Skip to content

Sicherheit im Netz – aber wie?

Selten war das Thema Sicherheit im Netz so allgegenwärtig wie aktuell. Überwachungsskandale wie jüngst durch PRISM oder Datendiebstähle bei diversen populären Internetseiten haben das Bewußtsein der Anwender gestärkt. Themen wie Datenschutz und Datensicherheit werden für die Nutzer von Webanwendungen immer wichtiger. Die Die Nutzer erwarten, dass die Software die sie Online verwenden ihre Daten bestmöglich sichert und dass die Weiterverarbeitung der Daten transparent veröffentlicht wird. Leider gibt es noch immer in vielen Unternehmen nicht ausreichend Erfahrung im Bereich Sicherheit im Netz.

Probleme bei fehlendem Wissen

Nur selten können Einscheider oder Teams ausreichend einschätzen, ob ihre Software wirklich sicher ist. Das liegt zum einen daran, dass Themen wie Softwareauditing und Penetrationtesting in den meisten Unternehmen Fremdwörter sind und nur selten Geld in die Ausbildung dieses Wissens gesteckt wird. Auf der anderen Seite ist das Themenfeld Hacking und Cracking kaum greifbar. Begriffe wie XSS, SQL Injection oder Cross-Site-Request-Forgery wurden schon gehört und diese werden mit Datenskandalen und Angriffen auf Internetprojekten in Verbindung gebracht, doch nur selten weiß man was sich konkret dahinter verbirgt und welche Gefahren diese Angriffe mit sich bringen. Dabei gehören diese Angrifftechniken laut Firehost zu den häufigsten Attacken. Aus diesem Grund ist es wichtig, dass die Anbieter von Portalen den Zugriff auf sensible Daten verhindern und Schwachstellen im System unterbinden. Diese Sicherheit kann man jedoch nur gewährleisten wenn man die Techniken kennt und weiß wie sie funktionieren, sowohl in der Theorie als auch in der Praxis.

Sicherheit in der Entwicklung

Leider haben nur wenige Softwareanbieter das Konzept Security by Design verinnerlicht. Dies kann unterschiedliche Gründe haben. Zum einen kann der Aufwand für Sicherheitsaspekte in der Designphase den Preis nach oben treiben. Ein Investment, dass von Unternehmen als Geldverschwendung angesehen werden könnte. Auf der anderen Seite bestehen die Entwicklungsteams aus Programmierern mit unterschiedlichem Wissen und Kenntnisstand. Gerade bei komplexen Systemen und dem ständigen Zeitdruck kann es passieren, dass zur Entwicklungszeit bestimmte Sicherheitsaspekte übersehen werden. Es ist dabei wichtig jemanden zu haben, der während des gesamten Entwicklungszyklus von der Designphase, über die Entwicklung bis zur Definition der Testfälle einen Überblick über kritische Anwendungsfälle behält und entsprechend die Teams darauf hinweisen und schulen kann.

Web Security Workshop

An genau diesem Punkt möchte der Web Security Workshop ansetzen. In diesem 8 Stündigen Workshop möchte ich den Teilnehmern die gängigsten Angriffstechniken nahe bringen. Dabei wird das Hauptaugenmerk auf den Workshopcharakter gelegt. Die Teilnehmer sollen nicht nur durch Frontalunterricht auf die Probleme aufmerksam gemacht werden sondern durch Anwenden der Techniken ein direktes Gefühl für die Angriffsvektoren erhalten. Die Inhalte dieses Workshops sind dabei sehr weit gefächert von den Angriffen auf Frontendebene werden auch Techniken auf anderen Ebenen gezeigt. Dazu gehören zum Beispiel DDoS oder der Man in the Middle Angriff. In dem Workshop werden für jeden Angriff die Technik durchgesprochen, ein Praxisbeispiel gezeigt und wie man sich davor schützen oder dem Angriff entgegenwirken kann.

Weitere Informationen zum Web Security Workshop

Der erste Workshop dieser Art wird am 8. November in Berlin stattfinden. Dabei haben bis zu 12 Teilnehmer die Möglichkeit ihr Wissen im Bereich Security zu erweitern. Neben den Angriffen werden auch Sicherheitsaspekte wie Verhinderung von Footprints und Programmiertechniken besprochen. Das bedeutet dass der Teilnehmer ein Grundverständnis von Programmcode haben sollte. Man muss jedoch kein Programmierer mit jahrelanger Erfahrung sein, auch wenn dies für das Verständnis sicherlich hilfreich ist. Jedoch sollte man schon einmal mit einem Linux System gearbeitet haben, damit man die Syntax der Befehle, den Einsatz von Tools und dem Bearbeiten von Konfigurationen folgen und anwenden kann.

Ablauf des Web Security Workshops

Der rote Faden der Themen ist fertig und man kann ein Teil der Inhalte auf der Seite vom Web Security Workshop nachlesen. Der Workshop wird eine sehr hohen praktischen Anteil haben. Diese sieht so aus, dass es in dem Workshop einen vorbereiteten Server gibt für den jeder Teilnehmer einen Nutzernamen erhält. Richtig einen Nutzernamen, das FTP Passwort muss man im Laufe des Workshops selbst herausfinden. Dafür wird es an diversen Stellen Sicherheitslücken geben, die der Teilnehmer aufdecken darf. An diesem Test soll das Black Box Testing verdeutlicht werden. Sobald jeder Nutzer sein Passwort herausgefunden hat, wird es weitere Beispiel für White Box Testing und ähnliche Techniken geben. Zum Ende des Workshops wird es noch den Themenkomplex WordPress geben. In dem Bereich sollen die Nutzer lernen welche Vorteile und welche Gefahren bekannte Software mit sich bringen und wie man die möglichen Schwachstellen reduzieren kann indem man das zuvor gelernte anwendet. Auch soll dabei nochmal deutlich gemacht werden, dass 100 Prozent Sicherheit bei der Vielfalt an Angriffsebenen eine Illusion ist, man sich diesem Wert jedoch annähern kann. Was bringt einem die sicherste Software wenn das Kennwort des Admins „123456“ lautet?

Wer Interesse an die Teilnahme zum Web Security Workshop bekommen hat kann sich ab dem 01. September 2013 anmelden. Wer sich Voranmeldet bekommt schon zwei Tage vorher die Möglichkeit sich für einen der 12 Plätze zu registrieren.

Jens Altmann

Avatar Jens Altmann

Jens Altmann bloggt auf gefruckelt.de regelmäßig über alle Themen, die ihn interessieren. Neben seiner Tätigkeit als Softwarearchitekt studiert er Wirtschaftsinformatik an der Uni Potsdam.

Weitere Informationen über Jens Altmann

Interessante Artikel

Kommentare

Keine Kommentare

Kommentiere diesen Artikel als erstes!

Kommentiere den Artikel

Required

Required

Optional