Sichere Benutzer- und Rollenvergabe durch container managed security

©-voyager624---Fotolia.com_blogAuthentifizierungs- und Autorisierungsmechanismen stellen in unternehmenskritischen Anwendungen unerlässliche Bestandteile dar. Java EE-konforme Applikationsserver wie z.B. der Oracle GlassFish Server bieten mit der „container managed security“ ein mächtiges Werkzeug zur Umsetzung von Authentifizierung und rollenbasierter Autorisierung in Webapplikationen.

Die Idee hinter dem Konzept der container managed security ist die Definition von Benutzern und Rollen außerhalb der eigentlichen Enterprise-Applikation und der Einsatz eines standardisierten Mechanismus zur Legitimation des Benutzers. Sämtliche Entscheidungen zur Zugriffskontrolle werden automatisch durch den eingesetzten JEE-Applikationscontainer getroffen. Der Entwickler selbst definiert lediglich, welche Applikationsbestandteile abgesichert werden sollen und für welche Benutzerrollen diese verfügbar sind.

Hierfür stehen dem Entwickler diese beiden Konstrukte zur Verfügung:

Deklarative Sicherheit (declarative security)

Bei der deklarativen Konfiguration werden die Sicherheitsanforderungen der Applikation entweder über Deploymentdeskriptoren oder Java-Annotations definiert. Im Falle von Webkomponenten erfolgt dies über den Deskriptor web.xml, bei Java Enterprise Beans über die Datei ejb-jar.xml.

Folgende Beispielkonfiguration beschränkt den Zugriff auf sämtliche Web-Ressourcen unter der URL /private auf Benutzer der Rolle user:

<security-constraint>
 
<web-resource-collection>
 
            <web-resource-name>private</web-resource-name>
 
            <url-pattern>/private/*</url-pattern>
 
     </web-resource-collection>
 
     <auth-constraint>
 
            <role-name>user</role-name>
 
     </auth-constraint>
 
</security-constraint>

Erfolgt ein Zugriff auf diesen Bereich, wird der Benutzer aufgefordert sich zu authentisieren. Der Login – beispielsweise über ein HTML-Formular – wird folgendermaßen definiert:

<login-config>
 
     <auth-method>FORM</auth-method>
 
     <realm-name>myrealm</realm-name>
 
     <form-login-config>
 
            <form-login-page>/login.html</form-login-page>
 
            <form-error-page>/error.html</form-error-page>
 
     </form-login-config>
 
</login-config>

Die Authentifizierung erfolgt gegen die angegeben Realm. Dies kann z.B. ein vorhandener LDAP-Server im Unternehmensnetzwerk sein.

Programmatische Sicherheit (programmatic security) 

Es gibt Anwendungsfälle, in denen ein komplexeres Sicherheitsmodell in der Applikationabgebildet werden muss, das sich nicht mit der deklarativen Sicherheit beschreiben lässt. Das ist beispielsweise der Fall, wenn bei häufig fehlgeschlagenen Loginversuchen externe Systeme wie z.B. ein Security Incident Tool benachrichtigt werden müssen.

In solchen Fällen kann mit der programmatischen Sicherheit während der Authentifizierung weitere Geschäftslogik ausgeführt werden. Der Zugriff auf Methoden zur Authentifizierung und Autorisierung erfolgt hierbei über die Schnittstelle HttpServletRequest der Servlet 3.0 Spezifikation.

container managed security: sicher, effizient und wartungsfreundlich 

Die container managed security trägt maßgeblich zur Sicherheit von Unternehmensanwendungen bei, da die fehleranfällige Implementierung von Authentifizierungs- und Autorisierungsmechanismen durch den Anwendungsentwickler vermieden wird.

Durch Wegfall der Implementierung von Schnittstellen zu den dahinterliegenden Authentifizierungssystemen und Verzeichnisdiensten, wird nicht nur die Effizienz des Entwicklerteams, durch weniger Programmcode/Bugs und einfachere Konfiguration, sondern auch die Wartungsfreundlichkeit der Applikation verbessert.

 


Quellen:
[Bild] © voyager624, Fotolia.com_blog

Die Trends für 2014 aus der M2M-Branche

Roboter und MenschAm 6. Februar 2014 hatten die Mitglieder der M2M Alliance beim 6. Themenabend im Hause der IBM Research & Development die Möglichkeit, die aktuelle Entwicklung des Marktes sowie die neuen Trends aus dem Umfeld Internet-of-Things (IoT) bzw. Machine-to-Machine (M2M) zu diskutieren.

Jürgen Hase, 2. Vorsitzender der M2M Alliance, konnte rückblickend auf das Jahr 2013 den Themenabend mit sehr guten Nachrichten eröffnen: Mit 23 neuen Mitgliedern ist ein Rekordstand erreicht worden und der M2M Summit 2013  war mit ca. 1.000 Teilnehmern die größte Konferenz in Europa. Für 2014 sind die Ziele ebenfalls hoch gesteckt, zeigen aber das Selbstvertrauen der Branche: Internationale Ausrichtung, Kooperation mit anderen internationalen M2M Verbänden, engere Zusammenarbeit mit nationalen Verbänden wie beispielsweise bitcom oder eco. Mehr…

Security in Webanwendungen Teil 3: Sicherer Betrieb von Webapplikationen

In dieser Blogserie haben wir bereits die Themen Design– und Programmierung von sicheren Webanwendungen behandelt. Im letzten Teil wird beschrieben, wie der sichere Betrieb von Webapplikationen gewährleistet werden kann.

Reduzieren von Serverinformationen

Selbstverständlich möchte man einem Hacker so wenig Informationen über ein System geben wie nur möglich. Allein die Anzeige der Versionsnummer der verwendeten Server kann genutzt werden, um gezielt nach Informationen über Sicherheitslücken der spezifischen Versionen zu suchen. Dadurch wird der Aufwand, in das System einzudringen, für einen Angreifer geringer.

Das übliche sicherheitssensible System nutzt einen Proxyserver um die SSL-Verschlüsselung der Verbindung zu terminieren, damit der eigentliche Applikationsserver vor dem direkten Zugriff durch die Nutzer geschützt wird. Die Datenübertragung zwischen dem Proxy- und Applikationsserver erfolgt dann oft unverschlüsselt. Somit gibt es bereits für eine Webapplikation zwei Server, bei denen man die Versionsnummer verbergen muss. Das Verbergen der Server- und Versionsinformationen hat Auswirkungen auf zwei Ebenen. Die eine Ebene ist das HTTP-Protokoll, die zweite Ebene die Anzeige von Exceptions in der Webapplikation. In beiden Ebenen werden keine oder nur reduzierte Informationen angezeigt. Generell sollten dem Nutzer jedoch sowieso keine Exceptions oder Stacktraces angezeigt werden.

Im Folgenden wird an einer Beispielarchitektur gezeigt, wie sich die Versionsnummern abschalten lassen. Genutzt wird ein Apache Webserver in der Version 2.2 als TLS-Proxy, welcher die SSL-Verbindung terminiert und einen Apache Tomcat in der Version 7, der als Applikationsserver dient.

Im Apache Webserver lassen sich die Serverinformationen über den folgenden Eintrag in der Datei „httpd.conf“ anpassen:

ServerTokens Prod

Mit dieser Angabe wird lediglich der Name des Servers angezeigt, im Ursprungszustand würde der Apache Webserver die folgenden Informationen ausgeben:

  • Name des Servers
  • Versionsnummer
  • Name des verwendeten Betriebssystems
  • Name und Versionsnummer der verwendeten Module

Diese Informationen wären für einen Hacker sehr nützlich, denn er kann auf dem Schwarzmarkt gezielt Tools einkaufen, die ihm helfen den Server zu kompromittieren.

Die Reduzierung der Serverinformationen beim Apache Tomcat 7 gestaltet sich etwas schwieriger. Um hier die Serverinformationen zu reduzieren, muss man die Datei „ServerInfo.properties“ aus dem JAVA-Paket „catalina.jar“ entpacken. Zum Entpacken öffnet man die Konsole des Betriebssystems und wechselt in das Verzeichnis „lib“ innerhalb des Apache Tomcat. Anschließend führt man folgenden Befehl aus:

jar xf catalina.jar org/apache/catalina/util/ServerInfo.properties

Nun befindet sich innerhalb des Bibliotheksverzeichnisses der Verzeichnispfad „org/apache/catalina/util“, in dem wiederum die Datei „ServerInfo.properties“ existiert. Im folgenden Beispiel ist der Inhalt der Datei bereits angepasst und im Eintrag „server.info“ die Versionsnummer entfernt:

server.info=Apache Tomcat
server.number=7.0.50.0
server.built=Dec 19 2013 10:18:12

Nun zeigt auch der Apache Tomcat im HTTP-Protokoll und bei Exceptions keine Versionsnummern mehr an.

Die Sicherheit in Webapplikationen kann also an mehreren Stellen optimiert werden. Schon beim Desgin wird durch die Beachtung von Sicherheitsmechanismen ein höherer Standard gewährleistet. Maßnahmen bei der Programmierung, wie beispielsweise das Escaping von Metazeichen oder die Nutzung eines Sicherheitstokens, sorgen ebenfalls für mehr Sicherheit in Webanwendungen. Durch die Reduzierung der Serverinformationen kann auch beim Betreiben von Webapplikationen das Risiko eines Hackerangriffs gesenkt werden.

Security in Webanwendungen Teil 2: Programmierung von sicheren Webapplikationen

Hacker programing in technology enviroment with cyber icons

Im ersten Teil dieser Blogserie beschäftigten wir uns dem Design von sicheren Webanwendungen. In diesem Beitrag geht es darum, wie solche sicheren Webapplikationen programmiert werden können.

Escaping von Metazeichen

Jede Auszeichnungs- oder Abfragesprache hat ihre eigenen Metazeichen, die für die jeweilige Sprache eine spezifische Bedeutung haben und entsprechend interpretiert werden. Durch die Eingabe einer Zeichenkette mit den entsprechenden Metazeichen könnte ein Angreifer beispielsweise dafür sorgen, dass innerhalb der Datenbank Tabellen gelöscht, Benutzerdaten und Passwörter verändert oder sogar ausgegeben werden (Stichwort: SQL-Injection). Durch geschickte Eingaben, die Metazeichen von HTML oder JavaScript enthalten, ist es außerdem möglich, dass anderen Benutzern ungewollte Eingabefelder angezeigt werden. Diese Eingabefelder werden vom arglosen Benutzer höchstwahrscheinlich mit vertraulichen Daten wie Kennwörtern, PINs und Kontonummern versehen, die anschließend an einen Server des Angreifers übertragen werden. Und schon befinden sich die sensiblen Daten außerhalb der eigenen Kontrolle.

Des Weiteren hat der Angreifer die Möglichkeit, die Sitzungsnummer des Benutzers in Erfahrung zu bringen und anschließend Aktionen unter dem Vorspielen einer anderen Identität durchzuführen. Das Manipulieren von Webseiten mit HTML und JavaScript wird in Fachkreisen „Cross-Site-Scripting“ kurz XSS genannt.

Um das Manipulieren von Abfragen und Ausgaben zu verhindern, müssen die entsprechenden Metazeichen bei der Ausgabe an das Zielsystem (Browser, Datenbank) ein passendes Escaping durchlaufen. So werden die Metazeichen nicht mehr als solche erkannt. Das Escaping von solchen Metazeichen kann sehr komplex werden. Darum empfiehlt sich die Nutzung einer Bibliothek, die ausreichend getestet wurde.

Nutzung eines Sicherheitstokens

Um zu verhindern, dass ein Angreifer mithilfe einer per Cross-Site-Scripting erbeuteten Sitzungsnummer im Hintergrund sofort eine Aktion ausführen kann, wird ein sogenannter Page-Token verwendet. Der Page-Token ist eine sehr schwer zu erratende Zeichenkette, die in einem Formularfeld vom Typ „hidden“ in der Webseite ausgeliefert wird. Der Angreifer kann dieses Feld nicht ohne weiteres auslesen. Sendet der Nutzer nun die Antwort an den Server, kann dieser das Token prüfen. Ist das gespeicherte und das empfangene Token identisch, sind die empfangenen Daten vertrauenswürdig. Denn ein Angreifer wäre nicht im Besitz dieses Tokens und könnte auch keine gültige Antwort an den Server senden.

Zugriff auf das Session Cookie beschränken

Damit ein Angreifer die Sitzungsnummer nicht per JavaScript über den Browsers des normalen Benutzers auslesen kann, gibt es die Möglichkeit den Zugriff auf das Sitzungscookie nur auf die HTTP-Ebene zu beschränken. Somit kann es über JavaScript nicht ausgelesen werden.

Um dieses Verhalten in einer Java-Webapplikation umzusetzen, muss innerhalb der Anwendung im Verzeichnis „WebContent/META-INF“ die Datei „context.xml“ angelegt werden und folgenden Inhalt haben:

<Context useHttpOnly="true">
<WatchedResource>WEB-INF/web.xml</WatchedResource>
<Manager pathname="" />
<Valve className="org.apache.catalina.valves.CometConnectionManagerValve" />
</Context>

Im oben dargestellten Inhalt wurde das Attribut “useHttpOnly” im Element „Context“ auf den Wert „true“ gesetzt. Dies stellt sicher, dass das Sitzungscookie nicht über JavaScript ausgelesen werden kann.

Austausch der Sitzung

Viele Webapplikationen besitzen die Möglichkeit sich „einzuloggen“ oder auf eine andere Art und Weise ein höheres Vertrauens- und Sicherheitslevel zu erlangen. Sollte es einem Angreifer gelungen sein die Sitzungsnummer (Session-ID) eines nicht angemeldeten Benutzers zu erlangen, hat er die Gelegenheit über seinen Browser die Webapplikation mit der Sitzung des bestohlenen Nutzers zu verwenden. Wenn nun eine Webapplikation die Sitzung nach dem Anmelden des ahnungslosen Nutzers nicht austauscht, könnte der Angreifer die Webapplikation mit den erweiterten Rechten nutzen und Aktionen im Namen eines anderen durchführen. Der rechtmäßige Nutzer merkt von all dem nichts. Darum müssen die Sitzungen nach dem Erlangen einer anderen Sicherheitsstufe unbedingt ausgetauscht und die alte Sitzung beendet werden.

Durch die beschriebenen Maßnahmen beim programmieren von Webapplikationen kann die Sicherheit maßgeblich erhöht werden. Lesen Sie im nächsten Teil unserer Blogserie kommende Woche, wie ein sicherer Betrieb von Webapplikationen möglich ist.

Hier geht es zum ersten Teil der Blogserie Design von sicheren Webanwendungen.

Security in Webanwendungen Teil 1: Design von sicheren Webapplikationen

Verschlüsselung_kleinVorwort

Wir alle nutzen in unserem täglichen Leben eine Vielzahl verschiedenster Webapplikationen und vertrauen ihnen unsere Daten an. Eben dieses Vertrauen in die Systeme ist eine essentielle Grundlage für „das Leben im Internet“. Wird dieses Vertrauen durch einen Sicherheitsvorfall enttäuscht, kann das erhebliche Auswirkungen auf das Image des Betreibers der Webapplikation haben. Sinkende Nutzerzahlen und Verkäufe können die Folge sein. Des Weiteren drohen möglicherweise hohe Entschädigungszahlungen für verlorengegangene Daten. Als logische Konsequenz dieser immensen negativen Auswirkungen sollte jede Webapplikation abgesichert werden, um Kriminellen einen erfolgreichen Angriff auf das System so schwer wie möglich zu machen. Eine 100%ige Sicherheit gibt es zwar nie, dennoch gibt es Mittel und Wege, Webanwendungen sicherer zu gestalten. Diese dreiteilige Blogserie beschäftigt sich mit dem Design, der Programmierung und der sicheren Benutzung von Webapplikationen.

Der Schlüssel zu mehr Sicherheit

Bereits beim Design von Webapplikationen lassen sich Sicherheitsmechanismen berücksichtigen. Gehen wir beispielsweise einmal davon aus, wir sollten ein System entwerfen, welches die Serviceanfragen von Bankkunden entgegen nimmt. Für eine Bank ist es unerlässlich, dass sie als vertrauenswürdig wahrgenommen wird. Sollte diese Vertrauenswürdigkeit in irgendeiner Form in Frage gestellt werden, droht der Bank ein hoher finanzieller Schaden, da möglicherweise weniger potentielle Kunden mit ihr zusammen arbeiten möchten. Somit müssen auch die Serviceanfragen in einer sicheren Form für die spätere Verarbeitung gespeichert werden. Es wäre vorstellbar, das zukünftige System so zu strukturieren, dass die Serviceanfragen von einer öffentlichen Webseite entgegen genommen und die Bearbeitung der Serviceanfragen in einer weiteren Webapplikation im internen Netz der Bank vorgenommen werden. Hier könnte ein asymmetrisches Verschlüsselungsverfahren zum Einsatz kommen. Die öffentliche Webseite würde die Serviceanfragen mit dem öffentlichen Schüssel der Webapplikation zum Bearbeiten der Anfragen verschlüsseln und in einer gemeinsamen Datenbank ablegen. Die interne Webapplikation für den Servicemitarbeiter, die im internen Netz der Bank betrieben wird, entschlüsselt dann die Daten mit ihrem privaten Schlüssel. Diese Variante macht es einem Angreifer, der nur im Besitz des öffentlichen Schlüssels ist, unmöglich, die Serviceanfragen zu lesen und somit wertvolle Informationen zu erlangen.

Die Absicherung von Webapplikationen unerlässlich. Schon beim Design einer solchen Applikation kann durch eine asymmetrische Verschlüsselung ein höherer Sicherheitsstandard gewährleistet werden.

Lesen Sie im nächsten Teil unserer Serie, wie man sichere Webapplikationen programmiert.

Sicherheit per Fingerwisch

IPad+IPhone_baerbeitetTäglich haben wir immer mehr Passwörter in Gebrauch. Praktisch, dass mobile Endgeräte mit Touchoberfläche eine Alternative anbieten. Fast jeder schützt sein Smartphone oder Tablet-PC mit einer „Geste“. Durch das Betriebssystem Windows 8 ist es sogar möglich PCs und Laptops mit einem Bildcode zu sichern. Aber wie sicher ist das gemalte Passwort wirklich und wie einfach gestaltet sich die Bedienbarkeit?

Passwörter und Codes gibt es schon seit Jahrhunderten. Grafische Passwörter werden bereits seit den 90er Jahren in der Literatur untersucht.1 Mithilfe von einfachen Grafiken und Bildcodes sollen Passwörter einfacher zu merken und gleichzeitig sicherer als Buchstaben- und Zahlenkombinationen sein. Das besondere an grafischen Passwörtern ist, dass sie im Gegensatz zu textuellen Passwörtern als Objekt visuell erkannt werden. Das erleichtert vor allem die Merkfähigkeit des Passworts, da Bilder emotionaler verarbeitet werden können als komplizierte Kombinationen von Buchstaben und Zahlen.

Einfache Bedienung

Neben dem Merken eines Passwortes wird auch die Eingabe immer wieder zum Problem. Jeder Besitzer eines Smartphones oder Tablet-PCs kennt die Situation: Man will das Passwort eingeben, aber vertippt sich auf den winzigen Tasten. Der ein oder andere hat die Entscheidung für ein komplexes Passwort aus Zahlen, Buchstaben und Sonderzeichen sicher schon bereut, da diese nun täglich mühsam gesucht werden müssen. Das Zeichnen von Mustern oder Bildern erleichert die Bedienung und lässt die Tastatur überflüssig werden, wodurch sich die Eingabezeit verringert.

Windows 8

Mit Windows 8 lassen sich Muster direkt auf bzw. in ein selbst gewähltes Bild zeichnen. Dadurch erhöht sich die emotionale Merkfähigkeit zusätzlich, da der Nutzer einen persönlichen Bezug zu Bild und Passwort erstellt. Mit Wisch-, Punkt- und Kreisbewegungen können drei Gesten in das Bild gezeichnet werden. Ein zweites Mal zeichnen um zu bestätigen – fertig. Bei der nächsten Anmeldung erscheint dann das Bild anstatt eines Kennwortfensters. Die Gesten müssen beim Zeichnen allerdings nicht exakt auf den Pixeln liegen, da Windows eine gewisse Abweichung toleriert. Um den Bildcode unter Windows 8 benutzen zu können, muss nicht zwingend eine Touchoberfläche vorhanden sein. Das Ausführen der Gesten funktioniert auch mit der Maus.

Sicherheit

In Punkto Sicherheit schlägt das Passwort eine Geste auf dem Smartphone oder Tablet-PC. Die Sicherheit liegt in der Länge und der Vielfalt an Kombinationen. Die ist bei einem Passwort wesentlich höher, da auf einen größeren Zeichenvorrat zurückgegriffen werden kann. Eine Geste hingegen ist durch die Anzahl von neun Checkpoints stark eingeschränkt. Zwar kann der Nutzer festlegen in welche Richtung er seine Geste ausführt und wie viele Punkte er in sein Sperrmuster einschließt. Dennoch sind die Kombinationsmöglichkeiten aus Buchstaben, Zahlen und Sonderzeichen sehr viel höher.
Wesentlich mehr Möglichkeiten als die Geste bietet der Bildcode von Windows. Auf den ersten Blick erscheint die Variation von gerade einmal drei verschiedenen Symbolen relativ gering. Durch die freie Platzierung im Bild ergeben sich allerdings neue Kombinationen, die nun auch die Position der einzelnen Symbole berücksichtigen. Als Parallelität zur Länge eines Passworts gilt hier: Je komplexer das Bild, desto mehr Orientierungshilfen bei der Platzierung. Beispielsweise bietet ein Wimmelbild viel mehr „Versteckmöglichkeiten“, als ein Firmenlogo auf weißen Grund.

Eine Sicherheitslücke, die jedoch jedes mit Touch gesicherte Gerät aufweist, ist der dünne Fettfilm, der beim Zeichnen des Bildcodes oder der Geste entsteht. Hält man das Display schräg gegen das Licht wird dieser sichtbar, da er sich von den normalen Tipp-Berührungen abhebt.

Fazit

Abschließend kann man sagen, dass die Benutzerfreundlichkeit durch Bilder und Muster deutlich steigt, und es dem Nutzer leichter fällt, sich das Passwort bzw. Muster zu merken. Die Sicherheit von Smartphones und Tablet-PCs mit einem Sperrmuster ist trotz der vielen verschiedenen Muster nicht 100 Prozent sicher und wird eine PIN nicht ersetzen können. Wie hoch die Sicherheit des Windows 8 Bildcodes ist, muss noch ausgiebig in der Praxis getestet werden. Auch hier besteht die Möglichkeit, dass ein Fettfilm das Bild verraten kann. Zudem besteht ebenfalls die Gefahr, dass das Muster bereits beim Zeichnen von einer anderen Person erkannt werden kann.

1 wiki.unie-due.de

secureTransfer 4.1 – Dateiaustausch jetzt noch einfacher und mobil

Vor wenigen Tagen konnten wir bereits das Versionsupdate des Marketing Planner bekannt gegeben. Nun zieht auch die innovative Software zum Dateiaustausch nach. Der secureTransfer ist ab sofort in der Version 4.1 erhältlich und bietet zahlreiche neue Feature an.

secureTransfer DateiübersichtIm neusten Release stehen die Übersicht und der Komfort für den Nutzer im Vordergrund. Auch hier konnten wir wieder durch die langjährige Zusammenarbeit mit unseren Kunden profitieren und entsprechende Modifikationen und Verbesserungen vornehmen.

Zur besseren Übersicht und als zusätzlicher Sicherheitsfaktor ist es nun dem Nutzer möglich, bereits gelöschte Dateien anhand einer Historie zu identifizieren und aufzulisten. Auch werden nun Dateisendungen an nicht registrierte Nutzer dokumentiert, um eventuelle spätere Risiken oder Problemfälle schneller eingrenzen und zuordnen zu können. Auch können Sie so bspw. externen Partnern Dateien zur Verfügung stellen und sich jederzeit über den aktuellen Status der Datei informieren.Mehr…

Gut zu wissen: Google für mehr IT-Sicherheit

Google informiertGoogle hat eine Initiative zum Thema “Gut zu wissen” gestartet. In Zusammenarbeit mit dem Verein Deutschland sicher im Netz e.V. informiert Google auf der Seite www.google.de/gutzuwissen über den richtigen Umgang mit persönlichen Informationen & Daten im Netz. Gemeinsam wollen sie das Bewusstsein für mehr Sicherheit von Anbietern und Verbrauchern beim Umgang mit dem Medium Internet erhöhen. U.a. wird auch über Themen wie  Datenschutz, Computersicherheit, Mobile Sicherheit aufgeklärt. Aufgelockert werden die einzelnen Kapitel durch Videosequenzen, in denen auf das jeweilige Themengebiet eingegangen wird. In einem eigenständigen Navigationspunkt erklärt Google die manchmal eher merkwürdig klingenden Internetbegrifflichkeiten – schließlich vermutet so mancher das trojanische Pferd in der griechischen Mythologie und nicht im Internet.

Die Seite klärt auf einfache und verständliche Weise über das Thema Internetsicherheit auf. Ein weiteres Plus ist der Abschnitt darüber, wie Google mit den Daten der Nutzer umgeht.

Unser Fazit: Schauen Sie sich die Seite mal an, es ist wirklich interessant und lesenswert.

Schutz vor Cyber-Attacken

Mit Cyberkriminalität muss sich aktuell nicht nur ein bekannter Elektronikkonzern auseinandersetzen, auch 76% der deutschen Bundesbürger waren bereits von kriminellen Aktivitäten wie Viren, Trojaner, Identitätsdiebstahl, Phishing oder Spyware betroffen. Um die Angriffe aus dem Netz abzuwehren, wurde im Sommer 2011 das nationale Cyber Abwehrzentrum in Bonn offiziell eröffnet. Das Cyber-Abwehrzentrum hat die Aufgabe IT-Sicherheitsvorfälle schnell und umfassend zu bewerten, sowie Verwundbarkeiten und Angriffsformen zu analysieren. Zum Thema IT-Sicherheit veranstaltet das Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig IT-Grundschutz-Tage. Hier wurde das Produkt „BitBox“ (Browser in the Box) der Firma Sirrix AG vorgestellt. Die BitBox ist eine virtuelle Umgebung für gesichertes und komfortables Surfen im Internet, die im Auftrag des BSI entwickelt wurde.

Wie man sich gegen Cyber-Attacken schützen kann, haben wir für Sie in der folgenden Übersicht zusammengestellt:

  • Installieren Sie alle verfügbaren Sicherheitsupdates für Ihr Betriebssystem – am Besten die Aktualisierungen automatisch installieren lassen.
  • Achten Sie auf ein aktualisiertes Antiviren-Programm.
  • Verwenden Sie eine Firewall. Diese sollte immer aktiv sein und die Sicherheitsupdates regelmäßig aktualisiert werden.
  • Alternativ sind auch Sicherheitskomplettlösungen empfehlenswert. Diese enthalten nicht nur ein Antiviren-Programm und eine Firewall, sondern auch einen Phising-Schutz.
  • Wählen Sie ein sicheres Kennwort und ändern Sie dieses in regelmäßigen Abständen.
  • Schützen Sie Ihre personenbezogenen Daten.
  • Lassen Sie sich nicht auf dubiose Internetangebote ein.
  • Überprüfen Sie Ihre Kontobewegungen und Kreditkartenabrechnungen.

Qualitätssicherung bei Einführung von Unternehmenssoftware

Wurde neue Businesssoftware „in Time“ und „in Budget“ entwickelt geht für viele IT- oder Fachabteilungen die Herausforderung erst richtig los. Denn jetzt gilt es die Software auf Funktion und Qualität zu prüfen und in den sicheren Betrieb zu überführen.

Qualitätssicherung und Entwicklung von Software bei der EinführungMeistens ist es der Softwarehersteller selbst, der diese Phase zusammen mit dem Kunden begleitet. Doch nicht immer ist dies im Hinblick auf die qualitative Maximierung ein empfehlenswertes Vorgehen. Der Hersteller kennt seine eigene Software inn und auswendig.

Daher wird er sich in der Qualitätssicherung eher auf das Debugging und verifizieren von Funktionen beschränken. Entsprechend schwach fällt die Ausbeute aus, wenn möglichst viele Fehler/Bugs identifziert und protokolliert werden sollen.

‚Neutrale Instanz‘ sorgt für Qualität

Je nach Fall kann eine neutrale, in der Entwicklung unbeteiligte Instanz, die frischt entwickelte Unternehmenssoftware oder die Konzepte besser und konzentrierter testen. Die Zielsetzung hier ist so viele Fehler wie möglich zu finden und eine optimale Systemqualität hinsichtlich Sicherheit, Robustheit und Funktion zu erreichen.

Wir schlagen in solchen Fällen vor, die Entwicklung und Qualitätssicherung vollständig zu separieren. Dies ist zunächst deutlicher Mehraufwand. Nicht zu testen kostet langfristig mehr, vor allem wenn auf Kosten der IT-Sicherheit verzichtet wird.

Wie die Qualitätssicherung durch Separierung aussehen kann,  zeigt diese Präsentation (auch hier als .pdf).