Sichere Benutzer- und Rollenvergabe durch container managed security

Authentifizierungs- und Autorisierungsmechanismen stellen in unternehmenskritischen Anwendungen unerlässliche Bestandteile dar. Java EE-konforme Applikationsserver wie z.B. der Oracle GlassFish Server bieten mit der „container managed security“ ein mächtiges Werkzeug zur Umsetzung von Authentifizierung und rollenbasierter Autorisierung in Webapplikationen.
Continue reading

Security in Webanwendungen Teil 1: Design von sicheren Webapplikationen

Verschlüsselung_klein

Wir alle nutzen in unserem täglichen Leben eine Vielzahl verschiedenster Webapplikationen und vertrauen ihnen unsere Daten an. Eben dieses Vertrauen in die Systeme ist eine essentielle Grundlage für „das Leben im Internet“. Wird dieses Vertrauen durch einen Sicherheitsvorfall enttäuscht, kann das erhebliche Auswirkungen auf das Image des Betreibers der Webapplikation haben. Sinkende Nutzerzahlen und Verkäufe können die Folge sein. Des Weiteren drohen möglicherweise hohe Entschädigungszahlungen für verlorengegangene Daten. Als logische Konsequenz dieser immensen negativen Auswirkungen sollte jede Webapplikation abgesichert werden, um Kriminellen einen erfolgreichen Angriff auf das System so schwer wie möglich zu machen. Eine 100%ige Sicherheit gibt es zwar nie, dennoch gibt es Mittel und Wege, Webanwendungen sicherer zu gestalten. Diese dreiteilige Blogserie beschäftigt sich mit dem Design, der Programmierung und der sicheren Benutzung von Webapplikationen.
Continue reading

Sicherheit per Fingerwisch

IPad+IPhone_baerbeitetTäglich haben wir immer mehr Passwörter in Gebrauch. Praktisch, dass mobile Endgeräte mit Touchoberfläche eine Alternative anbieten. Fast jeder schützt sein Smartphone oder Tablet-PC mit einer „Geste“. Durch das Betriebssystem Windows 8 ist es sogar möglich PCs und Laptops mit einem Bildcode zu sichern. Aber wie sicher ist das gemalte Passwort wirklich und wie einfach gestaltet sich die Bedienbarkeit?

Passwörter und Codes gibt es schon seit Jahrhunderten. Grafische Passwörter werden bereits seit den 90er Jahren in der Literatur untersucht.1 Mithilfe von einfachen Grafiken und Bildcodes sollen Passwörter einfacher zu merken und gleichzeitig sicherer als Buchstaben- und Zahlenkombinationen sein. Das besondere an grafischen Passwörtern ist, dass sie im Gegensatz zu textuellen Passwörtern als Objekt visuell erkannt werden. Das erleichtert vor allem die Merkfähigkeit des Passworts, da Bilder emotionaler verarbeitet werden können als komplizierte Kombinationen von Buchstaben und Zahlen.

Einfache Bedienung

Neben dem Merken eines Passwortes wird auch die Eingabe immer wieder zum Problem. Jeder Besitzer eines Smartphones oder Tablet-PCs kennt die Situation: Man will das Passwort eingeben, aber vertippt sich auf den winzigen Tasten. Der ein oder andere hat die Entscheidung für ein komplexes Passwort aus Zahlen, Buchstaben und Sonderzeichen sicher schon bereut, da diese nun täglich mühsam gesucht werden müssen. Das Zeichnen von Mustern oder Bildern erleichert die Bedienung und lässt die Tastatur überflüssig werden, wodurch sich die Eingabezeit verringert.

Windows 8

Mit Windows 8 lassen sich Muster direkt auf bzw. in ein selbst gewähltes Bild zeichnen. Dadurch erhöht sich die emotionale Merkfähigkeit zusätzlich, da der Nutzer einen persönlichen Bezug zu Bild und Passwort erstellt. Mit Wisch-, Punkt- und Kreisbewegungen können drei Gesten in das Bild gezeichnet werden. Ein zweites Mal zeichnen um zu bestätigen – fertig. Bei der nächsten Anmeldung erscheint dann das Bild anstatt eines Kennwortfensters. Die Gesten müssen beim Zeichnen allerdings nicht exakt auf den Pixeln liegen, da Windows eine gewisse Abweichung toleriert. Um den Bildcode unter Windows 8 benutzen zu können, muss nicht zwingend eine Touchoberfläche vorhanden sein. Das Ausführen der Gesten funktioniert auch mit der Maus.

Sicherheit

In Punkto Sicherheit schlägt das Passwort eine Geste auf dem Smartphone oder Tablet-PC. Die Sicherheit liegt in der Länge und der Vielfalt an Kombinationen. Die ist bei einem Passwort wesentlich höher, da auf einen größeren Zeichenvorrat zurückgegriffen werden kann. Eine Geste hingegen ist durch die Anzahl von neun Checkpoints stark eingeschränkt. Zwar kann der Nutzer festlegen in welche Richtung er seine Geste ausführt und wie viele Punkte er in sein Sperrmuster einschließt. Dennoch sind die Kombinationsmöglichkeiten aus Buchstaben, Zahlen und Sonderzeichen sehr viel höher.
Wesentlich mehr Möglichkeiten als die Geste bietet der Bildcode von Windows. Auf den ersten Blick erscheint die Variation von gerade einmal drei verschiedenen Symbolen relativ gering. Durch die freie Platzierung im Bild ergeben sich allerdings neue Kombinationen, die nun auch die Position der einzelnen Symbole berücksichtigen. Als Parallelität zur Länge eines Passworts gilt hier: Je komplexer das Bild, desto mehr Orientierungshilfen bei der Platzierung. Beispielsweise bietet ein Wimmelbild viel mehr „Versteckmöglichkeiten“, als ein Firmenlogo auf weißen Grund.

Eine Sicherheitslücke, die jedoch jedes mit Touch gesicherte Gerät aufweist, ist der dünne Fettfilm, der beim Zeichnen des Bildcodes oder der Geste entsteht. Hält man das Display schräg gegen das Licht wird dieser sichtbar, da er sich von den normalen Tipp-Berührungen abhebt.

Fazit

Abschließend kann man sagen, dass die Benutzerfreundlichkeit durch Bilder und Muster deutlich steigt, und es dem Nutzer leichter fällt, sich das Passwort bzw. Muster zu merken. Die Sicherheit von Smartphones und Tablet-PCs mit einem Sperrmuster ist trotz der vielen verschiedenen Muster nicht 100 Prozent sicher und wird eine PIN nicht ersetzen können. Wie hoch die Sicherheit des Windows 8 Bildcodes ist, muss noch ausgiebig in der Praxis getestet werden. Auch hier besteht die Möglichkeit, dass ein Fettfilm das Bild verraten kann. Zudem besteht ebenfalls die Gefahr, dass das Muster bereits beim Zeichnen von einer anderen Person erkannt werden kann.

1 wiki.unie-due.de

secureTransfer 4.1 – Dateiaustausch jetzt noch einfacher und mobil

Vor wenigen Tagen konnten wir bereits das Versionsupdate des Marketing Planner bekannt gegeben. Nun zieht auch die innovative Software zum Dateiaustausch nach. Der secureTransfer ist ab sofort in der Version 4.1 erhältlich und bietet zahlreiche neue Feature an.

secureTransfer DateiübersichtIm neusten Release stehen die Übersicht und der Komfort für den Nutzer im Vordergrund. Auch hier konnten wir wieder durch die langjährige Zusammenarbeit mit unseren Kunden profitieren und entsprechende Modifikationen und Verbesserungen vornehmen.

Zur besseren Übersicht und als zusätzlicher Sicherheitsfaktor ist es nun dem Nutzer möglich, bereits gelöschte Dateien anhand einer Historie zu identifizieren und aufzulisten. Auch werden nun Dateisendungen an nicht registrierte Nutzer dokumentiert, um eventuelle spätere Risiken oder Problemfälle schneller eingrenzen und zuordnen zu können. Auch können Sie so bspw. externen Partnern Dateien zur Verfügung stellen und sich jederzeit über den aktuellen Status der Datei informieren. Continue reading

Gut zu wissen: Google für mehr IT-Sicherheit

Google informiertGoogle hat eine Initiative zum Thema “Gut zu wissen” gestartet. In Zusammenarbeit mit dem Verein Deutschland sicher im Netz e.V. informiert Google auf der Seite www.google.de/gutzuwissen über den richtigen Umgang mit persönlichen Informationen & Daten im Netz. Gemeinsam wollen sie das Bewusstsein für mehr Sicherheit von Anbietern und Verbrauchern beim Umgang mit dem Medium Internet erhöhen. U.a. wird auch über Themen wie  Datenschutz, Computersicherheit, Mobile Sicherheit aufgeklärt. Aufgelockert werden die einzelnen Kapitel durch Videosequenzen, in denen auf das jeweilige Themengebiet eingegangen wird. In einem eigenständigen Navigationspunkt erklärt Google die manchmal eher merkwürdig klingenden Internetbegrifflichkeiten – schließlich vermutet so mancher das trojanische Pferd in der griechischen Mythologie und nicht im Internet.

Die Seite klärt auf einfache und verständliche Weise über das Thema Internetsicherheit auf. Ein weiteres Plus ist der Abschnitt darüber, wie Google mit den Daten der Nutzer umgeht.

Unser Fazit: Schauen Sie sich die Seite mal an, es ist wirklich interessant und lesenswert.

Schutz vor Cyber-Attacken

Mit Cyberkriminalität muss sich aktuell nicht nur ein bekannter Elektronikkonzern auseinandersetzen, auch 76% der deutschen Bundesbürger waren bereits von kriminellen Aktivitäten wie Viren, Trojaner, Identitätsdiebstahl, Phishing oder Spyware betroffen. Um die Angriffe aus dem Netz abzuwehren, wurde im Sommer 2011 das nationale Cyber Abwehrzentrum in Bonn offiziell eröffnet. Das Cyber-Abwehrzentrum hat die Aufgabe IT-Sicherheitsvorfälle schnell und umfassend zu bewerten, sowie Verwundbarkeiten und Angriffsformen zu analysieren. Zum Thema IT-Sicherheit veranstaltet das Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig IT-Grundschutz-Tage. Hier wurde das Produkt „BitBox“ (Browser in the Box) der Firma Sirrix AG vorgestellt. Die BitBox ist eine virtuelle Umgebung für gesichertes und komfortables Surfen im Internet, die im Auftrag des BSI entwickelt wurde.

Wie man sich gegen Cyber-Attacken schützen kann, haben wir für Sie in der folgenden Übersicht zusammengestellt:

  • Installieren Sie alle verfügbaren Sicherheitsupdates für Ihr Betriebssystem – am Besten die Aktualisierungen automatisch installieren lassen.
  • Achten Sie auf ein aktualisiertes Antiviren-Programm.
  • Verwenden Sie eine Firewall. Diese sollte immer aktiv sein und die Sicherheitsupdates regelmäßig aktualisiert werden.
  • Alternativ sind auch Sicherheitskomplettlösungen empfehlenswert. Diese enthalten nicht nur ein Antiviren-Programm und eine Firewall, sondern auch einen Phising-Schutz.
  • Wählen Sie ein sicheres Kennwort und ändern Sie dieses in regelmäßigen Abständen.
  • Schützen Sie Ihre personenbezogenen Daten.
  • Lassen Sie sich nicht auf dubiose Internetangebote ein.
  • Überprüfen Sie Ihre Kontobewegungen und Kreditkartenabrechnungen.

Qualitätssicherung bei Einführung von Unternehmenssoftware

Wurde neue Businesssoftware „in Time“ und „in Budget“ entwickelt geht für viele IT- oder Fachabteilungen die Herausforderung erst richtig los. Denn jetzt gilt es die Software auf Funktion und Qualität zu prüfen und in den sicheren Betrieb zu überführen.

Qualitätssicherung und Entwicklung von Software bei der EinführungMeistens ist es der Softwarehersteller selbst, der diese Phase zusammen mit dem Kunden begleitet. Doch nicht immer ist dies im Hinblick auf die qualitative Maximierung ein empfehlenswertes Vorgehen. Der Hersteller kennt seine eigene Software inn und auswendig.

Daher wird er sich in der Qualitätssicherung eher auf das Debugging und verifizieren von Funktionen beschränken. Entsprechend schwach fällt die Ausbeute aus, wenn möglichst viele Fehler/Bugs identifziert und protokolliert werden sollen.

‚Neutrale Instanz‘ sorgt für Qualität

Je nach Fall kann eine neutrale, in der Entwicklung unbeteiligte Instanz, die frischt entwickelte Unternehmenssoftware oder die Konzepte besser und konzentrierter testen. Die Zielsetzung hier ist so viele Fehler wie möglich zu finden und eine optimale Systemqualität hinsichtlich Sicherheit, Robustheit und Funktion zu erreichen.

Wir schlagen in solchen Fällen vor, die Entwicklung und Qualitätssicherung vollständig zu separieren. Dies ist zunächst deutlicher Mehraufwand. Nicht zu testen kostet langfristig mehr, vor allem wenn auf Kosten der IT-Sicherheit verzichtet wird.

Wie die Qualitätssicherung durch Separierung aussehen kann,  zeigt diese Präsentation (auch hier als .pdf).