Ohne zu spoilern, was ist für dich der größte Security Fail gewesen?
Der größte Fail ist für mich das Zusammenspiel zwischen oftmals inkorrekter Implementierung von generell guten Algorithmen oder Verfahren und dem Mangel an externen oder zumindest Policy-abweichenden Audits.
Ein gutes Exemplar dafür ist ein Produkt, was ausschließlich auf eine gute Datenverschlüsselung setzt.
Dass es absolut unnötig ist, die Verschlüsselung per se anzugreifen, um das Produkt zu missbrauchen, ist bei den Tests aber wohl leider nicht aufgefallen.
Stellen Sie sich vor, Ihr Monatsgehalt wäre komplett offline auf Ihrer Bankkarte abgespeichert, welche zwar sicher verschlüsselt und nicht modifizierbar ist, sich aber 1 zu 1 kopieren lässt.
Sobald der Lohn ausgegeben ist, nimmt man sich also einfach eine der Kopien und zahlt damit weiter ...
Meiner Meinung nach sollten Tests öfter vom Standard abweichen, denn ein potentieller Angreifer tut genau dies. Ein gutes Beispiel dafür sind öffentliche Bug Bounties.
Das Schloss kann noch so gut sein, wenn der Schlüssel unter der Fußmatte liegt...
Wie kann es zu solchen Fauxpas kommen? Woran hapert es deiner Meinung nach?
Kosten, Bequemlichkeit und Personen, die um Ihren Job fürchten, falls ein Dritter ihre Fehler aufdeckt, sind nur die großen Drei.
Sicherheit kostet nun mal. Risikoabschätzungen und mögliche direkte oder indirekte finanzielle Schäden scheinen für Verantwortliche gering, können aber dennoch auftreten.
Produkte die seit Jahren existieren, müssen doch sicher sein, wenn es noch zu keinem "Fauxpas" gekommen ist, oder?
Oft sind auch Kunden von Unternehmen eher betroffen als das Unternehmen selbst. Dieses muss meist nur eine kurzfristige Einbußen von Aktienpunkten verzeichnen, was aber zu verschmerzen ist und weniger Kosten verursacht, als eine regelmäßige und vollständige präventive Sicherheitsprüfung.
Aus persönlicher Erfahrung ist es einfacher, Reporter von Bugs oder ähnlichem Verschwiegenheitserklärungen oder Schlimmeres unterzeichnen zu lassen, statt gemeinsam mit ihnen die Fehler zu beheben.
Was können oder sollten Organisationen tun, um IT-Security erfolgreich umzusetzen?
Besonders kundenbezogene Organisationen sollten transparenter und offener sein. Das Bewusstsein für Sicherheitsrisiken muss gestärkt werden.
Programmiersprachen und Umgebungen sollten für sicherheitskritische Umgebungen besser gewählt werden, allein damit kann man es Angreifern massiv erschweren, Systeme zu analysieren.
Wenn man als Entwickler über die sicherheitsrelevanten Risiken seiner gewählten Programmiersprache Bescheid weiß - und das sollten sie - muss das notwendige Wissen in Form von Fachkräften oder externer Hilfe eingekauft werden, statt zu hoffen und/oder zu sparen. Es gibt und wird niemals eine 100 prozentige Garantie für Sicherheit geben, aber man kann es möglichen Angreifern mit der richtigen Auswahl an technischen und strategischen Entscheidungen sehr schwer und unattraktiv machen.
