16.01.2015
Flash, Java, Heartbleed
IT-Sicherheit ist ein Prozess, kein Zustand
Autor: Robert Schanze
Foto: Shutterstock - m00osfoto
Absolute IT-Sicherheit ist nicht erreichbar. Zu diesem Schluss kommt der Sicherheitsanbieter Trend Micro nach Analyse der vergangenen IT-Bedrohungen und -Schwachstellen wie Heartbleed und Shellshock.
Trend Micro, einer der führenden Sicherheitsanbieter, hat Schwachstellen in Adobes Flash Player, Microsofts Internet Explorer, Oracles Java aus dem Jahr 2014 analysiert und zieht unter anderem die Lehre, dass IT-Sicherheit kein erreichbarer Zustand ist.
Wenn es um IT-Sicherheit geht, sollte man laut Trend Micro ein paar wichtige Punkte bedenken; unter anderem, dass gravierende Sicherheitslücken sogar noch in älteren Anwendungen vorkommen können, wie uns Heartbleed und Shellshock gezeigt haben. Aber auch kleinere IT-Bedrohungen lauern an jedem PC: So gab es im letzten Jahr nach Trend Micro acht Zero-Day-Exploits im Internet Explorer und vier in Adobe Acrobat/Reader, auch wenn dort die Schwachstellen insgesamt im Vergleich zwischen 2013 und 2014 um 30 Prozent zurück gingen; der Flash Player hingegen legte die Zahl von 56 auf 76 zu. Überraschend: Bei Java gab es im vergangen Jahr überhaupt keine Zero-Days-Exploits.
Solche Programme bleiben aufgrund ihres Bekanntheitsgrades immer ein lohnendes Ziel für Angreifer. Laut Trend Micro wäre ein Wechsel zu Alternativen also denkbar, um IT-Risiken zu minimieren. Auch sollten Unternehmen bedenken, dass unabhängig von gefundenen Schwachstellen grundlegende "Sicherheitslücken in Webanwendungen, wie SQL Injection, Cross Site Scripting (XSS) [und] kompromittierte Authentifizierung (...) immer vorhanden sind."
Schlussendlich weist Tend Micro darauf hin: Zero-Day-Exploits und Sicherheitslücken gibt es in jedem Jahr. Die Sicherheit im Unternehmen sollte daher regelmäßig überprüft werden, um rechtzeitig entsprechende Schutzmaßnahmen einleiten zu können. Demnach ist IT-Sicherheit kein statischer Punkt, der erreicht werden kann, sondern ein kontinuierlich andauernder Prozess, der überwacht werden muss.
Test-Framework
Testautomatisierung mit C# und Atata
Atata ist ein umfassendes C#-Framework für die Web-Testautomatisierung, das auf Selenium WebDriver basiert. Es verwendet das Fluent Page Object Pattern und verfügt über ein einzigartiges Protokollierungssystem sowie Trigger-Funktionalitäten.
>>
Programmiersprache
Primärkonstruktoren in C# erleichtern den Code-Refactoring-Prozess
Zusammenfassen, was zusammen gehört: Dabei helfen die in C# 12 neu eingeführten Primärkonstruktoren, indem sie Code kürzer und klarer machen.
>>
Tools
GitLab Duo Chat mit KI-Chat-Unterstützung
Der DevSecOps-Plattform-Anbieter GitLab führt den GitLab Duo Chat ein. Dieses Tool integriert Künstliche Intelligenz in die DevSecOps-Workflows.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>