, doch Datenschutzbehörden und die Öffentlichkeit wurden erst Monate später auf den Verstoß aufmerksam gemacht. Die GDPR-Gesetze verlangen eine Benachrichtigung über einen Verstoß innerhalb von 72 Stunden, daher wirft dies eine Menge Fragen darüber auf, wie einflussreich und effektiv diese Gesetze derzeit wirklich sind.
Und natürlich haben die Sicherheitsverletzungen auch anderswo nicht aufgehört: Der Einbruch bei Marriott im November hat gezeigt, dass satte 500 Millionen Datensätze kompromittiert wurden und, was vielleicht noch beunruhigender ist, dass die Angreifer vier Jahre lang Zugriff auf die Systeme hatten, bevor sie entdeckt wurden. Es sollte jedoch angemerkt werden, dass Marriott anscheinend Schadensbegrenzung betreibt: Sie haben den Opfern ein kostenloses 12-monatiges Abonnement für WebWatcher angeboten, ein Tool zur Kreditüberwachung... aber bei 500 Millionen Datensätzen, die die Hacker durchforsten konnten, bleibt abzuwarten, ob ein Jahr für die meisten genug Zeit ist, um irgendetwas Sinnvolles zu überwachen; schließlich kann es einige Jahre dauern, bis Ihre Daten für eine skrupellose Nutzung aufgedeckt werden.
Langfristig werden Vorschriften wie GDPR positive Veränderungen bewirken, wenn sie durchgesetzt werden. Wenn Unternehmen mit einer signifikanten finanziellen Strafe (oder sogar Sammelklagen von Kunden, deren Daten kompromittiert wurden) oder einem Gewinnrückgang in ausreichendem Umfang konfrontiert werden, glaube ich, dass wir bei den meisten Unternehmen einen frenetischen Fokus auf die Stärkung der Online-Datenbanken sehen werden.
Finanzinstitute werden auch weiterhin den Weg für kurzfristige positive Veränderungen vorgeben.
Es mag nicht überraschen, dass Finanzinstitute - als Hüter des hart verdienten Geldes der Welt - einige der strengsten Best-Practice-Richtlinien für Cybersicherheit sowie End-to-End-Prozesse zur Reduzierung ihres Risikos haben.
Eine wichtige Triebfeder für diese Konformität ist das PCI Security Standards Council, das sich weiterhin dafür einsetzt, Finanzorganisationen bei der Umsetzung einer praktikablen Sicherheitspolitik zu unterstützen und Richtlinien in allen Bereichen einzuhalten. Das PCI Security Standards Council ist eine treibende Kraft, wenn es darum geht, die höchsten Sicherheitsstandards für Zahlungssoftware zu erreichen.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach sind sie in der Regel sicherheitsbewusster und stellen Ressourcen für ganzheitliche Schulungsprogramme nicht nur für AppSec-Experten und Pen-Tester bereit, sondern auch für ihre (in der Regel sehr großen und weltweit verteilten) Entwicklungsteams. Sie stellen sicher, dass die Entscheidungsträger auf oberster Ebene verstehen, dass Sicherheitsprozesse keine "Set-and-Forget"-Maßnahmen sind; sie müssen sich genauso schnell weiterentwickeln wie die eingesetzte Technologie und sich an variable Risiken anpassen.
Mehr Unternehmen werden ihre Sicherheits-Pipeline umgestalten.
Im Vergleich zu anderen Zweigen der IT ist AppSec relativ jung. Es ist schwer, das neue Kind zu sein: Man wird leicht missverstanden und hat vielleicht noch nicht die wichtigen Beziehungen aufgebaut, die man braucht. Ich glaube jedoch, dass es für AppSec mit jedem Jahr einfacher wird, seinen Platz selbst in den antiquiertesten Organisationen zu finden, die sich gegen Veränderungen sträuben.
Es wird immer deutlicher, dass Unternehmen die Sicherheits-Compliance nicht zu einem letzten, in letzter Minute erfolgenden Schritt in ihren Softwareprozessen machen können. Es muss Kontrollen und Maßnahmen von Punkt zu Punkt geben, mit mehr Konzentration auf die Aggregation von Daten und mehr Transparenz für die Führungsebenen des Unternehmens. Ohne dies wird die Sicherheit für die meisten aus den Augen und aus dem Sinn bleiben. Und in diesem Szenario ist es praktisch unmöglich, die für die Risikoplanung erforderlichen Ressourcen zu sammeln.
Die gute Nachricht ist, dass mehr Unternehmen als je zuvor ihre eigenen Cyberangriffe erkennen und daran arbeiten, sie zu beheben. Die schlechte Nachricht? Dieser Prozess dauert im Durchschnitt fünfundachtzig Tage.
Pen-Testing-Tools und manuelle Code-Reviews sind mühsam, teuer und langsam in einer Zeit, in der schnelle Innovation und Feature-Produktion im Technologiebereich ein Muss sind. Das Sicherheitsbewusstsein muss sich von Anfang an durchsetzen: von dem Moment an, in dem ein Entwickler den Code überhaupt erst schreibt.
Unsere Branche wird das Hauptproblem erkennen: Wir brauchen Menschen, die sich mehr kümmern.
Die Sache ist die: Ich könnte konservativ zwanzig Personen in meinem Netzwerk zählen, die irgendwann in den letzten vier Jahren in einem Marriott-Hotel übernachtet haben. Da in dieser Zeit 500 Millionen Datensätze gestohlen wurden, ist die Wahrscheinlichkeit groß, dass ihre Daten Teil dieses Diebstahls waren. Alles, von aktuellen Kontaktinformationen über noch gültige Kreditkartennummern bis hin zu Passdaten, könnte gerade jetzt im Dark Web zum Verkauf stehen. Allerdings war ihr Betreuungsfaktor im Grunde gleich Null.
Und, nun ja, es ist leicht, selbstgefällig zu sein, wenn man bei einem so groß angelegten Datenraub im Grunde eine Nadel im Heuhaufen ist.
Doch das eigentliche Problem? Die Unternehmen, die es versäumt haben, die Daten ihrer eigenen Kunden zu schützen, sehen sich kaum mit Konsequenzen konfrontiert. Wird ihr Aktienkurs unmittelbar nach dem Vorfall in Mitleidenschaft gezogen? Darauf können Sie wetten. Target, Equifax und jetzt auch Marriott können das bestätigen. Ein Blick auf die nächsten zwölf Monate zeigt jedoch, dass sich der Kurs recht schnell wieder normalisiert. Ein paar Jahre später ist finanziell gesehen alles vergeben.
Solange es keine ernsthaften Konsequenzen gibt: hohe Geldstrafen, strengere Vorschriften und erhebliche Geschäftseinbußen, wird AppSec eine Branche sein, die ständig darum kämpfen muss, die Schwere der wachsenden Cyber-Risiken, denen ein Unternehmen ausgesetzt ist, zu vermitteln.
Ich fürchte, es wird noch viel schlimmer werden, bevor es besser wird. Deshalb ist es von größter Wichtigkeit, dass wir daran arbeiten, sicherheitsbewusste Entwickler und robuste Sicherheitskulturen an den vordersten Linien der technischen Teams eines Unternehmens aufzubauen. Behalten Sie das Thema im Hinterkopf und streben Sie weiterhin nach einem höheren Standard der Software-Sicherheit.
Inhaltsübersicht
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
In diesem Monat des Cyber-Bewusstseins wird aus Bewusstsein Handeln
Lassen Sie diesen Oktober das Bewusstsein in Aktion treten. Machen Sie den Cyber Awareness Month für Ihre Entwickler zu einem denkwürdigen Ereignis mit großer Wirkung und hoher Beteiligung - geleitet vom Secure Code Warrior Professional Services Team.
Professionelle Dienstleistungen - Beschleunigen Sie mit Fachwissen
Das PSS-Team (Program Strategy Services) von Secure Code Warriorunterstützt Sie beim Aufbau, der Verbesserung und der Optimierung Ihres Programms für sichere Codierung. Ganz gleich, ob Sie neu anfangen oder Ihren Ansatz verfeinern möchten, unsere Experten bieten Ihnen maßgeschneiderte Beratung.
Themen und Inhalte der Schulung zu sicherem Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sie an die sich ständig verändernde Softwareentwicklungslandschaft anzupassen und Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis XQuery Injection und werden für eine Vielzahl von Rollen angeboten, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Überblick über die Inhalte, die unser Katalog nach Thema und Rolle bietet.
Quests: Branchenführendes Lernen, damit die Entwickler immer einen Schritt voraus sind und Risiken minimiert werden.
Quests ist eine learning platform , die Entwicklern hilft, Software-Sicherheitsrisiken zu verringern, indem sie ihre Fähigkeiten zur sicheren Programmierung verbessern. Mit kuratierten Lernpfaden, praktischen Herausforderungen und interaktiven Aktivitäten befähigt sie Entwickler, Schwachstellen zu erkennen und zu vermeiden.
Ressourcen für den Einstieg
Wird Vibe Coding Ihre Codebasis in eine Verbindungsparty verwandeln?
Vibe Coding ist wie eine College-Verbindungsparty, und AI ist das Herzstück aller Festivitäten, das Fass. Es macht eine Menge Spaß, sich auszutoben, kreativ zu werden und zu sehen, wohin die eigene Fantasie einen führen kann, aber nach ein paar Bierfässern ist das Trinken (oder die Verwendung von KI) in Maßen zweifellos die sicherere langfristige Lösung.
Das Jahrzehnt der Defenders: Secure Code Warrior Zehnte Runde
Secure Code WarriorDas Gründungsteam von SCW ist zusammengeblieben und hat das Schiff ein ganzes Jahrzehnt lang durch alle Lektionen, Triumphe und Rückschläge gesteuert. Wir vergrößern uns und sind bereit für unser nächstes Kapitel, SCW 2.0, als führendes Unternehmen im Risikomanagement für Entwickler.
Entwicklergesteuerte Kodierung.
Sicher ist sicher.
Setzen Sie sich noch heute mit uns in Verbindung und machen Sie Softwaresicherheit zu einem festen Bestandteil Ihres Entwicklungsprozesses.
