Die Veränderung, die wir in den AppSec Badlands brauchen: Meine Prognosen für 2019
2018 war ein Mammutjahr für Cybersicherheitsexperten. Trotz der Warnungen, Sicherheit ernster zu nehmen, der ständigen Presse über die Förderung von mehr Talenten in der Sicherheitsbranche und den allgemeinen Versuchen, Organisationen cyberbewusster zu machen, müssen wir auf die rauchenden Krater starren, die Hunderte von Cyberangriffen hinterlassen haben, die für groß angelegte Datenverletzungen und das Misstrauen der Verbraucher gegenüber einigen sehr bekannten Haushaltsnamen stehen. Allein in der ersten Hälfte des Jahres 2018 wurden 4,5 Milliarden Datensätze in 945 separaten Vorfällen kompromittiert.
Ich habe es schon viele Male gesagt: Wir können es besser machen. Der eigentliche Kampf, dem wir uns stellen müssen, ist jedoch nicht gegen Skript-Kiddies, gefährliche organisierte Cybercrime-Syndikate oder mysteriöse Gestalten in Kapuzenpullis, die auf Laptops herumtippen - der Kampf besteht darin, mehr Menschen dafür zu sensibilisieren, dass diese Sicherheitsverletzungen überhaupt passieren.
Die Einhaltung der GDPR ist ein guter Anfang, wird aber kurzfristig keinen großen Effekt haben.
Die Datenschutzgrundverordnung (GDPR) der Europäischen Union ist nun in vollem Gange; eine drohende Gefahr für Unternehmen, die den Datenschutz nicht ernst nehmen. Mit enormen Geldstrafen für diejenigen, die nicht konform sind, sollte dies ein Tritt in den Hintern für Unternehmen sein, um ihre Sicherheitspraktiken zu verschärfen, Kundendaten mit mehr Respekt zu behandeln und eine Strategie zur Abschwächung von Cyberangriffen zu entwickeln.
Einige Unternehmen wurden bereits vor hohen Geldstrafen gewarnt, aber wir müssen noch die wahren Folgen der Nichteinhaltung der DSGVO sehen. Keine ruinösen Strafen, nur eine ganze Menge Pop-ups, durch die wir Webnutzer klicken müssen. Das liegt zum Teil daran, dass juristische Prozesse viel Zeit in Anspruch nehmen und es viele Möglichkeiten gibt, in Berufung zu gehen - alle Unternehmen, an denen ein Exempel statuiert wurde, sind wahrscheinlich in einen monate- oder jahrelangen Rechtsstreit verwickelt. Zum Abschluss eines Albtraumjahres für Facebook wurde kürzlich eine weitere Datenpanne bekannt: ein API-Bug, der die privaten Fotos von 6,8 Millionen Nutzern 1500 nicht autorisierten Anwendungen zugänglich machte. Er wurde innerhalb von zwei Wochen gefunden und gepatcht, doch Datenschutzbehörden und die Öffentlichkeit wurden erst Monate später auf den Verstoß aufmerksam gemacht. Die GDPR-Gesetze verlangen eine Benachrichtigung über einen Verstoß innerhalb von 72 Stunden, daher wirft dies eine Menge Fragen darüber auf, wie einflussreich und effektiv diese Gesetze derzeit wirklich sind.
Und natürlich haben die Sicherheitsverletzungen auch anderswo nicht aufgehört: Der Einbruch bei Marriott im November hat gezeigt, dass satte 500 Millionen Datensätze kompromittiert wurden und, was vielleicht noch beunruhigender ist, dass die Angreifer vier Jahre lang Zugriff auf die Systeme hatten, bevor sie entdeckt wurden. Es sollte jedoch angemerkt werden, dass Marriott anscheinend Schadensbegrenzung betreibt: Sie haben den Opfern ein kostenloses 12-monatiges Abonnement für WebWatcher angeboten, ein Tool zur Kreditüberwachung... aber bei 500 Millionen Datensätzen, die die Hacker durchforsten konnten, bleibt abzuwarten, ob ein Jahr für die meisten genug Zeit ist, um irgendetwas Sinnvolles zu überwachen; schließlich kann es einige Jahre dauern, bis Ihre Daten für eine skrupellose Nutzung aufgedeckt werden.
Langfristig werden Vorschriften wie GDPR positive Veränderungen bewirken, wenn sie durchgesetzt werden. Wenn Unternehmen mit einer signifikanten finanziellen Strafe (oder sogar Sammelklagen von Kunden, deren Daten kompromittiert wurden) oder einem Gewinnrückgang in ausreichendem Umfang konfrontiert werden, glaube ich, dass wir bei den meisten Unternehmen einen frenetischen Fokus auf die Stärkung der Online-Datenbanken sehen werden.
Finanzinstitute werden auch weiterhin den Weg für kurzfristige positive Veränderungen vorgeben.
Es mag nicht überraschen, dass Finanzinstitute - als Hüter des hart verdienten Geldes der Welt - einige der strengsten Best-Practice-Richtlinien für Cybersicherheit sowie End-to-End-Prozesse zur Reduzierung ihres Risikos haben.
Eine wichtige Triebfeder für diese Konformität ist das PCI Security Standards Council, das sich weiterhin dafür einsetzt, Finanzorganisationen bei der Umsetzung einer praktikablen Sicherheitspolitik zu unterstützen und Richtlinien in allen Bereichen einzuhalten. Das PCI Security Standards Council ist eine treibende Kraft, wenn es darum geht, die höchsten Sicherheitsstandards für Zahlungssoftware zu erreichen.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach sind sie in der Regel sicherheitsbewusster und stellen Ressourcen für ganzheitliche Schulungsprogramme nicht nur für AppSec-Experten und Pen-Tester bereit, sondern auch für ihre (in der Regel sehr großen und weltweit verteilten) Entwicklungsteams. Sie stellen sicher, dass die Entscheidungsträger auf oberster Ebene verstehen, dass Sicherheitsprozesse keine "Set-and-Forget"-Maßnahmen sind; sie müssen sich genauso schnell weiterentwickeln wie die eingesetzte Technologie und sich an variable Risiken anpassen.
Mehr Unternehmen werden ihre Sicherheits-Pipeline umgestalten.
Im Vergleich zu anderen Zweigen der IT ist AppSec relativ jung. Es ist schwer, das neue Kind zu sein: Man wird leicht missverstanden und hat vielleicht noch nicht die wichtigen Beziehungen aufgebaut, die man braucht. Ich glaube jedoch, dass es für AppSec mit jedem Jahr einfacher wird, seinen Platz selbst in den antiquiertesten Organisationen zu finden, die sich gegen Veränderungen sträuben.
Es wird immer deutlicher, dass Unternehmen die Sicherheits-Compliance nicht zu einem letzten, in letzter Minute erfolgenden Schritt in ihren Softwareprozessen machen können. Es muss Kontrollen und Maßnahmen von Punkt zu Punkt geben, mit mehr Konzentration auf die Aggregation von Daten und mehr Transparenz für die Führungsebenen des Unternehmens. Ohne dies wird die Sicherheit für die meisten aus den Augen und aus dem Sinn bleiben. Und in diesem Szenario ist es praktisch unmöglich, die für die Risikoplanung erforderlichen Ressourcen zu sammeln.
Die gute Nachricht ist, dass mehr Unternehmen als je zuvor ihre eigenen Cyberangriffe erkennen und daran arbeiten, sie zu beheben. Die schlechte Nachricht? Dieser Prozess dauert im Durchschnitt fünfundachtzig Tage.
Pen-Testing-Tools und manuelle Code-Reviews sind mühsam, teuer und langsam in einer Zeit, in der schnelle Innovation und Feature-Produktion im Technologiebereich ein Muss sind. Das Sicherheitsbewusstsein muss sich von Anfang an durchsetzen: von dem Moment an, in dem ein Entwickler den Code überhaupt erst schreibt.
Unsere Branche wird das Hauptproblem erkennen: Wir brauchen Menschen, die sich mehr kümmern.
Die Sache ist die: Ich könnte konservativ zwanzig Personen in meinem Netzwerk zählen, die irgendwann in den letzten vier Jahren in einem Marriott-Hotel übernachtet haben. Da in dieser Zeit 500 Millionen Datensätze gestohlen wurden, ist die Wahrscheinlichkeit groß, dass ihre Daten Teil dieses Diebstahls waren. Alles, von aktuellen Kontaktinformationen über noch gültige Kreditkartennummern bis hin zu Passdaten, könnte gerade jetzt im Dark Web zum Verkauf stehen. Allerdings war ihr Betreuungsfaktor im Grunde gleich Null.
Und, nun ja, es ist leicht, selbstgefällig zu sein, wenn man bei einem so groß angelegten Datenraub im Grunde eine Nadel im Heuhaufen ist.
Doch das eigentliche Problem? Die Unternehmen, die es versäumt haben, die Daten ihrer eigenen Kunden zu schützen, sehen sich kaum mit Konsequenzen konfrontiert. Wird ihr Aktienkurs unmittelbar nach dem Vorfall in Mitleidenschaft gezogen? Darauf können Sie wetten. Target, Equifax und jetzt auch Marriott können das bestätigen. Ein Blick auf die nächsten zwölf Monate zeigt jedoch, dass sich der Kurs recht schnell wieder normalisiert. Ein paar Jahre später ist finanziell gesehen alles vergeben.
Solange es keine ernsthaften Konsequenzen gibt: hohe Geldstrafen, strengere Vorschriften und erhebliche Geschäftseinbußen, wird AppSec eine Branche sein, die ständig darum kämpfen muss, die Schwere der wachsenden Cyber-Risiken, denen ein Unternehmen ausgesetzt ist, zu vermitteln.
Ich fürchte, es wird noch viel schlimmer werden, bevor es besser wird. Deshalb ist es von größter Wichtigkeit, dass wir daran arbeiten, sicherheitsbewusste Entwickler und robuste Sicherheitskulturen an den vordersten Linien der technischen Teams eines Unternehmens aufzubauen. Behalten Sie das Thema im Hinterkopf und streben Sie weiterhin nach einem höheren Standard der Software-Sicherheit.
Der wahre Kampf, dem wir uns stellen müssen, ist nicht gegen Skript-Kiddies oder gefährliche organisierte Cybercrime-Syndikate... er besteht darin, mehr Menschen dazu zu bringen, sich dafür zu interessieren, dass Datenschutzverletzungen überhaupt passieren.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenVorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
2018 war ein Mammutjahr für Cybersicherheitsexperten. Trotz der Warnungen, Sicherheit ernster zu nehmen, der ständigen Presse über die Förderung von mehr Talenten in der Sicherheitsbranche und den allgemeinen Versuchen, Organisationen cyberbewusster zu machen, müssen wir auf die rauchenden Krater starren, die Hunderte von Cyberangriffen hinterlassen haben, die für groß angelegte Datenverletzungen und das Misstrauen der Verbraucher gegenüber einigen sehr bekannten Haushaltsnamen stehen. Allein in der ersten Hälfte des Jahres 2018 wurden 4,5 Milliarden Datensätze in 945 separaten Vorfällen kompromittiert.
Ich habe es schon viele Male gesagt: Wir können es besser machen. Der eigentliche Kampf, dem wir uns stellen müssen, ist jedoch nicht gegen Skript-Kiddies, gefährliche organisierte Cybercrime-Syndikate oder mysteriöse Gestalten in Kapuzenpullis, die auf Laptops herumtippen - der Kampf besteht darin, mehr Menschen dafür zu sensibilisieren, dass diese Sicherheitsverletzungen überhaupt passieren.
Die Einhaltung der GDPR ist ein guter Anfang, wird aber kurzfristig keinen großen Effekt haben.
Die Datenschutzgrundverordnung (GDPR) der Europäischen Union ist nun in vollem Gange; eine drohende Gefahr für Unternehmen, die den Datenschutz nicht ernst nehmen. Mit enormen Geldstrafen für diejenigen, die nicht konform sind, sollte dies ein Tritt in den Hintern für Unternehmen sein, um ihre Sicherheitspraktiken zu verschärfen, Kundendaten mit mehr Respekt zu behandeln und eine Strategie zur Abschwächung von Cyberangriffen zu entwickeln.
Einige Unternehmen wurden bereits vor hohen Geldstrafen gewarnt, aber wir müssen noch die wahren Folgen der Nichteinhaltung der DSGVO sehen. Keine ruinösen Strafen, nur eine ganze Menge Pop-ups, durch die wir Webnutzer klicken müssen. Das liegt zum Teil daran, dass juristische Prozesse viel Zeit in Anspruch nehmen und es viele Möglichkeiten gibt, in Berufung zu gehen - alle Unternehmen, an denen ein Exempel statuiert wurde, sind wahrscheinlich in einen monate- oder jahrelangen Rechtsstreit verwickelt. Zum Abschluss eines Albtraumjahres für Facebook wurde kürzlich eine weitere Datenpanne bekannt: ein API-Bug, der die privaten Fotos von 6,8 Millionen Nutzern 1500 nicht autorisierten Anwendungen zugänglich machte. Er wurde innerhalb von zwei Wochen gefunden und gepatcht, doch Datenschutzbehörden und die Öffentlichkeit wurden erst Monate später auf den Verstoß aufmerksam gemacht. Die GDPR-Gesetze verlangen eine Benachrichtigung über einen Verstoß innerhalb von 72 Stunden, daher wirft dies eine Menge Fragen darüber auf, wie einflussreich und effektiv diese Gesetze derzeit wirklich sind.
Und natürlich haben die Sicherheitsverletzungen auch anderswo nicht aufgehört: Der Einbruch bei Marriott im November hat gezeigt, dass satte 500 Millionen Datensätze kompromittiert wurden und, was vielleicht noch beunruhigender ist, dass die Angreifer vier Jahre lang Zugriff auf die Systeme hatten, bevor sie entdeckt wurden. Es sollte jedoch angemerkt werden, dass Marriott anscheinend Schadensbegrenzung betreibt: Sie haben den Opfern ein kostenloses 12-monatiges Abonnement für WebWatcher angeboten, ein Tool zur Kreditüberwachung... aber bei 500 Millionen Datensätzen, die die Hacker durchforsten konnten, bleibt abzuwarten, ob ein Jahr für die meisten genug Zeit ist, um irgendetwas Sinnvolles zu überwachen; schließlich kann es einige Jahre dauern, bis Ihre Daten für eine skrupellose Nutzung aufgedeckt werden.
Langfristig werden Vorschriften wie GDPR positive Veränderungen bewirken, wenn sie durchgesetzt werden. Wenn Unternehmen mit einer signifikanten finanziellen Strafe (oder sogar Sammelklagen von Kunden, deren Daten kompromittiert wurden) oder einem Gewinnrückgang in ausreichendem Umfang konfrontiert werden, glaube ich, dass wir bei den meisten Unternehmen einen frenetischen Fokus auf die Stärkung der Online-Datenbanken sehen werden.
Finanzinstitute werden auch weiterhin den Weg für kurzfristige positive Veränderungen vorgeben.
Es mag nicht überraschen, dass Finanzinstitute - als Hüter des hart verdienten Geldes der Welt - einige der strengsten Best-Practice-Richtlinien für Cybersicherheit sowie End-to-End-Prozesse zur Reduzierung ihres Risikos haben.
Eine wichtige Triebfeder für diese Konformität ist das PCI Security Standards Council, das sich weiterhin dafür einsetzt, Finanzorganisationen bei der Umsetzung einer praktikablen Sicherheitspolitik zu unterstützen und Richtlinien in allen Bereichen einzuhalten. Das PCI Security Standards Council ist eine treibende Kraft, wenn es darum geht, die höchsten Sicherheitsstandards für Zahlungssoftware zu erreichen.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach sind sie in der Regel sicherheitsbewusster und stellen Ressourcen für ganzheitliche Schulungsprogramme nicht nur für AppSec-Experten und Pen-Tester bereit, sondern auch für ihre (in der Regel sehr großen und weltweit verteilten) Entwicklungsteams. Sie stellen sicher, dass die Entscheidungsträger auf oberster Ebene verstehen, dass Sicherheitsprozesse keine "Set-and-Forget"-Maßnahmen sind; sie müssen sich genauso schnell weiterentwickeln wie die eingesetzte Technologie und sich an variable Risiken anpassen.
Mehr Unternehmen werden ihre Sicherheits-Pipeline umgestalten.
Im Vergleich zu anderen Zweigen der IT ist AppSec relativ jung. Es ist schwer, das neue Kind zu sein: Man wird leicht missverstanden und hat vielleicht noch nicht die wichtigen Beziehungen aufgebaut, die man braucht. Ich glaube jedoch, dass es für AppSec mit jedem Jahr einfacher wird, seinen Platz selbst in den antiquiertesten Organisationen zu finden, die sich gegen Veränderungen sträuben.
Es wird immer deutlicher, dass Unternehmen die Sicherheits-Compliance nicht zu einem letzten, in letzter Minute erfolgenden Schritt in ihren Softwareprozessen machen können. Es muss Kontrollen und Maßnahmen von Punkt zu Punkt geben, mit mehr Konzentration auf die Aggregation von Daten und mehr Transparenz für die Führungsebenen des Unternehmens. Ohne dies wird die Sicherheit für die meisten aus den Augen und aus dem Sinn bleiben. Und in diesem Szenario ist es praktisch unmöglich, die für die Risikoplanung erforderlichen Ressourcen zu sammeln.
Die gute Nachricht ist, dass mehr Unternehmen als je zuvor ihre eigenen Cyberangriffe erkennen und daran arbeiten, sie zu beheben. Die schlechte Nachricht? Dieser Prozess dauert im Durchschnitt fünfundachtzig Tage.
Pen-Testing-Tools und manuelle Code-Reviews sind mühsam, teuer und langsam in einer Zeit, in der schnelle Innovation und Feature-Produktion im Technologiebereich ein Muss sind. Das Sicherheitsbewusstsein muss sich von Anfang an durchsetzen: von dem Moment an, in dem ein Entwickler den Code überhaupt erst schreibt.
Unsere Branche wird das Hauptproblem erkennen: Wir brauchen Menschen, die sich mehr kümmern.
Die Sache ist die: Ich könnte konservativ zwanzig Personen in meinem Netzwerk zählen, die irgendwann in den letzten vier Jahren in einem Marriott-Hotel übernachtet haben. Da in dieser Zeit 500 Millionen Datensätze gestohlen wurden, ist die Wahrscheinlichkeit groß, dass ihre Daten Teil dieses Diebstahls waren. Alles, von aktuellen Kontaktinformationen über noch gültige Kreditkartennummern bis hin zu Passdaten, könnte gerade jetzt im Dark Web zum Verkauf stehen. Allerdings war ihr Betreuungsfaktor im Grunde gleich Null.
Und, nun ja, es ist leicht, selbstgefällig zu sein, wenn man bei einem so groß angelegten Datenraub im Grunde eine Nadel im Heuhaufen ist.
Doch das eigentliche Problem? Die Unternehmen, die es versäumt haben, die Daten ihrer eigenen Kunden zu schützen, sehen sich kaum mit Konsequenzen konfrontiert. Wird ihr Aktienkurs unmittelbar nach dem Vorfall in Mitleidenschaft gezogen? Darauf können Sie wetten. Target, Equifax und jetzt auch Marriott können das bestätigen. Ein Blick auf die nächsten zwölf Monate zeigt jedoch, dass sich der Kurs recht schnell wieder normalisiert. Ein paar Jahre später ist finanziell gesehen alles vergeben.
Solange es keine ernsthaften Konsequenzen gibt: hohe Geldstrafen, strengere Vorschriften und erhebliche Geschäftseinbußen, wird AppSec eine Branche sein, die ständig darum kämpfen muss, die Schwere der wachsenden Cyber-Risiken, denen ein Unternehmen ausgesetzt ist, zu vermitteln.
Ich fürchte, es wird noch viel schlimmer werden, bevor es besser wird. Deshalb ist es von größter Wichtigkeit, dass wir daran arbeiten, sicherheitsbewusste Entwickler und robuste Sicherheitskulturen an den vordersten Linien der technischen Teams eines Unternehmens aufzubauen. Behalten Sie das Thema im Hinterkopf und streben Sie weiterhin nach einem höheren Standard der Software-Sicherheit.
2018 war ein Mammutjahr für Cybersicherheitsexperten. Trotz der Warnungen, Sicherheit ernster zu nehmen, der ständigen Presse über die Förderung von mehr Talenten in der Sicherheitsbranche und den allgemeinen Versuchen, Organisationen cyberbewusster zu machen, müssen wir auf die rauchenden Krater starren, die Hunderte von Cyberangriffen hinterlassen haben, die für groß angelegte Datenverletzungen und das Misstrauen der Verbraucher gegenüber einigen sehr bekannten Haushaltsnamen stehen. Allein in der ersten Hälfte des Jahres 2018 wurden 4,5 Milliarden Datensätze in 945 separaten Vorfällen kompromittiert.
Ich habe es schon viele Male gesagt: Wir können es besser machen. Der eigentliche Kampf, dem wir uns stellen müssen, ist jedoch nicht gegen Skript-Kiddies, gefährliche organisierte Cybercrime-Syndikate oder mysteriöse Gestalten in Kapuzenpullis, die auf Laptops herumtippen - der Kampf besteht darin, mehr Menschen dafür zu sensibilisieren, dass diese Sicherheitsverletzungen überhaupt passieren.
Die Einhaltung der GDPR ist ein guter Anfang, wird aber kurzfristig keinen großen Effekt haben.
Die Datenschutzgrundverordnung (GDPR) der Europäischen Union ist nun in vollem Gange; eine drohende Gefahr für Unternehmen, die den Datenschutz nicht ernst nehmen. Mit enormen Geldstrafen für diejenigen, die nicht konform sind, sollte dies ein Tritt in den Hintern für Unternehmen sein, um ihre Sicherheitspraktiken zu verschärfen, Kundendaten mit mehr Respekt zu behandeln und eine Strategie zur Abschwächung von Cyberangriffen zu entwickeln.
Einige Unternehmen wurden bereits vor hohen Geldstrafen gewarnt, aber wir müssen noch die wahren Folgen der Nichteinhaltung der DSGVO sehen. Keine ruinösen Strafen, nur eine ganze Menge Pop-ups, durch die wir Webnutzer klicken müssen. Das liegt zum Teil daran, dass juristische Prozesse viel Zeit in Anspruch nehmen und es viele Möglichkeiten gibt, in Berufung zu gehen - alle Unternehmen, an denen ein Exempel statuiert wurde, sind wahrscheinlich in einen monate- oder jahrelangen Rechtsstreit verwickelt. Zum Abschluss eines Albtraumjahres für Facebook wurde kürzlich eine weitere Datenpanne bekannt: ein API-Bug, der die privaten Fotos von 6,8 Millionen Nutzern 1500 nicht autorisierten Anwendungen zugänglich machte. Er wurde innerhalb von zwei Wochen gefunden und gepatcht, doch Datenschutzbehörden und die Öffentlichkeit wurden erst Monate später auf den Verstoß aufmerksam gemacht. Die GDPR-Gesetze verlangen eine Benachrichtigung über einen Verstoß innerhalb von 72 Stunden, daher wirft dies eine Menge Fragen darüber auf, wie einflussreich und effektiv diese Gesetze derzeit wirklich sind.
Und natürlich haben die Sicherheitsverletzungen auch anderswo nicht aufgehört: Der Einbruch bei Marriott im November hat gezeigt, dass satte 500 Millionen Datensätze kompromittiert wurden und, was vielleicht noch beunruhigender ist, dass die Angreifer vier Jahre lang Zugriff auf die Systeme hatten, bevor sie entdeckt wurden. Es sollte jedoch angemerkt werden, dass Marriott anscheinend Schadensbegrenzung betreibt: Sie haben den Opfern ein kostenloses 12-monatiges Abonnement für WebWatcher angeboten, ein Tool zur Kreditüberwachung... aber bei 500 Millionen Datensätzen, die die Hacker durchforsten konnten, bleibt abzuwarten, ob ein Jahr für die meisten genug Zeit ist, um irgendetwas Sinnvolles zu überwachen; schließlich kann es einige Jahre dauern, bis Ihre Daten für eine skrupellose Nutzung aufgedeckt werden.
Langfristig werden Vorschriften wie GDPR positive Veränderungen bewirken, wenn sie durchgesetzt werden. Wenn Unternehmen mit einer signifikanten finanziellen Strafe (oder sogar Sammelklagen von Kunden, deren Daten kompromittiert wurden) oder einem Gewinnrückgang in ausreichendem Umfang konfrontiert werden, glaube ich, dass wir bei den meisten Unternehmen einen frenetischen Fokus auf die Stärkung der Online-Datenbanken sehen werden.
Finanzinstitute werden auch weiterhin den Weg für kurzfristige positive Veränderungen vorgeben.
Es mag nicht überraschen, dass Finanzinstitute - als Hüter des hart verdienten Geldes der Welt - einige der strengsten Best-Practice-Richtlinien für Cybersicherheit sowie End-to-End-Prozesse zur Reduzierung ihres Risikos haben.
Eine wichtige Triebfeder für diese Konformität ist das PCI Security Standards Council, das sich weiterhin dafür einsetzt, Finanzorganisationen bei der Umsetzung einer praktikablen Sicherheitspolitik zu unterstützen und Richtlinien in allen Bereichen einzuhalten. Das PCI Security Standards Council ist eine treibende Kraft, wenn es darum geht, die höchsten Sicherheitsstandards für Zahlungssoftware zu erreichen.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach sind sie in der Regel sicherheitsbewusster und stellen Ressourcen für ganzheitliche Schulungsprogramme nicht nur für AppSec-Experten und Pen-Tester bereit, sondern auch für ihre (in der Regel sehr großen und weltweit verteilten) Entwicklungsteams. Sie stellen sicher, dass die Entscheidungsträger auf oberster Ebene verstehen, dass Sicherheitsprozesse keine "Set-and-Forget"-Maßnahmen sind; sie müssen sich genauso schnell weiterentwickeln wie die eingesetzte Technologie und sich an variable Risiken anpassen.
Mehr Unternehmen werden ihre Sicherheits-Pipeline umgestalten.
Im Vergleich zu anderen Zweigen der IT ist AppSec relativ jung. Es ist schwer, das neue Kind zu sein: Man wird leicht missverstanden und hat vielleicht noch nicht die wichtigen Beziehungen aufgebaut, die man braucht. Ich glaube jedoch, dass es für AppSec mit jedem Jahr einfacher wird, seinen Platz selbst in den antiquiertesten Organisationen zu finden, die sich gegen Veränderungen sträuben.
Es wird immer deutlicher, dass Unternehmen die Sicherheits-Compliance nicht zu einem letzten, in letzter Minute erfolgenden Schritt in ihren Softwareprozessen machen können. Es muss Kontrollen und Maßnahmen von Punkt zu Punkt geben, mit mehr Konzentration auf die Aggregation von Daten und mehr Transparenz für die Führungsebenen des Unternehmens. Ohne dies wird die Sicherheit für die meisten aus den Augen und aus dem Sinn bleiben. Und in diesem Szenario ist es praktisch unmöglich, die für die Risikoplanung erforderlichen Ressourcen zu sammeln.
Die gute Nachricht ist, dass mehr Unternehmen als je zuvor ihre eigenen Cyberangriffe erkennen und daran arbeiten, sie zu beheben. Die schlechte Nachricht? Dieser Prozess dauert im Durchschnitt fünfundachtzig Tage.
Pen-Testing-Tools und manuelle Code-Reviews sind mühsam, teuer und langsam in einer Zeit, in der schnelle Innovation und Feature-Produktion im Technologiebereich ein Muss sind. Das Sicherheitsbewusstsein muss sich von Anfang an durchsetzen: von dem Moment an, in dem ein Entwickler den Code überhaupt erst schreibt.
Unsere Branche wird das Hauptproblem erkennen: Wir brauchen Menschen, die sich mehr kümmern.
Die Sache ist die: Ich könnte konservativ zwanzig Personen in meinem Netzwerk zählen, die irgendwann in den letzten vier Jahren in einem Marriott-Hotel übernachtet haben. Da in dieser Zeit 500 Millionen Datensätze gestohlen wurden, ist die Wahrscheinlichkeit groß, dass ihre Daten Teil dieses Diebstahls waren. Alles, von aktuellen Kontaktinformationen über noch gültige Kreditkartennummern bis hin zu Passdaten, könnte gerade jetzt im Dark Web zum Verkauf stehen. Allerdings war ihr Betreuungsfaktor im Grunde gleich Null.
Und, nun ja, es ist leicht, selbstgefällig zu sein, wenn man bei einem so groß angelegten Datenraub im Grunde eine Nadel im Heuhaufen ist.
Doch das eigentliche Problem? Die Unternehmen, die es versäumt haben, die Daten ihrer eigenen Kunden zu schützen, sehen sich kaum mit Konsequenzen konfrontiert. Wird ihr Aktienkurs unmittelbar nach dem Vorfall in Mitleidenschaft gezogen? Darauf können Sie wetten. Target, Equifax und jetzt auch Marriott können das bestätigen. Ein Blick auf die nächsten zwölf Monate zeigt jedoch, dass sich der Kurs recht schnell wieder normalisiert. Ein paar Jahre später ist finanziell gesehen alles vergeben.
Solange es keine ernsthaften Konsequenzen gibt: hohe Geldstrafen, strengere Vorschriften und erhebliche Geschäftseinbußen, wird AppSec eine Branche sein, die ständig darum kämpfen muss, die Schwere der wachsenden Cyber-Risiken, denen ein Unternehmen ausgesetzt ist, zu vermitteln.
Ich fürchte, es wird noch viel schlimmer werden, bevor es besser wird. Deshalb ist es von größter Wichtigkeit, dass wir daran arbeiten, sicherheitsbewusste Entwickler und robuste Sicherheitskulturen an den vordersten Linien der technischen Teams eines Unternehmens aufzubauen. Behalten Sie das Thema im Hinterkopf und streben Sie weiterhin nach einem höheren Standard der Software-Sicherheit.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchenVorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
2018 war ein Mammutjahr für Cybersicherheitsexperten. Trotz der Warnungen, Sicherheit ernster zu nehmen, der ständigen Presse über die Förderung von mehr Talenten in der Sicherheitsbranche und den allgemeinen Versuchen, Organisationen cyberbewusster zu machen, müssen wir auf die rauchenden Krater starren, die Hunderte von Cyberangriffen hinterlassen haben, die für groß angelegte Datenverletzungen und das Misstrauen der Verbraucher gegenüber einigen sehr bekannten Haushaltsnamen stehen. Allein in der ersten Hälfte des Jahres 2018 wurden 4,5 Milliarden Datensätze in 945 separaten Vorfällen kompromittiert.
Ich habe es schon viele Male gesagt: Wir können es besser machen. Der eigentliche Kampf, dem wir uns stellen müssen, ist jedoch nicht gegen Skript-Kiddies, gefährliche organisierte Cybercrime-Syndikate oder mysteriöse Gestalten in Kapuzenpullis, die auf Laptops herumtippen - der Kampf besteht darin, mehr Menschen dafür zu sensibilisieren, dass diese Sicherheitsverletzungen überhaupt passieren.
Die Einhaltung der GDPR ist ein guter Anfang, wird aber kurzfristig keinen großen Effekt haben.
Die Datenschutzgrundverordnung (GDPR) der Europäischen Union ist nun in vollem Gange; eine drohende Gefahr für Unternehmen, die den Datenschutz nicht ernst nehmen. Mit enormen Geldstrafen für diejenigen, die nicht konform sind, sollte dies ein Tritt in den Hintern für Unternehmen sein, um ihre Sicherheitspraktiken zu verschärfen, Kundendaten mit mehr Respekt zu behandeln und eine Strategie zur Abschwächung von Cyberangriffen zu entwickeln.
Einige Unternehmen wurden bereits vor hohen Geldstrafen gewarnt, aber wir müssen noch die wahren Folgen der Nichteinhaltung der DSGVO sehen. Keine ruinösen Strafen, nur eine ganze Menge Pop-ups, durch die wir Webnutzer klicken müssen. Das liegt zum Teil daran, dass juristische Prozesse viel Zeit in Anspruch nehmen und es viele Möglichkeiten gibt, in Berufung zu gehen - alle Unternehmen, an denen ein Exempel statuiert wurde, sind wahrscheinlich in einen monate- oder jahrelangen Rechtsstreit verwickelt. Zum Abschluss eines Albtraumjahres für Facebook wurde kürzlich eine weitere Datenpanne bekannt: ein API-Bug, der die privaten Fotos von 6,8 Millionen Nutzern 1500 nicht autorisierten Anwendungen zugänglich machte. Er wurde innerhalb von zwei Wochen gefunden und gepatcht, doch Datenschutzbehörden und die Öffentlichkeit wurden erst Monate später auf den Verstoß aufmerksam gemacht. Die GDPR-Gesetze verlangen eine Benachrichtigung über einen Verstoß innerhalb von 72 Stunden, daher wirft dies eine Menge Fragen darüber auf, wie einflussreich und effektiv diese Gesetze derzeit wirklich sind.
Und natürlich haben die Sicherheitsverletzungen auch anderswo nicht aufgehört: Der Einbruch bei Marriott im November hat gezeigt, dass satte 500 Millionen Datensätze kompromittiert wurden und, was vielleicht noch beunruhigender ist, dass die Angreifer vier Jahre lang Zugriff auf die Systeme hatten, bevor sie entdeckt wurden. Es sollte jedoch angemerkt werden, dass Marriott anscheinend Schadensbegrenzung betreibt: Sie haben den Opfern ein kostenloses 12-monatiges Abonnement für WebWatcher angeboten, ein Tool zur Kreditüberwachung... aber bei 500 Millionen Datensätzen, die die Hacker durchforsten konnten, bleibt abzuwarten, ob ein Jahr für die meisten genug Zeit ist, um irgendetwas Sinnvolles zu überwachen; schließlich kann es einige Jahre dauern, bis Ihre Daten für eine skrupellose Nutzung aufgedeckt werden.
Langfristig werden Vorschriften wie GDPR positive Veränderungen bewirken, wenn sie durchgesetzt werden. Wenn Unternehmen mit einer signifikanten finanziellen Strafe (oder sogar Sammelklagen von Kunden, deren Daten kompromittiert wurden) oder einem Gewinnrückgang in ausreichendem Umfang konfrontiert werden, glaube ich, dass wir bei den meisten Unternehmen einen frenetischen Fokus auf die Stärkung der Online-Datenbanken sehen werden.
Finanzinstitute werden auch weiterhin den Weg für kurzfristige positive Veränderungen vorgeben.
Es mag nicht überraschen, dass Finanzinstitute - als Hüter des hart verdienten Geldes der Welt - einige der strengsten Best-Practice-Richtlinien für Cybersicherheit sowie End-to-End-Prozesse zur Reduzierung ihres Risikos haben.
Eine wichtige Triebfeder für diese Konformität ist das PCI Security Standards Council, das sich weiterhin dafür einsetzt, Finanzorganisationen bei der Umsetzung einer praktikablen Sicherheitspolitik zu unterstützen und Richtlinien in allen Bereichen einzuhalten. Das PCI Security Standards Council ist eine treibende Kraft, wenn es darum geht, die höchsten Sicherheitsstandards für Zahlungssoftware zu erreichen.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach sind sie in der Regel sicherheitsbewusster und stellen Ressourcen für ganzheitliche Schulungsprogramme nicht nur für AppSec-Experten und Pen-Tester bereit, sondern auch für ihre (in der Regel sehr großen und weltweit verteilten) Entwicklungsteams. Sie stellen sicher, dass die Entscheidungsträger auf oberster Ebene verstehen, dass Sicherheitsprozesse keine "Set-and-Forget"-Maßnahmen sind; sie müssen sich genauso schnell weiterentwickeln wie die eingesetzte Technologie und sich an variable Risiken anpassen.
Mehr Unternehmen werden ihre Sicherheits-Pipeline umgestalten.
Im Vergleich zu anderen Zweigen der IT ist AppSec relativ jung. Es ist schwer, das neue Kind zu sein: Man wird leicht missverstanden und hat vielleicht noch nicht die wichtigen Beziehungen aufgebaut, die man braucht. Ich glaube jedoch, dass es für AppSec mit jedem Jahr einfacher wird, seinen Platz selbst in den antiquiertesten Organisationen zu finden, die sich gegen Veränderungen sträuben.
Es wird immer deutlicher, dass Unternehmen die Sicherheits-Compliance nicht zu einem letzten, in letzter Minute erfolgenden Schritt in ihren Softwareprozessen machen können. Es muss Kontrollen und Maßnahmen von Punkt zu Punkt geben, mit mehr Konzentration auf die Aggregation von Daten und mehr Transparenz für die Führungsebenen des Unternehmens. Ohne dies wird die Sicherheit für die meisten aus den Augen und aus dem Sinn bleiben. Und in diesem Szenario ist es praktisch unmöglich, die für die Risikoplanung erforderlichen Ressourcen zu sammeln.
Die gute Nachricht ist, dass mehr Unternehmen als je zuvor ihre eigenen Cyberangriffe erkennen und daran arbeiten, sie zu beheben. Die schlechte Nachricht? Dieser Prozess dauert im Durchschnitt fünfundachtzig Tage.
Pen-Testing-Tools und manuelle Code-Reviews sind mühsam, teuer und langsam in einer Zeit, in der schnelle Innovation und Feature-Produktion im Technologiebereich ein Muss sind. Das Sicherheitsbewusstsein muss sich von Anfang an durchsetzen: von dem Moment an, in dem ein Entwickler den Code überhaupt erst schreibt.
Unsere Branche wird das Hauptproblem erkennen: Wir brauchen Menschen, die sich mehr kümmern.
Die Sache ist die: Ich könnte konservativ zwanzig Personen in meinem Netzwerk zählen, die irgendwann in den letzten vier Jahren in einem Marriott-Hotel übernachtet haben. Da in dieser Zeit 500 Millionen Datensätze gestohlen wurden, ist die Wahrscheinlichkeit groß, dass ihre Daten Teil dieses Diebstahls waren. Alles, von aktuellen Kontaktinformationen über noch gültige Kreditkartennummern bis hin zu Passdaten, könnte gerade jetzt im Dark Web zum Verkauf stehen. Allerdings war ihr Betreuungsfaktor im Grunde gleich Null.
Und, nun ja, es ist leicht, selbstgefällig zu sein, wenn man bei einem so groß angelegten Datenraub im Grunde eine Nadel im Heuhaufen ist.
Doch das eigentliche Problem? Die Unternehmen, die es versäumt haben, die Daten ihrer eigenen Kunden zu schützen, sehen sich kaum mit Konsequenzen konfrontiert. Wird ihr Aktienkurs unmittelbar nach dem Vorfall in Mitleidenschaft gezogen? Darauf können Sie wetten. Target, Equifax und jetzt auch Marriott können das bestätigen. Ein Blick auf die nächsten zwölf Monate zeigt jedoch, dass sich der Kurs recht schnell wieder normalisiert. Ein paar Jahre später ist finanziell gesehen alles vergeben.
Solange es keine ernsthaften Konsequenzen gibt: hohe Geldstrafen, strengere Vorschriften und erhebliche Geschäftseinbußen, wird AppSec eine Branche sein, die ständig darum kämpfen muss, die Schwere der wachsenden Cyber-Risiken, denen ein Unternehmen ausgesetzt ist, zu vermitteln.
Ich fürchte, es wird noch viel schlimmer werden, bevor es besser wird. Deshalb ist es von größter Wichtigkeit, dass wir daran arbeiten, sicherheitsbewusste Entwickler und robuste Sicherheitskulturen an den vordersten Linien der technischen Teams eines Unternehmens aufzubauen. Behalten Sie das Thema im Hinterkopf und streben Sie weiterhin nach einem höheren Standard der Software-Sicherheit.
Inhaltsübersicht
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior
DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.
Ressourcen für den Einstieg
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.
Wesentlicher Erfolg für Enterprise Secure-by-Design-Initiativen
Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.
Vertiefung: Navigieren durch die kritische CUPS-Schwachstelle in GNU-Linux-Systemen
Entdecken Sie die neuesten Sicherheitsprobleme, mit denen Linux-Benutzer konfrontiert sind, indem wir die jüngsten hochgradigen Sicherheitslücken im Common UNIX Printing System (CUPS) untersuchen. Erfahren Sie, wie diese Probleme zu einer möglichen Remote Code Execution (RCE) führen können und was Sie tun können, um Ihre Systeme zu schützen.