Die Veränderung, die wir in den AppSec-Badlands brauchen: Meine Prognosen für 2019
2018 war ein Mammutjahr für Cybersicherheitsexperten. Trotz der Warnungen, die Sicherheit ernster zu nehmen, ist das ständige Presseumfeld Förderung von mehr Talenten aus der Sicherheitsbranche Und bei allgemeinen Versuchen, Unternehmen für Cybersicherheit zu sensibilisieren, starren wir auf die rauchenden Krater, die Hunderte von Cyberangriffen hinterlassen haben. Sie stehen für groß angelegte Datenschutzverletzungen und das Misstrauen der Verbraucher gegenüber einigen sehr bekannten Namen. Allein in der ersten Hälfte des Jahres 2018 4,5 Milliarden Datensätze wurden kompromittiert in 945 verschiedenen Vorfällen.
Ich habe es schon oft gesagt: Wir können es besser machen. Der wahre Kampf, vor dem wir stehen, ist jedoch nicht gegen Drehbuch-Kiddies, gefährliche Syndikate der organisierten Cyberkriminalität oder mysteriöse Gestalten mit Kapuzenpulli, die auf Laptops tippen — der Kampf besteht darin, mehr Menschen dazu zu bringen, sich darüber Gedanken zu machen, dass diese Sicherheitslücken überhaupt passieren.
Die Einhaltung der DSGVO ist ein guter Anfang, wird aber kurzfristig keine großen Auswirkungen haben.
Die der Europäischen Union Allgemeine Datenschutzverordnung Die Gesetze (DSGVO) sind derzeit in vollem Gange; eine drohende Bedrohung für Unternehmen, die den Datenschutz nicht ernst nehmen. Angesichts der hohen Bußgelder für diejenigen, bei denen festgestellt wurde, dass sie die Vorschriften nicht einhalten, sollte dies den Unternehmen als Tritt in den Hintern dienen, ihre Sicherheitspraktiken zu verschärfen, Kundendaten mit mehr Respekt zu behandeln und eine Strategie zur Abwehr von Cyberangriffen zu entwickeln.
Einige Unternehmen wurden vor hohen Bußgeldern gewarnt, aber wir haben noch keine wirklichen Folgen aufgrund der Nichteinhaltung der DSGVO gesehen. Keine Konkursstrafen, nur eine ganze Menge Pop-ups, die wir Internetnutzer durchklicken müssen. Dies liegt zum Teil daran, dass Gerichtsverfahren viel Zeit in Anspruch nehmen und es viele Möglichkeiten gibt, Rechtsmittel einzulegen. Jedes Unternehmen, für das ein Exempel statuiert wurde, ist wahrscheinlich in einen monate- oder jahrelangen Rechtsstreit verwickelt. Am Ende eines Albtraum-Jahres für Facebook meldeten sie vor Kurzem eine weitere Datenschutzverletzung: einen API-Bug, durch den die privaten Fotos von 6,8 Millionen Nutzern 1500 nicht autorisierten Anwendungen ausgesetzt waren. Er wurde innerhalb von zwei Wochen gefunden und gepatcht, doch Datenschutzbehörden und die Öffentlichkeit wurden erst Monate später auf den Verstoß aufmerksam gemacht. Die DSGVO-Gesetze schreiben vor, dass ein Verstoß innerhalb von 72 Stunden gemeldet wird, also wirft viele Fragen dazu auf, wie einflussreich und wirksam diese Gesetze wirklich sind zur Zeit.
Und natürlich haben die Sicherheitslücken auch anderswo nicht aufgehört: im November Marriott-Strand enthüllte, dass satte 500 Millionen Datensätze kompromittiert waren, und, was vielleicht noch besorgniserregender ist, dass die Angreifer vier Jahre lang auf ihre Systeme zugegriffen hatten, bevor sie entdeckt wurden. Es sollte jedoch beachtet werden, dass Marriott offenbar Folgendes zu tun hat einige Schadensbegrenzung: Sie haben den Opfern eine angeboten kostenloses 12-Monats-Abonnement für WebWatcher, ein Tool zur Kreditüberwachung... aber bei 500 Millionen Datensätzen, die Hacker durchsuchen müssen, bleibt abzuwarten, ob ein Jahr für die meisten ausreicht, um etwas Sinnvolles zu überwachen; es kann schließlich einige Jahre dauern, bis Ihre Daten für skrupellosen Gebrauch markiert werden.
Langfristig, Vorschriften wie die DSGVO Testament positive Veränderungen herbeiführen, wenn sie durchgesetzt werden. Wenn Unternehmen mit erheblichen finanziellen Sanktionen (oder sogar Sammelklagen von Kunden, deren Daten kompromittiert wurden) oder mit Gewinneinbrüchen in einem ausreichend langen Ausmaß konfrontiert werden, werden wir meiner Meinung nach einen frenetischen Fokus darauf richten, die Online-Datenbanken der meisten Unternehmen zu schützen.
Die Finanzinstitute werden bei kurzfristigen positiven Veränderungen weiterhin eine Vorreiterrolle einnehmen.
Es ist vielleicht nicht so überraschend, dass Finanzinstitute — als Torwächter des hart verdienten Geldes der Welt — über einige der strengsten Best-Practice-Richtlinien für Cybersicherheit sowie über durchgängige Prozesse zur Risikominderung verfügen.
Ein wichtiger Faktor für diese Einhaltung ist die Rat für PCI-Sicherheitsstandards, die sich weiterhin dafür einsetzen, Finanzorganisationen bei der Umsetzung einer tragfähigen Sicherheitspolitik und der Einhaltung von Richtlinien in allen Bereichen zu unterstützen. Sie haben dazu beigetragen, dass diese Branche einen der höchsten Sicherheitsstandards für Zahlungssoftware erreicht.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach sind sie im Allgemeinen sicherheitsbewusster und widmen ihre Ressourcen ganzheitlichen Schulungsprogrammen nicht nur für AppSec-Experten und Pen-Tester, sondern auch für ihre (in der Regel sehr großen und weltweit verstreuten) Entwicklungsteams. Sie stellen sicher, dass Entscheidungsträger auf höchster Ebene verstehen, dass Sicherheitsprozesse keine Maßnahmen sind, die einfach festgelegt und vergessen werden. Sie müssen sich genauso schnell weiterentwickeln wie die verwendete Technologie und sich an unterschiedliche Risiken anpassen.
Immer mehr Unternehmen werden ihre Sicherheitspipeline umgestalten.
Im Vergleich zu anderen IT-Bereichen ist AppSec relativ jung. Es ist schwer, das neue Kind zu sein: Sie werden leicht missverstanden und haben möglicherweise noch nicht die wichtigsten Beziehungen aufgebaut, die Sie gerade brauchen. Ich glaube jedoch, dass es für AppSec mit jedem Jahr einfacher wird, seinen Platz selbst in den antiquiertesten Organisationen zu finden, die gegen Veränderungen resistent sind.
Es ist immer offensichtlicher geworden, dass Unternehmen die Einhaltung von Sicherheitsvorschriften nicht zu einem letzten, kurzfristigen Schritt in ihren Softwareprozessen machen können. Es müssen Kontrollen und Maßnahmen von Punkt zu Punkt durchgeführt werden, wobei der Schwerpunkt mehr auf der Aggregation von Daten und der Verbesserung der Transparenz auf den Führungsebenen des Unternehmens liegen sollte. Ohne dies wird die Sicherheit außer Sichtweite bleiben, für die meisten von ihnen aus dem Blickfeld geraten. Und in diesem Szenario ist es praktisch unmöglich, die Ressourcen zu beschaffen, die für die Risikoplanung erforderlich sind.
Die gute Nachricht ist, dass mehr Unternehmen als je zuvor ihre eigenen Cyberangriffe erkennen und daran arbeiten, sie zu beheben. Die schlechte Nachricht? Dieser Prozess dauert durchschnittlich fünfundachtzig Tage.
Das Testen von Stiften und die manuelle Codeüberprüfung sind mühsam, teuer und langsam in einer Zeit, in der schnelle Innovationen und die Produktion von Funktionen im Technologiebereich ein Muss sind. Das Sicherheitsbewusstsein muss von Anfang an durchgesetzt werden: von dem Moment an, in dem ein Entwickler schreibt den Code an erster Stelle.
Unsere Branche wird das Hauptproblem erkennen: Wir brauchen die Menschen, die sich mehr darum kümmern.
Hier ist die Sache: Ich könnte konservativ zwanzig Personen in meinem Netzwerk zählen, die in den letzten vier Jahren irgendwann in einem Marriott-Hotel übernachtet haben. Da in dieser Zeit 500 Millionen Datensätze gestohlen wurden, besteht eine gute Chance, dass ihre Daten Teil dieses Diebstahls waren. Alles, von aktuellen Kontaktinformationen über noch gültige Kreditkartennummern bis hin zu Reisepassinformationen, könnte derzeit im Dark Web zum Verkauf angeboten werden. Ihr Pflegefaktor war jedoch im Grunde Null.
Und nun ja, es ist leicht, selbstgefällig zu sein, wenn Sie bei einem so groß angelegten Datenraub quasi eine Nadel im Heuhaufen sind.
Aber das eigentliche Problem? Die Unternehmen, die es versäumt haben, die Daten ihrer eigenen Kunden zu schützen, haben kaum mit Konsequenzen zu kämpfen. Erleidet ihr Aktienkurs unmittelbar nach dem Vorfall einen Einbruch? Darauf kannst du wetten. Target, Equifax und jetzt Marriott könnten das alle bestätigen. Ein Zwölfmonatsüberblick zeigt jedoch, dass die Erholung zur Normalität ziemlich schnell erfolgt. Ein paar Jahre später, und auch finanziell, ist alles vergeben.
Solange es keine schwerwiegenden Auswirkungen gibt: hohe Bußgelder, strengere Vorschriften und erhebliche Geschäftsverluste, wird AppSec eine Branche sein, die ständig darum kämpfen muss, die Schwere der wachsenden Cyberrisiken, denen ein Unternehmen ausgesetzt ist, zu vermitteln.
Ich befürchte, es wird noch viel schlimmer werden, bevor es besser wird. Daher ist es von größter Bedeutung, dass wir daran arbeiten, sicherheitsbewusste Entwickler und robuste Sicherheitskulturen an vorderster Front der Technologieteams eines Unternehmens aufzubauen. Behalten Sie das im Auge und streben Sie weiterhin nach einem höheren Standard an Softwaresicherheit.
Der wahre Kampf, dem wir gegenüberstehen, ist nicht gegen Drehbuch-Kiddies oder gefährliche Syndikate der organisierten Cyberkriminalität... es geht darum, mehr Menschen dazu zu bringen, sich Sorgen zu machen, dass Datenschutzverletzungen überhaupt passieren.
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
2018 war ein Mammutjahr für Cybersicherheitsexperten. Trotz der Warnungen, die Sicherheit ernster zu nehmen, ist das ständige Presseumfeld Förderung von mehr Talenten aus der Sicherheitsbranche Und bei allgemeinen Versuchen, Unternehmen für Cybersicherheit zu sensibilisieren, starren wir auf die rauchenden Krater, die Hunderte von Cyberangriffen hinterlassen haben. Sie stehen für groß angelegte Datenschutzverletzungen und das Misstrauen der Verbraucher gegenüber einigen sehr bekannten Namen. Allein in der ersten Hälfte des Jahres 2018 4,5 Milliarden Datensätze wurden kompromittiert in 945 verschiedenen Vorfällen.
Ich habe es schon oft gesagt: Wir können es besser machen. Der wahre Kampf, vor dem wir stehen, ist jedoch nicht gegen Drehbuch-Kiddies, gefährliche Syndikate der organisierten Cyberkriminalität oder mysteriöse Gestalten mit Kapuzenpulli, die auf Laptops tippen — der Kampf besteht darin, mehr Menschen dazu zu bringen, sich darüber Gedanken zu machen, dass diese Sicherheitslücken überhaupt passieren.
Die Einhaltung der DSGVO ist ein guter Anfang, wird aber kurzfristig keine großen Auswirkungen haben.
Die der Europäischen Union Allgemeine Datenschutzverordnung Die Gesetze (DSGVO) sind derzeit in vollem Gange; eine drohende Bedrohung für Unternehmen, die den Datenschutz nicht ernst nehmen. Angesichts der hohen Bußgelder für diejenigen, bei denen festgestellt wurde, dass sie die Vorschriften nicht einhalten, sollte dies den Unternehmen als Tritt in den Hintern dienen, ihre Sicherheitspraktiken zu verschärfen, Kundendaten mit mehr Respekt zu behandeln und eine Strategie zur Abwehr von Cyberangriffen zu entwickeln.
Einige Unternehmen wurden vor hohen Bußgeldern gewarnt, aber wir haben noch keine wirklichen Folgen aufgrund der Nichteinhaltung der DSGVO gesehen. Keine Konkursstrafen, nur eine ganze Menge Pop-ups, die wir Internetnutzer durchklicken müssen. Dies liegt zum Teil daran, dass Gerichtsverfahren viel Zeit in Anspruch nehmen und es viele Möglichkeiten gibt, Rechtsmittel einzulegen. Jedes Unternehmen, für das ein Exempel statuiert wurde, ist wahrscheinlich in einen monate- oder jahrelangen Rechtsstreit verwickelt. Am Ende eines Albtraum-Jahres für Facebook meldeten sie vor Kurzem eine weitere Datenschutzverletzung: einen API-Bug, durch den die privaten Fotos von 6,8 Millionen Nutzern 1500 nicht autorisierten Anwendungen ausgesetzt waren. Er wurde innerhalb von zwei Wochen gefunden und gepatcht, doch Datenschutzbehörden und die Öffentlichkeit wurden erst Monate später auf den Verstoß aufmerksam gemacht. Die DSGVO-Gesetze schreiben vor, dass ein Verstoß innerhalb von 72 Stunden gemeldet wird, also wirft viele Fragen dazu auf, wie einflussreich und wirksam diese Gesetze wirklich sind zur Zeit.
Und natürlich haben die Sicherheitslücken auch anderswo nicht aufgehört: im November Marriott-Strand enthüllte, dass satte 500 Millionen Datensätze kompromittiert waren, und, was vielleicht noch besorgniserregender ist, dass die Angreifer vier Jahre lang auf ihre Systeme zugegriffen hatten, bevor sie entdeckt wurden. Es sollte jedoch beachtet werden, dass Marriott offenbar Folgendes zu tun hat einige Schadensbegrenzung: Sie haben den Opfern eine angeboten kostenloses 12-Monats-Abonnement für WebWatcher, ein Tool zur Kreditüberwachung... aber bei 500 Millionen Datensätzen, die Hacker durchsuchen müssen, bleibt abzuwarten, ob ein Jahr für die meisten ausreicht, um etwas Sinnvolles zu überwachen; es kann schließlich einige Jahre dauern, bis Ihre Daten für skrupellosen Gebrauch markiert werden.
Langfristig, Vorschriften wie die DSGVO Testament positive Veränderungen herbeiführen, wenn sie durchgesetzt werden. Wenn Unternehmen mit erheblichen finanziellen Sanktionen (oder sogar Sammelklagen von Kunden, deren Daten kompromittiert wurden) oder mit Gewinneinbrüchen in einem ausreichend langen Ausmaß konfrontiert werden, werden wir meiner Meinung nach einen frenetischen Fokus darauf richten, die Online-Datenbanken der meisten Unternehmen zu schützen.
Die Finanzinstitute werden bei kurzfristigen positiven Veränderungen weiterhin eine Vorreiterrolle einnehmen.
Es ist vielleicht nicht so überraschend, dass Finanzinstitute — als Torwächter des hart verdienten Geldes der Welt — über einige der strengsten Best-Practice-Richtlinien für Cybersicherheit sowie über durchgängige Prozesse zur Risikominderung verfügen.
Ein wichtiger Faktor für diese Einhaltung ist die Rat für PCI-Sicherheitsstandards, die sich weiterhin dafür einsetzen, Finanzorganisationen bei der Umsetzung einer tragfähigen Sicherheitspolitik und der Einhaltung von Richtlinien in allen Bereichen zu unterstützen. Sie haben dazu beigetragen, dass diese Branche einen der höchsten Sicherheitsstandards für Zahlungssoftware erreicht.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach sind sie im Allgemeinen sicherheitsbewusster und widmen ihre Ressourcen ganzheitlichen Schulungsprogrammen nicht nur für AppSec-Experten und Pen-Tester, sondern auch für ihre (in der Regel sehr großen und weltweit verstreuten) Entwicklungsteams. Sie stellen sicher, dass Entscheidungsträger auf höchster Ebene verstehen, dass Sicherheitsprozesse keine Maßnahmen sind, die einfach festgelegt und vergessen werden. Sie müssen sich genauso schnell weiterentwickeln wie die verwendete Technologie und sich an unterschiedliche Risiken anpassen.
Immer mehr Unternehmen werden ihre Sicherheitspipeline umgestalten.
Im Vergleich zu anderen IT-Bereichen ist AppSec relativ jung. Es ist schwer, das neue Kind zu sein: Sie werden leicht missverstanden und haben möglicherweise noch nicht die wichtigsten Beziehungen aufgebaut, die Sie gerade brauchen. Ich glaube jedoch, dass es für AppSec mit jedem Jahr einfacher wird, seinen Platz selbst in den antiquiertesten Organisationen zu finden, die gegen Veränderungen resistent sind.
Es ist immer offensichtlicher geworden, dass Unternehmen die Einhaltung von Sicherheitsvorschriften nicht zu einem letzten, kurzfristigen Schritt in ihren Softwareprozessen machen können. Es müssen Kontrollen und Maßnahmen von Punkt zu Punkt durchgeführt werden, wobei der Schwerpunkt mehr auf der Aggregation von Daten und der Verbesserung der Transparenz auf den Führungsebenen des Unternehmens liegen sollte. Ohne dies wird die Sicherheit außer Sichtweite bleiben, für die meisten von ihnen aus dem Blickfeld geraten. Und in diesem Szenario ist es praktisch unmöglich, die Ressourcen zu beschaffen, die für die Risikoplanung erforderlich sind.
Die gute Nachricht ist, dass mehr Unternehmen als je zuvor ihre eigenen Cyberangriffe erkennen und daran arbeiten, sie zu beheben. Die schlechte Nachricht? Dieser Prozess dauert durchschnittlich fünfundachtzig Tage.
Das Testen von Stiften und die manuelle Codeüberprüfung sind mühsam, teuer und langsam in einer Zeit, in der schnelle Innovationen und die Produktion von Funktionen im Technologiebereich ein Muss sind. Das Sicherheitsbewusstsein muss von Anfang an durchgesetzt werden: von dem Moment an, in dem ein Entwickler schreibt den Code an erster Stelle.
Unsere Branche wird das Hauptproblem erkennen: Wir brauchen die Menschen, die sich mehr darum kümmern.
Hier ist die Sache: Ich könnte konservativ zwanzig Personen in meinem Netzwerk zählen, die in den letzten vier Jahren irgendwann in einem Marriott-Hotel übernachtet haben. Da in dieser Zeit 500 Millionen Datensätze gestohlen wurden, besteht eine gute Chance, dass ihre Daten Teil dieses Diebstahls waren. Alles, von aktuellen Kontaktinformationen über noch gültige Kreditkartennummern bis hin zu Reisepassinformationen, könnte derzeit im Dark Web zum Verkauf angeboten werden. Ihr Pflegefaktor war jedoch im Grunde Null.
Und nun ja, es ist leicht, selbstgefällig zu sein, wenn Sie bei einem so groß angelegten Datenraub quasi eine Nadel im Heuhaufen sind.
Aber das eigentliche Problem? Die Unternehmen, die es versäumt haben, die Daten ihrer eigenen Kunden zu schützen, haben kaum mit Konsequenzen zu kämpfen. Erleidet ihr Aktienkurs unmittelbar nach dem Vorfall einen Einbruch? Darauf kannst du wetten. Target, Equifax und jetzt Marriott könnten das alle bestätigen. Ein Zwölfmonatsüberblick zeigt jedoch, dass die Erholung zur Normalität ziemlich schnell erfolgt. Ein paar Jahre später, und auch finanziell, ist alles vergeben.
Solange es keine schwerwiegenden Auswirkungen gibt: hohe Bußgelder, strengere Vorschriften und erhebliche Geschäftsverluste, wird AppSec eine Branche sein, die ständig darum kämpfen muss, die Schwere der wachsenden Cyberrisiken, denen ein Unternehmen ausgesetzt ist, zu vermitteln.
Ich befürchte, es wird noch viel schlimmer werden, bevor es besser wird. Daher ist es von größter Bedeutung, dass wir daran arbeiten, sicherheitsbewusste Entwickler und robuste Sicherheitskulturen an vorderster Front der Technologieteams eines Unternehmens aufzubauen. Behalten Sie das im Auge und streben Sie weiterhin nach einem höheren Standard an Softwaresicherheit.
2018 war ein Mammutjahr für Cybersicherheitsexperten. Trotz der Warnungen, die Sicherheit ernster zu nehmen, ist das ständige Presseumfeld Förderung von mehr Talenten aus der Sicherheitsbranche Und bei allgemeinen Versuchen, Unternehmen für Cybersicherheit zu sensibilisieren, starren wir auf die rauchenden Krater, die Hunderte von Cyberangriffen hinterlassen haben. Sie stehen für groß angelegte Datenschutzverletzungen und das Misstrauen der Verbraucher gegenüber einigen sehr bekannten Namen. Allein in der ersten Hälfte des Jahres 2018 4,5 Milliarden Datensätze wurden kompromittiert in 945 verschiedenen Vorfällen.
Ich habe es schon oft gesagt: Wir können es besser machen. Der wahre Kampf, vor dem wir stehen, ist jedoch nicht gegen Drehbuch-Kiddies, gefährliche Syndikate der organisierten Cyberkriminalität oder mysteriöse Gestalten mit Kapuzenpulli, die auf Laptops tippen — der Kampf besteht darin, mehr Menschen dazu zu bringen, sich darüber Gedanken zu machen, dass diese Sicherheitslücken überhaupt passieren.
Die Einhaltung der DSGVO ist ein guter Anfang, wird aber kurzfristig keine großen Auswirkungen haben.
Die der Europäischen Union Allgemeine Datenschutzverordnung Die Gesetze (DSGVO) sind derzeit in vollem Gange; eine drohende Bedrohung für Unternehmen, die den Datenschutz nicht ernst nehmen. Angesichts der hohen Bußgelder für diejenigen, bei denen festgestellt wurde, dass sie die Vorschriften nicht einhalten, sollte dies den Unternehmen als Tritt in den Hintern dienen, ihre Sicherheitspraktiken zu verschärfen, Kundendaten mit mehr Respekt zu behandeln und eine Strategie zur Abwehr von Cyberangriffen zu entwickeln.
Einige Unternehmen wurden vor hohen Bußgeldern gewarnt, aber wir haben noch keine wirklichen Folgen aufgrund der Nichteinhaltung der DSGVO gesehen. Keine Konkursstrafen, nur eine ganze Menge Pop-ups, die wir Internetnutzer durchklicken müssen. Dies liegt zum Teil daran, dass Gerichtsverfahren viel Zeit in Anspruch nehmen und es viele Möglichkeiten gibt, Rechtsmittel einzulegen. Jedes Unternehmen, für das ein Exempel statuiert wurde, ist wahrscheinlich in einen monate- oder jahrelangen Rechtsstreit verwickelt. Am Ende eines Albtraum-Jahres für Facebook meldeten sie vor Kurzem eine weitere Datenschutzverletzung: einen API-Bug, durch den die privaten Fotos von 6,8 Millionen Nutzern 1500 nicht autorisierten Anwendungen ausgesetzt waren. Er wurde innerhalb von zwei Wochen gefunden und gepatcht, doch Datenschutzbehörden und die Öffentlichkeit wurden erst Monate später auf den Verstoß aufmerksam gemacht. Die DSGVO-Gesetze schreiben vor, dass ein Verstoß innerhalb von 72 Stunden gemeldet wird, also wirft viele Fragen dazu auf, wie einflussreich und wirksam diese Gesetze wirklich sind zur Zeit.
Und natürlich haben die Sicherheitslücken auch anderswo nicht aufgehört: im November Marriott-Strand enthüllte, dass satte 500 Millionen Datensätze kompromittiert waren, und, was vielleicht noch besorgniserregender ist, dass die Angreifer vier Jahre lang auf ihre Systeme zugegriffen hatten, bevor sie entdeckt wurden. Es sollte jedoch beachtet werden, dass Marriott offenbar Folgendes zu tun hat einige Schadensbegrenzung: Sie haben den Opfern eine angeboten kostenloses 12-Monats-Abonnement für WebWatcher, ein Tool zur Kreditüberwachung... aber bei 500 Millionen Datensätzen, die Hacker durchsuchen müssen, bleibt abzuwarten, ob ein Jahr für die meisten ausreicht, um etwas Sinnvolles zu überwachen; es kann schließlich einige Jahre dauern, bis Ihre Daten für skrupellosen Gebrauch markiert werden.
Langfristig, Vorschriften wie die DSGVO Testament positive Veränderungen herbeiführen, wenn sie durchgesetzt werden. Wenn Unternehmen mit erheblichen finanziellen Sanktionen (oder sogar Sammelklagen von Kunden, deren Daten kompromittiert wurden) oder mit Gewinneinbrüchen in einem ausreichend langen Ausmaß konfrontiert werden, werden wir meiner Meinung nach einen frenetischen Fokus darauf richten, die Online-Datenbanken der meisten Unternehmen zu schützen.
Die Finanzinstitute werden bei kurzfristigen positiven Veränderungen weiterhin eine Vorreiterrolle einnehmen.
Es ist vielleicht nicht so überraschend, dass Finanzinstitute — als Torwächter des hart verdienten Geldes der Welt — über einige der strengsten Best-Practice-Richtlinien für Cybersicherheit sowie über durchgängige Prozesse zur Risikominderung verfügen.
Ein wichtiger Faktor für diese Einhaltung ist die Rat für PCI-Sicherheitsstandards, die sich weiterhin dafür einsetzen, Finanzorganisationen bei der Umsetzung einer tragfähigen Sicherheitspolitik und der Einhaltung von Richtlinien in allen Bereichen zu unterstützen. Sie haben dazu beigetragen, dass diese Branche einen der höchsten Sicherheitsstandards für Zahlungssoftware erreicht.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach sind sie im Allgemeinen sicherheitsbewusster und widmen ihre Ressourcen ganzheitlichen Schulungsprogrammen nicht nur für AppSec-Experten und Pen-Tester, sondern auch für ihre (in der Regel sehr großen und weltweit verstreuten) Entwicklungsteams. Sie stellen sicher, dass Entscheidungsträger auf höchster Ebene verstehen, dass Sicherheitsprozesse keine Maßnahmen sind, die einfach festgelegt und vergessen werden. Sie müssen sich genauso schnell weiterentwickeln wie die verwendete Technologie und sich an unterschiedliche Risiken anpassen.
Immer mehr Unternehmen werden ihre Sicherheitspipeline umgestalten.
Im Vergleich zu anderen IT-Bereichen ist AppSec relativ jung. Es ist schwer, das neue Kind zu sein: Sie werden leicht missverstanden und haben möglicherweise noch nicht die wichtigsten Beziehungen aufgebaut, die Sie gerade brauchen. Ich glaube jedoch, dass es für AppSec mit jedem Jahr einfacher wird, seinen Platz selbst in den antiquiertesten Organisationen zu finden, die gegen Veränderungen resistent sind.
Es ist immer offensichtlicher geworden, dass Unternehmen die Einhaltung von Sicherheitsvorschriften nicht zu einem letzten, kurzfristigen Schritt in ihren Softwareprozessen machen können. Es müssen Kontrollen und Maßnahmen von Punkt zu Punkt durchgeführt werden, wobei der Schwerpunkt mehr auf der Aggregation von Daten und der Verbesserung der Transparenz auf den Führungsebenen des Unternehmens liegen sollte. Ohne dies wird die Sicherheit außer Sichtweite bleiben, für die meisten von ihnen aus dem Blickfeld geraten. Und in diesem Szenario ist es praktisch unmöglich, die Ressourcen zu beschaffen, die für die Risikoplanung erforderlich sind.
Die gute Nachricht ist, dass mehr Unternehmen als je zuvor ihre eigenen Cyberangriffe erkennen und daran arbeiten, sie zu beheben. Die schlechte Nachricht? Dieser Prozess dauert durchschnittlich fünfundachtzig Tage.
Das Testen von Stiften und die manuelle Codeüberprüfung sind mühsam, teuer und langsam in einer Zeit, in der schnelle Innovationen und die Produktion von Funktionen im Technologiebereich ein Muss sind. Das Sicherheitsbewusstsein muss von Anfang an durchgesetzt werden: von dem Moment an, in dem ein Entwickler schreibt den Code an erster Stelle.
Unsere Branche wird das Hauptproblem erkennen: Wir brauchen die Menschen, die sich mehr darum kümmern.
Hier ist die Sache: Ich könnte konservativ zwanzig Personen in meinem Netzwerk zählen, die in den letzten vier Jahren irgendwann in einem Marriott-Hotel übernachtet haben. Da in dieser Zeit 500 Millionen Datensätze gestohlen wurden, besteht eine gute Chance, dass ihre Daten Teil dieses Diebstahls waren. Alles, von aktuellen Kontaktinformationen über noch gültige Kreditkartennummern bis hin zu Reisepassinformationen, könnte derzeit im Dark Web zum Verkauf angeboten werden. Ihr Pflegefaktor war jedoch im Grunde Null.
Und nun ja, es ist leicht, selbstgefällig zu sein, wenn Sie bei einem so groß angelegten Datenraub quasi eine Nadel im Heuhaufen sind.
Aber das eigentliche Problem? Die Unternehmen, die es versäumt haben, die Daten ihrer eigenen Kunden zu schützen, haben kaum mit Konsequenzen zu kämpfen. Erleidet ihr Aktienkurs unmittelbar nach dem Vorfall einen Einbruch? Darauf kannst du wetten. Target, Equifax und jetzt Marriott könnten das alle bestätigen. Ein Zwölfmonatsüberblick zeigt jedoch, dass die Erholung zur Normalität ziemlich schnell erfolgt. Ein paar Jahre später, und auch finanziell, ist alles vergeben.
Solange es keine schwerwiegenden Auswirkungen gibt: hohe Bußgelder, strengere Vorschriften und erhebliche Geschäftsverluste, wird AppSec eine Branche sein, die ständig darum kämpfen muss, die Schwere der wachsenden Cyberrisiken, denen ein Unternehmen ausgesetzt ist, zu vermitteln.
Ich befürchte, es wird noch viel schlimmer werden, bevor es besser wird. Daher ist es von größter Bedeutung, dass wir daran arbeiten, sicherheitsbewusste Entwickler und robuste Sicherheitskulturen an vorderster Front der Technologieteams eines Unternehmens aufzubauen. Behalten Sie das im Auge und streben Sie weiterhin nach einem höheren Standard an Softwaresicherheit.
Klicken Sie auf den Link unten und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
2018 war ein Mammutjahr für Cybersicherheitsexperten. Trotz der Warnungen, die Sicherheit ernster zu nehmen, ist das ständige Presseumfeld Förderung von mehr Talenten aus der Sicherheitsbranche Und bei allgemeinen Versuchen, Unternehmen für Cybersicherheit zu sensibilisieren, starren wir auf die rauchenden Krater, die Hunderte von Cyberangriffen hinterlassen haben. Sie stehen für groß angelegte Datenschutzverletzungen und das Misstrauen der Verbraucher gegenüber einigen sehr bekannten Namen. Allein in der ersten Hälfte des Jahres 2018 4,5 Milliarden Datensätze wurden kompromittiert in 945 verschiedenen Vorfällen.
Ich habe es schon oft gesagt: Wir können es besser machen. Der wahre Kampf, vor dem wir stehen, ist jedoch nicht gegen Drehbuch-Kiddies, gefährliche Syndikate der organisierten Cyberkriminalität oder mysteriöse Gestalten mit Kapuzenpulli, die auf Laptops tippen — der Kampf besteht darin, mehr Menschen dazu zu bringen, sich darüber Gedanken zu machen, dass diese Sicherheitslücken überhaupt passieren.
Die Einhaltung der DSGVO ist ein guter Anfang, wird aber kurzfristig keine großen Auswirkungen haben.
Die der Europäischen Union Allgemeine Datenschutzverordnung Die Gesetze (DSGVO) sind derzeit in vollem Gange; eine drohende Bedrohung für Unternehmen, die den Datenschutz nicht ernst nehmen. Angesichts der hohen Bußgelder für diejenigen, bei denen festgestellt wurde, dass sie die Vorschriften nicht einhalten, sollte dies den Unternehmen als Tritt in den Hintern dienen, ihre Sicherheitspraktiken zu verschärfen, Kundendaten mit mehr Respekt zu behandeln und eine Strategie zur Abwehr von Cyberangriffen zu entwickeln.
Einige Unternehmen wurden vor hohen Bußgeldern gewarnt, aber wir haben noch keine wirklichen Folgen aufgrund der Nichteinhaltung der DSGVO gesehen. Keine Konkursstrafen, nur eine ganze Menge Pop-ups, die wir Internetnutzer durchklicken müssen. Dies liegt zum Teil daran, dass Gerichtsverfahren viel Zeit in Anspruch nehmen und es viele Möglichkeiten gibt, Rechtsmittel einzulegen. Jedes Unternehmen, für das ein Exempel statuiert wurde, ist wahrscheinlich in einen monate- oder jahrelangen Rechtsstreit verwickelt. Am Ende eines Albtraum-Jahres für Facebook meldeten sie vor Kurzem eine weitere Datenschutzverletzung: einen API-Bug, durch den die privaten Fotos von 6,8 Millionen Nutzern 1500 nicht autorisierten Anwendungen ausgesetzt waren. Er wurde innerhalb von zwei Wochen gefunden und gepatcht, doch Datenschutzbehörden und die Öffentlichkeit wurden erst Monate später auf den Verstoß aufmerksam gemacht. Die DSGVO-Gesetze schreiben vor, dass ein Verstoß innerhalb von 72 Stunden gemeldet wird, also wirft viele Fragen dazu auf, wie einflussreich und wirksam diese Gesetze wirklich sind zur Zeit.
Und natürlich haben die Sicherheitslücken auch anderswo nicht aufgehört: im November Marriott-Strand enthüllte, dass satte 500 Millionen Datensätze kompromittiert waren, und, was vielleicht noch besorgniserregender ist, dass die Angreifer vier Jahre lang auf ihre Systeme zugegriffen hatten, bevor sie entdeckt wurden. Es sollte jedoch beachtet werden, dass Marriott offenbar Folgendes zu tun hat einige Schadensbegrenzung: Sie haben den Opfern eine angeboten kostenloses 12-Monats-Abonnement für WebWatcher, ein Tool zur Kreditüberwachung... aber bei 500 Millionen Datensätzen, die Hacker durchsuchen müssen, bleibt abzuwarten, ob ein Jahr für die meisten ausreicht, um etwas Sinnvolles zu überwachen; es kann schließlich einige Jahre dauern, bis Ihre Daten für skrupellosen Gebrauch markiert werden.
Langfristig, Vorschriften wie die DSGVO Testament positive Veränderungen herbeiführen, wenn sie durchgesetzt werden. Wenn Unternehmen mit erheblichen finanziellen Sanktionen (oder sogar Sammelklagen von Kunden, deren Daten kompromittiert wurden) oder mit Gewinneinbrüchen in einem ausreichend langen Ausmaß konfrontiert werden, werden wir meiner Meinung nach einen frenetischen Fokus darauf richten, die Online-Datenbanken der meisten Unternehmen zu schützen.
Die Finanzinstitute werden bei kurzfristigen positiven Veränderungen weiterhin eine Vorreiterrolle einnehmen.
Es ist vielleicht nicht so überraschend, dass Finanzinstitute — als Torwächter des hart verdienten Geldes der Welt — über einige der strengsten Best-Practice-Richtlinien für Cybersicherheit sowie über durchgängige Prozesse zur Risikominderung verfügen.
Ein wichtiger Faktor für diese Einhaltung ist die Rat für PCI-Sicherheitsstandards, die sich weiterhin dafür einsetzen, Finanzorganisationen bei der Umsetzung einer tragfähigen Sicherheitspolitik und der Einhaltung von Richtlinien in allen Bereichen zu unterstützen. Sie haben dazu beigetragen, dass diese Branche einen der höchsten Sicherheitsstandards für Zahlungssoftware erreicht.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach sind sie im Allgemeinen sicherheitsbewusster und widmen ihre Ressourcen ganzheitlichen Schulungsprogrammen nicht nur für AppSec-Experten und Pen-Tester, sondern auch für ihre (in der Regel sehr großen und weltweit verstreuten) Entwicklungsteams. Sie stellen sicher, dass Entscheidungsträger auf höchster Ebene verstehen, dass Sicherheitsprozesse keine Maßnahmen sind, die einfach festgelegt und vergessen werden. Sie müssen sich genauso schnell weiterentwickeln wie die verwendete Technologie und sich an unterschiedliche Risiken anpassen.
Immer mehr Unternehmen werden ihre Sicherheitspipeline umgestalten.
Im Vergleich zu anderen IT-Bereichen ist AppSec relativ jung. Es ist schwer, das neue Kind zu sein: Sie werden leicht missverstanden und haben möglicherweise noch nicht die wichtigsten Beziehungen aufgebaut, die Sie gerade brauchen. Ich glaube jedoch, dass es für AppSec mit jedem Jahr einfacher wird, seinen Platz selbst in den antiquiertesten Organisationen zu finden, die gegen Veränderungen resistent sind.
Es ist immer offensichtlicher geworden, dass Unternehmen die Einhaltung von Sicherheitsvorschriften nicht zu einem letzten, kurzfristigen Schritt in ihren Softwareprozessen machen können. Es müssen Kontrollen und Maßnahmen von Punkt zu Punkt durchgeführt werden, wobei der Schwerpunkt mehr auf der Aggregation von Daten und der Verbesserung der Transparenz auf den Führungsebenen des Unternehmens liegen sollte. Ohne dies wird die Sicherheit außer Sichtweite bleiben, für die meisten von ihnen aus dem Blickfeld geraten. Und in diesem Szenario ist es praktisch unmöglich, die Ressourcen zu beschaffen, die für die Risikoplanung erforderlich sind.
Die gute Nachricht ist, dass mehr Unternehmen als je zuvor ihre eigenen Cyberangriffe erkennen und daran arbeiten, sie zu beheben. Die schlechte Nachricht? Dieser Prozess dauert durchschnittlich fünfundachtzig Tage.
Das Testen von Stiften und die manuelle Codeüberprüfung sind mühsam, teuer und langsam in einer Zeit, in der schnelle Innovationen und die Produktion von Funktionen im Technologiebereich ein Muss sind. Das Sicherheitsbewusstsein muss von Anfang an durchgesetzt werden: von dem Moment an, in dem ein Entwickler schreibt den Code an erster Stelle.
Unsere Branche wird das Hauptproblem erkennen: Wir brauchen die Menschen, die sich mehr darum kümmern.
Hier ist die Sache: Ich könnte konservativ zwanzig Personen in meinem Netzwerk zählen, die in den letzten vier Jahren irgendwann in einem Marriott-Hotel übernachtet haben. Da in dieser Zeit 500 Millionen Datensätze gestohlen wurden, besteht eine gute Chance, dass ihre Daten Teil dieses Diebstahls waren. Alles, von aktuellen Kontaktinformationen über noch gültige Kreditkartennummern bis hin zu Reisepassinformationen, könnte derzeit im Dark Web zum Verkauf angeboten werden. Ihr Pflegefaktor war jedoch im Grunde Null.
Und nun ja, es ist leicht, selbstgefällig zu sein, wenn Sie bei einem so groß angelegten Datenraub quasi eine Nadel im Heuhaufen sind.
Aber das eigentliche Problem? Die Unternehmen, die es versäumt haben, die Daten ihrer eigenen Kunden zu schützen, haben kaum mit Konsequenzen zu kämpfen. Erleidet ihr Aktienkurs unmittelbar nach dem Vorfall einen Einbruch? Darauf kannst du wetten. Target, Equifax und jetzt Marriott könnten das alle bestätigen. Ein Zwölfmonatsüberblick zeigt jedoch, dass die Erholung zur Normalität ziemlich schnell erfolgt. Ein paar Jahre später, und auch finanziell, ist alles vergeben.
Solange es keine schwerwiegenden Auswirkungen gibt: hohe Bußgelder, strengere Vorschriften und erhebliche Geschäftsverluste, wird AppSec eine Branche sein, die ständig darum kämpfen muss, die Schwere der wachsenden Cyberrisiken, denen ein Unternehmen ausgesetzt ist, zu vermitteln.
Ich befürchte, es wird noch viel schlimmer werden, bevor es besser wird. Daher ist es von größter Bedeutung, dass wir daran arbeiten, sicherheitsbewusste Entwickler und robuste Sicherheitskulturen an vorderster Front der Technologieteams eines Unternehmens aufzubauen. Behalten Sie das im Auge und streben Sie weiterhin nach einem höheren Standard an Softwaresicherheit.
Inhaltsverzeichniss
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressourcen für den Einstieg
Cybermon is back: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
