Die Reifeprüfung: Application Security Audit

Christoph Baumgartner ist CEO und Inhaber der auf Security Audits spezialisierten OneConsult GmbH. Jan Alsenz ist Team Leader Security Audits und Teilhaber im selben Unternehmen. Seine Spezialgebiete sind komplexe Security Audits, Systemanalysen und Reverse Engineering.

Seit ein paar Monaten überschlagen sich wieder die Meldungen über spektakuläre Hackerattacken und Datendiebstähle. Die Häufung derartiger Vorfälle hat viele Ursachen, zum Beispiel ein verändertes Rechts- bzw. Unrechtsbewusstsein, gepaart mit monetären Interessen und Geltungsdrang (Steuer-CD oder Wikileaks/Anonymous), oder die Verlagerung von Geheimdienstaktivitäten vom realen in den virtuellen Raum (Hackerangriffe auf EDA und IWF oder Stuxnet). Ein wichtiger Faktor ist auch die zunehmende Komplexität der IT-In­frastrukturen – Buzzword Cloud lässt grüs­sen. Solange die IT vom Unternehmen selbst betrieben wurde, war die Anzahl der Akteure zumindest überschaubar. Mit dem Outsourcing kritischer Systeme muss man sich vermehrt auf den Wortlaut der Verträge verlassen. Der Vertragsausformulierung kommt damit immer grössere Bedeutung zu, insbesondere, was den Datenschutz (aus Sicht des Konsumenten) und den Informationsschutz (aus Sicht des Unternehmens) betrifft.

Viele Regierungen haben die sich ändernden Rahmenbedingungen erkannt und Cyber-Abwehr-Institutionen geschaffen, die in Zukunft auch international kooperieren. Der Umstand, dass sich anlässlich einer kürzlich durchgeführten Konferenz nicht alle teilnehmenden Länder dazu bereit erklärt haben,
Cyber-Delikte wie herkömmliche Delikte zu ahnden, lässt allerdings darauf schliessen, dass sich einige Staaten nicht nur digital verteidigen, sondern auch angreifen.

Brave New World

Heutzutage kann es sich kein überregional tätiges Unternehmen mehr leisten, nicht im Internet präsent zu sein. Was vor zehn Jahren primär der Marketingkommunikation diente, ist mittlerweile zu einem Point of Sales oder einer Service Station geworden. Wir sind es gewohnt, online einzukaufen, Reisen im Internet zu buchen und unsere Zahlungen am Computer zu erledigen. Ganz zu schweigen von Facebook, Xing, Twitter und Co.

Die Verwaltungen ziehen nach, betreiben Onlineschalter und bauen ihr Angebot kontinuierlich aus. Kurzum, heutzutage werden via Internet selbst so hochsensible Informationen wie Patientendaten ausgetauscht, deren Handhabung gesetzlich streng reguliert ist. Hier greift die Verantwortung der Geschäftsleitung, weil per Gesetz gefordert wird, dass die Unternehmen schützenswerte Daten mittels geeigneter Massnahmen vor unberechtigtem Zugriff schützen müssen. Doch was kann man tun? Firewall, Virenschutz und das regelmässige Einspielen von Sicherheits-Patches sollten selbstverständlich sein. Doch reicht dies aus? Machen Sie den Test.