Sichere Benutzer- und Rollenvergabe durch container managed security

Authentifizierungs- und Autorisierungsmechanismen stellen in unternehmenskritischen Anwendungen unerlässliche Bestandteile dar. Java EE-konforme Applikationsserver wie z.B. der Oracle GlassFish Server bieten mit der „container managed security“ ein mächtiges Werkzeug zur Umsetzung von Authentifizierung und rollenbasierter Autorisierung in Webapplikationen.
Mehr

Security in Webanwendungen Teil 1: Design von sicheren Webapplikationen

Verschlüsselung_klein

Wir alle nutzen in unserem täglichen Leben eine Vielzahl verschiedenster Webapplikationen und vertrauen ihnen unsere Daten an. Eben dieses Vertrauen in die Systeme ist eine essentielle Grundlage für „das Leben im Internet“. Wird dieses Vertrauen durch einen Sicherheitsvorfall enttäuscht, kann das erhebliche Auswirkungen auf das Image des Betreibers der Webapplikation haben. Sinkende Nutzerzahlen und Verkäufe können die Folge sein. Des Weiteren drohen möglicherweise hohe Entschädigungszahlungen für verlorengegangene Daten. Als logische Konsequenz dieser immensen negativen Auswirkungen sollte jede Webapplikation abgesichert werden, um Kriminellen einen erfolgreichen Angriff auf das System so schwer wie möglich zu machen. Eine 100%ige Sicherheit gibt es zwar nie, dennoch gibt es Mittel und Wege, Webanwendungen sicherer zu gestalten. Diese dreiteilige Blogserie beschäftigt sich mit dem Design, der Programmierung und der sicheren Benutzung von Webapplikationen.
Mehr

Sicherheit per Fingerwisch

IPad+IPhone_baerbeitetTäglich haben wir immer mehr Passwörter in Gebrauch. Praktisch, dass mobile Endgeräte mit Touchoberfläche eine Alternative anbieten. Fast jeder schützt sein Smartphone oder Tablet-PC mit einer „Geste“. Durch das Betriebssystem Windows 8 ist es sogar möglich PCs und Laptops mit einem Bildcode zu sichern. Aber wie sicher ist das gemalte Passwort wirklich und wie einfach gestaltet sich die Bedienbarkeit?

Mehr

secureTransfer 4.1 – Dateiaustausch jetzt noch einfacher und mobil

Vor wenigen Tagen konnten wir bereits das Versionsupdate des Marketing Planner bekannt gegeben. Nun zieht auch die innovative Software zum Dateiaustausch nach. Der secureTransfer ist ab sofort in der Version 4.1 erhältlich und bietet zahlreiche neue Feature an.

secureTransfer DateiübersichtIm neusten Release stehen die Übersicht und der Komfort für den Nutzer im Vordergrund. Auch hier konnten wir wieder durch die langjährige Zusammenarbeit mit unseren Kunden profitieren und entsprechende Modifikationen und Verbesserungen vornehmen.Mehr

Gut zu wissen: Google für mehr IT-Sicherheit

Google informiertGoogle hat eine Initiative zum Thema “Gut zu wissen” gestartet. In Zusammenarbeit mit dem Verein Deutschland sicher im Netz e.V. informiert Google auf der Seite www.google.de/gutzuwissen über den richtigen Umgang mit persönlichen Informationen & Daten im Netz. Gemeinsam wollen sie das Bewusstsein für mehr Sicherheit von Anbietern und Verbrauchern beim Umgang mit dem Medium Internet erhöhen. U.a. wird auch über Themen wie  Datenschutz, Computersicherheit, Mobile Sicherheit aufgeklärt. Aufgelockert werden die einzelnen Kapitel durch Videosequenzen, in denen auf das jeweilige Themengebiet eingegangen wird. In einem eigenständigen Navigationspunkt erklärt Google die manchmal eher merkwürdig klingenden Internetbegrifflichkeiten – schließlich vermutet so mancher das trojanische Pferd in der griechischen Mythologie und nicht im Internet.

Die Seite klärt auf einfache und verständliche Weise über das Thema Internetsicherheit auf. Ein weiteres Plus ist der Abschnitt darüber, wie Google mit den Daten der Nutzer umgeht.

Unser Fazit: Schauen Sie sich die Seite mal an, es ist wirklich interessant und lesenswert.

Schutz vor Cyber-Attacken

Mit Cyberkriminalität muss sich aktuell nicht nur ein bekannter Elektronikkonzern auseinandersetzen, auch 76% der deutschen Bundesbürger waren bereits von kriminellen Aktivitäten wie Viren, Trojaner, Identitätsdiebstahl, Phishing oder Spyware betroffen. Um die Angriffe aus dem Netz abzuwehren, wurde im Sommer 2011 das nationale Cyber Abwehrzentrum in Bonn offiziell eröffnet. Das Cyber-Abwehrzentrum hat die Aufgabe IT-Sicherheitsvorfälle schnell und umfassend zu bewerten, sowie Verwundbarkeiten und Angriffsformen zu analysieren. Zum Thema IT-Sicherheit veranstaltet das Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig IT-Grundschutz-Tage. Hier wurde das Produkt „BitBox“ (Browser in the Box) der Firma Sirrix AG vorgestellt. Die BitBox ist eine virtuelle Umgebung für gesichertes und komfortables Surfen im Internet, die im Auftrag des BSI entwickelt wurde.

Wie man sich gegen Cyber-Attacken schützen kann, haben wir für Sie in der folgenden Übersicht zusammengestellt:

  • Installieren Sie alle verfügbaren Sicherheitsupdates für Ihr Betriebssystem – am Besten die Aktualisierungen automatisch installieren lassen.
  • Achten Sie auf ein aktualisiertes Antiviren-Programm.
  • Verwenden Sie eine Firewall. Diese sollte immer aktiv sein und die Sicherheitsupdates regelmäßig aktualisiert werden.
  • Alternativ sind auch Sicherheitskomplettlösungen empfehlenswert. Diese enthalten nicht nur ein Antiviren-Programm und eine Firewall, sondern auch einen Phising-Schutz.
  • Wählen Sie ein sicheres Kennwort und ändern Sie dieses in regelmäßigen Abständen.
  • Schützen Sie Ihre personenbezogenen Daten.
  • Lassen Sie sich nicht auf dubiose Internetangebote ein.
  • Überprüfen Sie Ihre Kontobewegungen und Kreditkartenabrechnungen.

Qualitätssicherung bei Einführung von Unternehmenssoftware

Wurde neue Businesssoftware „in Time“ und „in Budget“ entwickelt geht für viele IT- oder Fachabteilungen die Herausforderung erst richtig los. Denn jetzt gilt es die Software auf Funktion und Qualität zu prüfen und in den sicheren Betrieb zu überführen.

Qualitätssicherung und Entwicklung von Software bei der EinführungMeistens ist es der Softwarehersteller selbst, der diese Phase zusammen mit dem Kunden begleitet. Doch nicht immer ist dies im Hinblick auf die qualitative Maximierung ein empfehlenswertes Vorgehen. Der Hersteller kennt seine eigene Software inn und auswendig.

Daher wird er sich in der Qualitätssicherung eher auf das Debugging und verifizieren von Funktionen beschränken. Entsprechend schwach fällt die Ausbeute aus, wenn möglichst viele Fehler/Bugs identifziert und protokolliert werden sollen.

‚Neutrale Instanz‘ sorgt für Qualität

Je nach Fall kann eine neutrale, in der Entwicklung unbeteiligte Instanz, die frischt entwickelte Unternehmenssoftware oder die Konzepte besser und konzentrierter testen. Die Zielsetzung hier ist so viele Fehler wie möglich zu finden und eine optimale Systemqualität hinsichtlich Sicherheit, Robustheit und Funktion zu erreichen.

Wir schlagen in solchen Fällen vor, die Entwicklung und Qualitätssicherung vollständig zu separieren. Dies ist zunächst deutlicher Mehraufwand. Nicht zu testen kostet langfristig mehr, vor allem wenn auf Kosten der IT-Sicherheit verzichtet wird.

Wie die Qualitätssicherung durch Separierung aussehen kann,  zeigt diese Präsentation (auch hier als .pdf).