Entwickler Magazin Spezial Vol.16: Security

Security

Erhältlich ab: Mai 2018
Umfang: 100 Seiten Seiten
Autoren / Autorinnen:
Carsten Eilers, Mathias Fuchs, Kevin Gerndt, Hans-Peter Grahsl, Dr. Marius Hofmeister, Niko Köbler, Simon Kölsch, Malte Pollmann, Matthias Pöpping, Matthias Rohr, Michael Rohrlich, Christian Schneider, Manfred Steyer, Helmut Stoiber

78,00 140,20 

Abonnement Typ
Auswahl zurücksetzen

9,80 

Heft bestellen

PRAXIS

Auf den Spuren des Angreifers
Protokoll einer Cyberattacke

Mehr Bewusstsein für Security
Neuauflage der OWASP Top 10 – 2017

Alles neu macht der Mai …
Die neue Datenschutz-Grundverordnung tritt in Kraft

Sicherheit agil verankern
Secure SDLC

KRYPTOGRAFIE

Kryptografie mit dem PKCS #11
Teil 1: Kryptografische Grundlagen

PKCS #11 in der Praxis
Teil 2: Standards und Implementierungen

Ein schmaler Grat
Welche Kryptoverfahren sollte man verwenden bzw. meiden?

Ein Quantum Computer
Quantenkryptografie

DEVELOPMENT

Die Toolbox für den Pentester
Webanwendungen und Servern gezielt auf den Zahn fühlen

Einmal und nie wieder
Single Sign-on für Microservices und verteilte Anwendungen

Schlüsselkasten 2.0
Microservices mit Vault absichern

Hier kommst du nicht rein
Authentifizierung und Autorisierung mit Angular 2.0

Auf Nummer sicher gehen: ASP.NET Web API
Sicherheit durch OAuth 2.0 und JWT

Wenn das IoT ins Haus einzieht …
Heimautomation und Security

Eins ist sicher: Die IT ist es nicht.

Liebe Leserinnen und Leser,

erinnern Sie sich noch an Norbert Blüms Aussage „Die Rente ist sicher“ (von der Höhe war nie die Rede)? Dazu gehörte auch eine Werbekampagne mit dem Spruch „Denn eins ist sicher: Die Rente“. Der lässt sich wunderbar auf die IT übertragen: „Denn eins ist sicher: Die IT ist es nicht“.
IT-Sicherheit ist eine besondere Art der Sisyphosarbeit. Unser Stein rollt zwar nicht immer zurück, unten liegt aber immer schon der nächste. So war die Trennung zwischen Codeteilen bzw. Daten mit unterschiedlicher Vertrauenswürdigkeit lange Zeit ein guter Schutz, bis im Januar 2018 mit Spectre und Meltdown Schwachstellen in der CPU bekannt wurden, die diesen Schutz aushebeln. Ob das Patchen der Schwachstellen inzwischen vollständig geklappt hat? Wer weiß.

Selbst wenn, wird der nächste Stein nicht lange auf sich warten lassen. Nachdem nun bekannt ist, dass es auch in den CPUs Schwachstellen gibt, geht die Suche erst richtig los. Und es wäre ein Wunder, wenn nichts weiter gefunden würde. So kam man ja auch auf die Idee, alle möglichen Geräte mit kleinen Computern zu versehen und ans Internet anschließen und nannte das dann Internet of Things. Alle möglichen Hersteller finden das neue Buzzword toll und wollen dabei sein. Für Sicherheit ist auf den kleinen Rechnern oft weder Speicherplatz noch Rechenleistung genug. Vielleicht haben die Entwickler davon auch einfach keine Ahnung, weil sie bisher die Firmware abgeschotteter Geräte entwickelt haben und die nun plötzlich mit einer Weboberfläche versehen ins Internet sollen. Aber wer sollte schon auf die Idee kommen, irgendwelche Geräte anzugreifen? Die Cyberkriminellen natürlich, die daraus bereits ein riesiges Botnet für DDoS-Angriffe gebaut haben. Was denen sonst noch so einfällt, werden wir sicher bald erfahren.

Ein weiteres Problem: das Ausspähen von Daten. Davor schützt eine Verschlüsselung, wenn sie sicher ist – was nicht immer der Fall ist. Kryptoalgorithmen und Schlüssellängen „altern“. In den Algorithmen werden Fehler entdeckt, anfangs unbrechbare Schlüssellängen können von den immer schneller werdenden Rechnern gebrochen werden.

Das Problem lässt sich durch längere Schlüssel und neue Verfahren gut beherrschen. Ein größeres Problem sind die Strafverfolger und Geheimdienste. Da sie an der sicheren Verschlüsselung durch Kriminelle und Terroristen scheitern, fordern sie Hintertüren in der Verschlüsselung, die dann aber auch von Angreifern genutzt werden können und deshalb keinesfalls eingebaut werden dürften, wenn einem die Datensicherheit lieb ist.

Diese Diskussion hatten wir schon in den 1990er-Jahren, eigentlich hatten wir die Crypto Wars gewonnen. Aber seit einiger Zeit werden neue Begehrlichkeiten geweckt. Da ist das letzte Wort noch nicht gesprochen; es tauchen immer wieder Ideen auf, wie Strafverfolger und Co. Zugriff auf die verschlüsselten Daten bekommen könnten. Das funktioniert aber nicht: Wenn es eine Hintertür gibt, kann sie auch von Angreifern gebraucht werden.

Ich könnte problemlos das ganze Heft mit solchen Beispielen füllen. Denn wie ich es so gern in meinen Artikeln formuliere: „Schlimmer geht immer!“Aber dagegen lässt sich zum Glück etwas machen. Wenn die Entwickler ihre Programme sicher entwickeln, die Benutzer ihre Systeme aktuell halten und die Politiker die Sicherheitsfanatiker in ihre Schranken weisen, ist schon viel gewonnen.

Und nun wünsche ich Ihnen viel Spaß mit diesem Magazin!

Carsten Eilers
Freier Berater und Coach für IT-Sicherheit


Weitere Ausgaben

X
- Gib Deinen Standort ein -
- or -