Sicherheitslücken auf die Spur kommen

Steigende Nachfrage nach IT-Security-Profis

29.01.2016 von Ina Hönicke
Das Thema IT-Sicherheit bewegt die Unternehmen immer mehr. Kein Wunder – nehmen die Bedrohungen doch laufend zu. Profiteure sind die IT-Security-Experten.

"Sicherheitsexperten - sowohl festangestellt oder freiberuflich - werden nach wie vor dringend gesucht", weiß ManagerChristian Steeg, Manager beim Personaldienstleister Hays. Er fährt fort: "Das Problem ist zwar nicht neu, wird aber durch die verstärkt mobilere Arbeit noch um einiges verstärkt." So würden sich jede Menge Applikationen auf dem Smartphone befinden und ganze Datenhaltungen in der Cloud verschwinden. "IT-Sicherheit stellt die Unternehmen vor eine riesige Herausforderung. Kaum haben die Verantwortlichen ein Projekt sichern können, kommen neue Anforderungen und Projekte dazu, die auch noch ausgelagert oder integriert werden müssen", erklärt er.

IT-Sicherheit boomt

Freiberuflern im Sicherheitssektor rät Steeg deshalb, ihr Wissen ständig auf den neuesten Stand zu bringen. Wichtiger als jede Zertifizierung ist seiner Meinung nach gerade in diesem Sektor die langjährige Erfahrung. Die internen Mitarbeiter sind, so der Hays-Manager, auf die Hilfe von außen angewiesen, weil sie sich neben ihrem normalen Tagesablauf gar nicht so schnell weiterentwickeln könnten, wie neue Anforderungen entstünden. Ein früheres Problem habe sich indes verbessert. "Die Unternehmen sehen die freiberuflichen Security-Experten als wichtige Berater", betont der Hays-Manager. Noch vor ein paar Jahren wären einige Unternehmen skeptisch gewesen, da es sich hier um einen sensiblen Bereich handle.

Der Hype um die IT-Sicherheit ist nach wie vor ungebrochen, auch vor dem Hintergrund neuer noch unbekannter Risiken durch Industrie 4.0. Das wiederum bedeutet eine formidable Auftragslage für freiberufliche IT-Sicherheitsexperten.
Foto: Maksim Kabakou - shutterstock.com

Sein Blick in die Zukunft ist optimistisch: Je mehr die Informationsverarbeitung unser Leben durchdringe, desto mehr Themen gebe es im IT-Sicherheits-Sektor - sei es in der Automobiltechnik, bei denWearables und Mobilgeräten, beim Cloud-Computing, dem Hype-Thema Industrie 4.0etc. Dabei würden nicht nur technische Fragen, sondern auch die Fragen des Managements und der Organisation der Sicherheit neu beantwortet werden müssen.

Soft Skills als Basis und steigende Expertise

Dass Vorurteile gegenüber Externen abgebaut wurden, weiß auch Christoph Thiel, der seit mehr als 15 Jahren als Dozent und freier Berater im IT-Sicherheitssektor tätig ist: "Im Grunde werden externe IT-Sicherheitsspezialisten erst dann beauftragt, wenn es wirklich brennt."

In dem Moment sei die Not des Auftraggebers so groß, dass er das Risiko eines möglicherweise unseriösen Beraters schlichtweg akzeptiert. Um dieses Risiko einzuschränken, rät Thiel den Verantwortlichen auf jeden Fall Referenzen früherer Auftraggeber abzufragen und die Ausbildung des Externen genau unter die Lupe zu nehmen. "Letztlich aber", erklärt der erfahrene Sicherheitsexperte", ist es eine Frage des Vertrauens."

Um im Job wirklich erfolgreich zu sein, müsse ein Security-Profi neben einem Informatikstudium zusätzlich über einen entsprechenden Erfahrungsschatz verfügen. "Eine weitere Rolle spielt die Persönlichkeit", erklärt Thiel. Schließlich müsse jeder gute Sicherheitsexperte seinem Auftraggeber auf Augenhöhe begegnen können. Nur so sei es möglich, bei fehlerhaften Vorfällen entsprechendes Gehör zu finden.

"Sicherheitsfachleute benötigen also nicht nur Fachkenntnisse, sondern gute Kommunikationsfähigkeiten, didaktische Kenntnisse und eine hohe soziale Kompetenz", betont Fachmann Thiel. Positiv ist Thiel aufgefallen, dass bei den heutigen Vermittlern offenbar eine Auslese stattgefunden habe. Die Folge: Immer mehr von ihnen würden mittlerweile über gute Kenntnisse im Security-Sektor verfügen.

Sicherheit wird in vielen Unternehmen noch stiefmütterlich behandelt

Informations- und IT-Sicherheits-Experte Bernhard Behr, behr consult Unterhaching, erklärt seinen Job kurz und bündig: "Ich prüfe Unternehmen, ob und inwieweit sie Sicherheitsrichtlinien einhalten." Immer wieder macht er dabei die Erfahrung, dass die seit Jahren geforderte Sensibilisierung bei Mitarbeitern und Unternehmensführungen nach wie vor nicht überall vorhanden ist. Um dieses Dilemma in den Griff zu bekommen geht Behr in ein Unternehmen hinein, stellt jede Menge Fragen - wobei nicht nur die Mitarbeiter, sondern auch das Management befragt werden.

Bernhard Behr, behr consult Unterhaching, berät Unternehmen in IT-Sicherheitsfragen, wobei er immer wieder feststellen muss, dass in einigen Unternehmen immer noch die Sensibilisierung für dieses Thema fehlt.
Foto: behr consult Unterhaching

Zu den Fragen gehören Aspekte wie Datensicherheit, der Schutz sensibler Daten, die Sicherheit der Infrastruktur, der geregelte Umgang mit Störfällen und Angriffen, die Einhaltung gesetzlicher Vorgaben und ein funktionsfähiges Risiko- und Notfallmanagement. "Sobald ich Sicherheitslücken in einem dieser Bereiche entdecke, schlage ich Alarm und biete entsprechende Maßnahmen an", erklärt der Security-Fachmann.

Für seine Auftraggeber sei dieses umfassende Spektrum sehr wichtig. Schließlich würden nicht nur die Angriffe von Cyberkriminellen großen Schaden anrichten, sondern auch die generelle Nichtbeachtung von einfachen Sicherheitsregeln: "Dazu gehört die Schludrigkeit von Mitarbeitern genauso wie gezielte Handlungen von Innentätern wie beispielsweise dem enttäuschten (Ex-)Mitarbeiter."

Rosige Zukunft trotz Risiken durch Industrie 4.0

Dass die Sicherheitsprobleme sich ständig ändern, würde ihm den Job nicht gerade erleichtern. Der Sicherheitsexperte ist überzeugt, dass der gesamte Sektor der Industrie 4.0 noch einige unkalkulierbare Sicherheitsprobleme aufwerfen wird. Diese sich ständig wandelnde Situation wird seiner Meinung nach großen Einfluss auf den IT-Security-Job haben. "Sowohl die Externen als auch die internen Sicherheitsbeauftragten müssen auf all die neuen Probleme entsprechende Antworten geben können. Denn kein Unternehmen ist daran interessiert, dass in der Produktion die Roboter spinnen", schmunzelt Behr.

Aktuelle Fragen, mit denen er sich beschäftigt, sind: Dürfen die Mitarbeiter ihre privaten Geräte für Firmenaufgaben nutzen oder ist das Handy des Geschäftsführers ausreichend abgesichert? Die entsprechenden Lösungen werden laut Behr mit den Vorgesetzten abgeklärt. Darüber hinaus sei es seine Aufgabe, den Mitarbeitern das eigene Wissen nach und nach zur Verfügung zu stellen. "Der Wissenstransfer dauert zirka fünf Jahre, genauso lange muss ich mit dem Know-how voraus sein", kommentiert Behr die Situation. Wenn er in die Zukunft schaut, ist seines Erachtens ein Ende des aktuellen Hypes nicht abzusehen.

Die 7 meist verbreiteten Sicherheitslücken
Mangelhafte Code-Qualität
Probleme mit der Qualität des Codes stehen nicht ohne Grund auf Platz 1 dieser Liste. In einer Studie zur Softwaresicherheit in Unternehmen hat der Security-Anbieter Veracode festgestellt, dass bei mehr als der Hälfte aller getesteten Anwendungen die Code-Qualität ungenügend ist. Dieses Ergebnis ist erschreckend – und gleichzeitig ein Aufruf an alle Branchen, sichere Coding-Verfahren einzusetzen. Denn je später eine mangelhafte Qualität des Quellcodes festgestellt wird, umso aufwändiger wird es, sie zu verbessern – und umso länger ist die Anwendung angreifbar.
Kryptographische Probleme
Sobald es darum geht, wichtige Informationen, wie Passwörter, Zahlungsinformationen oder persönliche Daten zu speichern oder weiterzugeben, kann man davon ausgehen, dass dies auf die eine oder andere Weise auf verschlüsseltem Wege geschieht – damit diese widerstandsfähig gegen Manipulation und unbefugtes Lesen sind. 87 Prozent der Android Apps und 80 Prozent der iOS Apps haben mit Verschlüsselungsproblemen zu kämpfen. Deshalb sind sie ein so beliebtes Ziel für Hacker.
CRLF Injections
Grundsätzlich sind CRLF Injections eine Art Tor zu größeren Angriffen. Durch das Injizieren einer CRLF-Zeichensequenz (=Zeilenumbruch) an einer unerwarteten Stelle können Angreifer Anwendungsdaten ändern und die Ausnutzung von Schwachstellen ermöglichen. Darunter fallen Website-Defacement, Cross-Site Scripting, Hijacking des Webbrowsers und viele weitere. Gerade Android- und Java-basierte Anwendungen sind hiervon betroffen. Sie weisen zu 79 Prozent (Android) und zu 75 Prozent (Java) CRLF Injections auf.
Cross-Site-Scripting
Eine weitere Attacke ist das Cross-Site-Scripting (auch als XSS bekannt). Sie tritt dann auf, wenn Angreifer Bereiche einer Website missbrauchen, die rund um dynamischen Content gebaut sind, Codes ausführen, die Nutzerkonten übernehmen oder Webbrowser fernsteuern. Cross-Site Scripting wird vor allem bei Formularen ein Problem, die ein gemeinsames Kodierungssystem mit der Eingabe von Fragezeichen und Schrägstrichen erlauben.<br /><br />Anwendungen, die in Web-Skriptsprachen geschrieben wurden, sind häufiger von Schwachstellen wie Cross-Site Scripting oder SQL Injections betroffen als Anwendungen basierend auf .NET oder Java. So beinhalten 86 Prozent der PHP-basierten Anwendungen mindestens eine Cross-Site-Scripting-Schwachstelle und 56 Prozent mindestens eine SQL Injection.
SQL Injections
Obwohl sich SQL Injections auf dieser Liste weiter unten befinden, sind sie aufgrund ihrer leichten Ausführbarkeit doch eine der häufigsten, auftretenden Sicherheitslücken. Angreifer platzieren SQL-Abfragen in entsprechende Eingabebereiche und versuchen so, über die Anwendung, die den Zugriff auf die Datenbank bereitstellt, eigene Befehle einzuschleusen. Dadurch ist es Angreifern möglich, Informationen einzusehen, Daten zu verändern und sogar zu löschen sowie die Kontrolle über den Server vollständig zu übernehmen.
Directory Traversals
Directory Traversals sind beängstigend, da weder viel Wissen noch Werkzeuge nötig sind, um damit großen Schaden anzurichten. Im Prinzip kann jeder mit einem Webbrowser und Hacking-Grundkenntnissen durch die Manipulation von Pfadangaben ungeschützte Seiten hacken, so Zugang zu größeren Dateisystemen erlangen und dort nützliche Informationen wie Passwörter, kritische Dateien oder sogar Seiten- und Anwendungsquellcodes abgreifen. Gemessen an den gängigsten Programmiersprachen sind 47 Prozent aller Anwendungen von Directory Traversals betroffen.
Unzureichende Datenvalidierung
Simpel gesprochen lässt sich sämtlicher Input, den Anwender im System abspeichern, kontrollieren und verwalten, unter der Voraussetzung, dass die Daten, die in das eigene Netzwerk kommen, entsprechend validiert und "sterilisiert" werden. Ist dies nicht der Fall, entstehen eine Reihe an Sicherheitsrisiken, die bösartigen Angreifern unter anderem ermöglichen, Daten auszulesen und zu stehlen sowie Sitzungen und Browser-Aktivitäten fremdzusteuern.