Umbruch in der IT-Sicherheit: Wenn aus digitaler Sorglosigkeit digitale Sorgsamkeit werden muss

Digitalisierung ist schon lange kein Zukunftstrend mehr – im Gegenteil: Sie ist in nahezu allen Bereichen unserer Gesellschaft angekommen, ja fast schon omnipräsent. IoT vernetzt immer mehr Dinge über das Internet und bietet Unternehmen völlig neue Möglichkeiten, ihr Business zu optimieren. Und sogar die Bundeskanzlerin setzt auf die totale Vernetzung der Wirtschaft [1]. Doch die Digitalisierung bietet gleichermaßen auch neue Gelegenheiten für Cyber-Kriminelle. Gefahren, die neben den imposanten Vorteilen der globalen Vernetzung oftmals zu wenig wahrgenommen werden. Wesentlicher Nährboden für Hacker ist dabei unzureichende oder falsch eingeschätzte IT-Sicherheit [2]. Doch nun soll aufgerüstet werden.
Mehr…

Deutsche Software-Siegel im Vergleich (2) – IT-Entscheider wollen geprüfte Qualitätssoftware

Im ersten Teil dieser Blogserie haben wir über zwei Gütesiegel des BITMi gesprochen: Das Siegel „Software Made in Germany“, das für Service, Qualität und Zukunftsfähigkeit steht, und „Software Hosted in Germany“, das Sicherheit und Vertrauen in das deutsche Recht miteinander verbindet. In diesem Teil erweitern wir den Vergleich um zwei weitere deutsche Software-Siegel: Das Qualitätszeichen „IT-Security Made in Germany“ und die „TÜV SÜD-Zertifizierung für Softwarequalität“.
Mehr…

Deutsche Software-Siegel im Vergleich (1) – IT-Entscheider wollen geprüfte Qualitätssoftware

Die jüngsten Ereignisse rund um den NSA-Skandal haben IT-Entscheider in deutschen Unternehmen zum Umdenken angeregt. Das Vertrauen in US-amerikanische IT-Produkte und -Dienstleistungen wurde gebrochen. Mehr denn je sind heute qualitativ hochwertige Softwarelösungen gefragt, die dem deutschen Recht und Datenschutzverständnis Folge leisten. In unserem zweiteiligen Beitrag zeigen wir Ihnen deutsche Software-Siegel im Vergleich und worauf es bei der Auswahl ankommt.
Mehr…

„Vielleicht gibt es in 15 Jahren auch gar keine Smartphones mehr“

Konrad und TamaraSieht mit 15 Jahren die digitale Welt ganz anders aus als mit 44? doubleSlash-Gründer Konrad Krafft und seine Tochter Tamara im Gespräch zu Technologie von damals, heute und der Zukunft.

Wie sah die Technikwelt aus, als du 15 Jahre alt warst? Was ist dir besonders in Erinnerung geblieben und war unverzichtbar?

Mehr…

M2M Security – Wie Geräte sicher miteinander kommunizieren

M2M Security

M2M-Anwendungen bringen in Sachen Sicherheit neue Herausforderungen mit sich. Wolfram Lutz beschäftigt sich schon seit mehreren Jahren mit den Themen IT-Security und M2M und kennt die Besonderheiten von M2M Security. Im Interview spricht er über die notwendigen Sicherheitsstandards und warum es so wichtig ist, diese von Anfang an im Blick zu haben.
Mehr…

Hybrid Cloud – was ist das überhaupt?

Vorteile aller Cloud ServicesDerzeit ist in aller Munde: „Die Hybrid Cloud vor dem Durchbruch“. Immer mehr Unternehmen setzen auf eine Mischung von Angeboten aus Public Cloud und eigenen, sogenannten Private Cloud-Services. Die IT-Fachzeitschrift „Funkschau“ hat sich vor kurzem intensiv mit diesem Thema auseinandergesetzt (1). Auch die Ergebnisse großer Forschungsinstitute zeigen dahingehend einen klaren Trend auf: Schon bald wird der Cloud-Markt von der hybriden Wolke bestimmt werden. Gartner beispielsweise prognostiziert, dass bereits in drei Jahren circa 50 % aller Cloud-Lösungen auf hybrider Basis realisiert werden (2). Und dennoch können unserer Erfahrung nach bisher nur wenige Fachleute erklären, was eine Hybrid Cloud wirklich ist.Mehr…

Erneuter Datenklau im Cloud-Segment: 5 Tipps für den sicheren Umgang mit der Cloud

Fotolia © ra2 studioDie sogenannten „Platzhirsche“ zeigen sich nicht gerade beispielhaft: Immer öfter hört man von Hackerangriffen und gestohlenen Passwörtern. Erst gestern eine weitere Schlagzeile, dass der Cloudspeicher „Dropbox“ gehackt wurde. In diesem Fall handelt es sich sogar um 7 Millionen gestohlene Zugangsdaten. Und das Schlimme dabei: die Daten sind öffentlich zugänglich. Kaum auszudenken was los wäre, wenn so etwas einem Unternehmen passiert, das mit sensiblen Daten agiert, vor allem Kundendaten, Kreditkarteninformationen, technische Zeichnungen, Verträge etc..
Mehr…

dmexco 2014: Vom Digital Marketing zur Digital Transformation

congress hall_©-dmexco.de_fotoshow Auch dieses Jahr hat sich ein Fachbesuch auf der dmexco – Deutschlands größter Digital Marketing Messe/ 10.&11.09. in Köln – für das Online Marketing wieder gelohnt. Hier möchte ich kurz die wichtigsten Trends und Entwicklungen vorstellen, die sowohl für uns als IT-Dienstleister wichtig sind und im Sinne unserer Kunden und der zunehmenden Digitalisierung keiner verpassen sollte.
Mehr…

Sichere Benutzer- und Rollenvergabe durch container managed security

©-voyager624---Fotolia.com_blogAuthentifizierungs- und Autorisierungsmechanismen stellen in unternehmenskritischen Anwendungen unerlässliche Bestandteile dar. Java EE-konforme Applikationsserver wie z.B. der Oracle GlassFish Server bieten mit der „container managed security“ ein mächtiges Werkzeug zur Umsetzung von Authentifizierung und rollenbasierter Autorisierung in Webapplikationen.

Die Idee hinter dem Konzept der container managed security ist die Definition von Benutzern und Rollen außerhalb der eigentlichen Enterprise-Applikation und der Einsatz eines standardisierten Mechanismus zur Legitimation des Benutzers. Sämtliche Entscheidungen zur Zugriffskontrolle werden automatisch durch den eingesetzten JEE-Applikationscontainer getroffen. Der Entwickler selbst definiert lediglich, welche Applikationsbestandteile abgesichert werden sollen und für welche Benutzerrollen diese verfügbar sind.

Hierfür stehen dem Entwickler diese beiden Konstrukte zur Verfügung:

Deklarative Sicherheit (declarative security)

Bei der deklarativen Konfiguration werden die Sicherheitsanforderungen der Applikation entweder über Deploymentdeskriptoren oder Java-Annotations definiert. Im Falle von Webkomponenten erfolgt dies über den Deskriptor web.xml, bei Java Enterprise Beans über die Datei ejb-jar.xml.

Folgende Beispielkonfiguration beschränkt den Zugriff auf sämtliche Web-Ressourcen unter der URL /private auf Benutzer der Rolle user:

<security-constraint>
 
<web-resource-collection>
 
            <web-resource-name>private</web-resource-name>
 
            <url-pattern>/private/*</url-pattern>
 
     </web-resource-collection>
 
     <auth-constraint>
 
            <role-name>user</role-name>
 
     </auth-constraint>
 
</security-constraint>

Erfolgt ein Zugriff auf diesen Bereich, wird der Benutzer aufgefordert sich zu authentisieren. Der Login – beispielsweise über ein HTML-Formular – wird folgendermaßen definiert:

<login-config>
 
     <auth-method>FORM</auth-method>
 
     <realm-name>myrealm</realm-name>
 
     <form-login-config>
 
            <form-login-page>/login.html</form-login-page>
 
            <form-error-page>/error.html</form-error-page>
 
     </form-login-config>
 
</login-config>

Die Authentifizierung erfolgt gegen die angegeben Realm. Dies kann z.B. ein vorhandener LDAP-Server im Unternehmensnetzwerk sein.

Programmatische Sicherheit (programmatic security) 

Es gibt Anwendungsfälle, in denen ein komplexeres Sicherheitsmodell in der Applikationabgebildet werden muss, das sich nicht mit der deklarativen Sicherheit beschreiben lässt. Das ist beispielsweise der Fall, wenn bei häufig fehlgeschlagenen Loginversuchen externe Systeme wie z.B. ein Security Incident Tool benachrichtigt werden müssen.

In solchen Fällen kann mit der programmatischen Sicherheit während der Authentifizierung weitere Geschäftslogik ausgeführt werden. Der Zugriff auf Methoden zur Authentifizierung und Autorisierung erfolgt hierbei über die Schnittstelle HttpServletRequest der Servlet 3.0 Spezifikation.

container managed security: sicher, effizient und wartungsfreundlich 

Die container managed security trägt maßgeblich zur Sicherheit von Unternehmensanwendungen bei, da die fehleranfällige Implementierung von Authentifizierungs- und Autorisierungsmechanismen durch den Anwendungsentwickler vermieden wird.

Durch Wegfall der Implementierung von Schnittstellen zu den dahinterliegenden Authentifizierungssystemen und Verzeichnisdiensten, wird nicht nur die Effizienz des Entwicklerteams, durch weniger Programmcode/Bugs und einfachere Konfiguration, sondern auch die Wartungsfreundlichkeit der Applikation verbessert.

 


Quellen:
[Bild] © voyager624, Fotolia.com_blog