Weiterlesen mit NEWS. Jetzt testen.
Lesezeit ca. 7 Min.

MOBILE ANWENDUNGEN IM SAP-UMFELD: Crowdsourcing für IT-Sicherheit


S@PPORT - epaper ⋅ Ausgabe 8/2019 vom 12.07.2019

Cloud-Anwendungen testen und produktiv schalten

Mobile Anwendungen, Services in der Cloud und neue Methoden bei der Softwareentwicklung bringen neuen ITSicherheitsanforderungen. Und nachdem die Schockwellen der DSGVO noch immer nachwirken, diskutieren Politiker bereits die nächsten IT-Sicherheitsbestimmungen. Das Security-by-Design-Gesetz aus Großbritannien könnte die Prozesse erneut umkrempeln. IT-Verantwortliche müssen sich mit der sicheren Entwicklung von Software, deren kontinuierlichen Tests und dem Deployment beschäftigen. Wir sprachen mit Hazel Koch, Bug Bounty Advisor bei Hacker One, über die ...

Artikelbild für den Artikel "MOBILE ANWENDUNGEN IM SAP-UMFELD: Crowdsourcing für IT-Sicherheit" aus der Ausgabe 8/2019 von S@PPORT. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: S@PPORT, Ausgabe 8/2019

Weiterlesen
epaper-Einzelheft 8,99€
NEWS Jetzt gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von S@PPORT. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1000 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 8/2019 von Arbeiten mit APPs : Die mobile Welt des Internet-of-Things. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Arbeiten mit APPs : Die mobile Welt des Internet-of-Things
Titelbild der Ausgabe 8/2019 von DSAG-Umfrage zur SAP-Strategie: Cloud in der Öffentlichen Verwaltung: Zwischen Notwendigkeiten und Optionen. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
DSAG-Umfrage zur SAP-Strategie: Cloud in der Öffentlichen Verwaltung: Zwischen Notwendigkeiten und Optionen
Titelbild der Ausgabe 8/2019 von „SAP ist nicht komplexer als Konkurrenzprodukte!“. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
„SAP ist nicht komplexer als Konkurrenzprodukte!“
Titelbild der Ausgabe 8/2019 von MOBILE ANWENDUNGEN IM SAP-UMFELD: KI-Lösungen für den Außendienst. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
MOBILE ANWENDUNGEN IM SAP-UMFELD: KI-Lösungen für den Außendienst
Titelbild der Ausgabe 8/2019 von Reorganisation von Vertriebsund Servicestrukturen. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Reorganisation von Vertriebsund Servicestrukturen
Titelbild der Ausgabe 8/2019 von Digitalisierung des weltweiten technischen Service. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Digitalisierung des weltweiten technischen Service
Vorheriger Artikel
„SAP ist nicht komplexer als Konkurrenzprodukte!“
aus dieser Ausgabe
Nächster Artikel MOBILE ANWENDUNGEN IM SAP-UMFELD: KI-Lösungen für den A…
aus dieser Ausgabe

... neuen Herausforderungen rund um IoT-Produkte, Cloud-Anwendungen und Softwaretests.

Von Christian Raum


Hazel Koch, Bug Bounty Advisor, Hacker One:


„Meine Aufgabe ist es, Unternehmen dabei zu unterstützen ihre Risiken zu verringern, Schwachstellen zu erkennen und zu managen. Das ist besonders dann wichtig, wenn sich die Verantwortlichen für die digitale Transformation entscheiden und ihre Software in die Cloud transformieren. Dann müssen sie eine Lücke zwischen der Entwicklung und dem Testen der Software einerseits und deren Deployment schließen.“

S@PPORT: Welche Herausforderungen sehen Sie aus Ihrer Perspektive, wenn wir über Secure by Design sprechen?
Hazel Koch: In Großbritannien arbeiten Politiker und Verbände an einem Secure by Design-Gesetz. Viele Unternehmen werden von diesem neuen Gesetz betroffen sein – denken Sie nur an Hersteller von IoT-Geräten, IoT-Services oder IoT-Maschinen. Ein Aspekt ist, dass für alle Unternehmen eine Vulnerability Disclosure Policy verbindlich wird. Und zwar egal wie groß die Unternehmen sind und egal welche Security-Systeme sie bereits eingeführt haben. VDP ist die Nummer zwei von insgesamt 13 Codes of Practices, die im Gesetz festgeschrieben sind. In seinem Kern ist VDP ein definierter Prozess, der beschreibt, wie Unternehmen über Schwachstellen in ihren Systemen informiert werden und wie sie diese Informationen managen. Manchmal wird VDP mit Bug Bounty verwechselt.

S@PPORT: Sprechen wir kurz über Bug Bounty – und wo sich beide Konzepte überschneiden.
Koch: Bei Bug Bounty geht es im Grunde um das Testen der Software. Hacker – wir sprechen von Ethical Hackern – werden eingeladen, Schwachstellen oder Fehler in den Systemen eines Unternehmens zu finden. Für jeden Fehler wird eine Belohnung bezahlt. Bug Bounty ist entweder ein öffentlich ausgeschriebenes Programm – oder die Unternehmen richten sich an eine bestimmte Gruppe von Hackern, die sie nach ihren eigenen Kriterien auswählen und die sie zum Testen der Software einladen.

S@PPORT: Bounty bedeutet Belohnung?
Koch: Ja, monetäre Belohnung. Es geht immer um Geld. Vulnerability Disclosure Policy wendet sich ebenfalls an Ethical Hacker. Aber der wichtigste Unterschied ist, es ist keine Belohnung hinterlegt. Wenn jemand einen Fehler oder eine Schwachstelle findet und meldet, geht es nur um den guten Willen. Die Nachricht hinter VDP ist, dass die Unternehmen über fehlerhafte Software und Angriffsflächen in ihren Systemen informiert werden möchten. Deshalb legen sie einen Prozess fest, wie die Kommunikation mit den Hackern funktionieren kann.

S@PPORT: Sie bieten eine E-Mail-Adresse an, an die die Hacker schreiben können „Entschuldigung, ich habe mich in Ihre Systeme gehackt. Hier ist eine kurze Zusammenfassung, wie ich es gemacht habe.“

Koch: Tatsächlich geht es darum, die Fehler auf dem richtigen Weg an die richtige Person zu melden. Meistens ist es nicht so einfach wie: „Ich schicke eine Mail“.

S@PPORT: Die Rolle Ihrer Plattform „Hacker One“ ist es, die schlechte Nachricht von einem externen ITSpezialisten zum Sicherheitschef zu transportieren?
Koch: Wir nennen es lieber „die gute Nachricht“
Statistisch gesehen hat einer von vier Hackern Informationen oder Wissen über Schwachstellen und Softwarefehler. Aber sie – oder er – sieht häufig keine Möglichkeit, dieses Wissen an das Unternehmen weiterzugeben. Wir arbeiten mit rund 450.000 Hackern, die auf unserer Plattform registriert sind. Statistisch gesehen kennen mehr als 100.000 Hacker Schwachstellen in den unterschiedlichsten Netzwerken und Organisationen, von denen die Sicherheitsverantwortlichen keine Ahnung haben. Und sie haben keine rechtlich abgesicherte Möglichkeit von diesen Schwachstellen zu berichten. Aus dieser Perspektive geht es bei VPA auch um die Sicherheitskultur eines Unternehmens.

Schwachstellen an Sicherheitsverantwortliche melden

S@PPORT: Verstehe ich das richtig? VDP ist ein Fundament, auf dem die Verantwortlichen eine Sicherheitskultur aufbauen können?
Koch: Es ist vielleicht eher mit einer Bühne vergleichbar – hier können Unternehmen für ihre Stakeholder und für ihre Kunden sagen: „die Sicherheit unserer IT-Systeme ist für uns ein hoher Wert“.

S@PPORT: Zurück nach Großbritannien und zum Secure by Design-Gesetz. Sind hiervon nur britische Unternehmen betroffen?Koch: Das Gesetz wird zunächst für alle verbindlich sein, die in Großbritannien handeln oder produzieren. Aber wir rechnen damit, dass die Bestimmungen über die Grenzen des Königreiches hinaus verbindlich werden Diese oder ähnliche Bestimmungen werden bald auch in der Europäischen Union oder in den USA gelten.
Im Gesetz geht es darum, wie IT-Sicherheit in die Produkte implementiert wird. Einerseits schreibt es die technische Sicherheit vor, aber ein zweiter Aspekt ist, wie die Verantwortlichen ITSicherheit an Mitarbeiter und Kunden vermitteln.

Neues Secure by Design-Gesetz in Großbritannien

S@PPORT: Wenn ich es richtig verstehe geht es darum, wie Software fehlerfrei programmiert wird und wie sie sicher und ohne Unterbrechung läuft
Koch: Genau! Unsere Gesellschaft verändert sich. Häuser werden „smart“. Unsere Waschmaschinen und unsere Küchengeräte werden mit dem Internet verbunden. Telefone, IT-Netze, Babyphones, Fernsehgeräte – wenn die Menschen diese Dinge kaufen, sind sie sich über die Risiken nicht bewusst. Und die Hersteller haben sich nie große Mühe damit gegeben, diese Gefahren zu kommunizieren. Aber in Zukunft kommen sie nicht mehr so einfach damit durch. Denn jetzt müssen sie über die Sicherheit nachdenken – und zwar in jedem Schritt des Entwicklungsprozesses. Unser Angebot ist es, sie dabei zu unterstützen.

S@PPORT: Meine Leser sind vor allem IT-Verantwortliche, nicht die Consumer, auf die die neuen Gesetzen zielen.
Koch: Wenn Unternehmen für den IoTMarkt Produkte produzieren oder Dinge verkaufen, die mit dem Web verbunden sind, sind sie gezwungen aus ihrer Business-Perspektive über Secure by Design nachzudenken. Es ist ein Geschäftsmodell, sich an den Vorgaben aus Großbritannien zu orientieren und auf diese Weise die Risiken in den IoT-Produkten zu minimieren.

S@PPORT: Die Herausforderung ist es, die traditionellen ERP-Systeme und Prozesse von den Systemen im Haus in die Cloud zu bringen. Zusätzlich werden sie Maschinen und Geräte mit IoT-Konzepten für die Netzwerke öffnen?
Koch: Die digitale Transformation und viele der damit verbundenen Innovationen werden erst mit dem Wechsel in die Cloud möglich. Aber das geht nur, wenn die Verantwortlichen die internen Prozesse etwa bei der Softwareentwicklung beschleunigen. Aber wie können sie schneller werden? Wie können sie auch bei hoher Geschwindigkeit ihre Leistungen in der Cloud absichern? Hier kommt Bug Bounty ins Spiel.

S@PPORT: Nicht nur Security by Design wird die Sicherheitsanforderungen im Unternehmen verändern. Auch die Cloud-Anwendungen verlangen ein Umdenken
Koch: Sobald ein Unternehmen in die Cloud wechselt, werden die Intervalle für das Deployment der Anwendungen und Updates immer kürzer. Ein Grund sind die neuen Methoden bei der Softwareentwicklung
Jetzt müssen die IT-Verantwortlichen darüber nachdenken, wie häufig sie die Software in der Cloud updaten wollen – und wie häufig sie die Software testen können. Es kann sein, dass sie eine Schwachstelle finden, die sie schließen müssen: Die entwickelte Software wird zwar häufig täglich produktiv geschaltet, aber in viel längeren Intervallen getestet.

Digitale Transformation verlangt neue Softwaretests

S@PPORT: Das hört sich so an, als würden viele Anwendungen, die in der Cloud eines Unternehmens arbeiten, online gestellt, ohne dass sie vorher getestet wurden
Koch: Das hat seine Ursachen in den bisher üblichen Methoden bei der Softwareentwicklung und beim Testen; diese Prozesse kommen mit der Geschwindigkeit der Cloud-Anwendungen nicht mehr mit.
Die Nachteile der herkömmlichen Softwaretests sind eine lange Downtime und hohe Kosten. Drei oder vier Sicherheitsspezialisten werden dafür bezahlt, dass sie die Systeme nach bestimmten Kriterien über einen festgelegten Zeitraum testen. Sie werden häufig nach Tagessätzen bezahlt, nicht nach den tatsächlich entdeckten Fehlern.
Es kann eine bessere Idee sein, IT-Spezialisten zu beauftragen, die Software ununterbrochen zu testen. Über unsere Plattform können Unternehmen dafür Ethical Hacker einladen und diese Experten für alle gefundenen Fehler belohnen. Die Zahl der beauftragten Spezialisten ist also ungleich höher – zwischen fünf und vielleicht mehreren tausend – und damit ist die Geschwindigkeit beim Testen ungleich schneller.

S@PPORT: Wie lange dauert es dann, bis der jeweils neue Code getestet ist?
Koch: Sie müssen bedenken, dass wir nicht über die üblichen Testmethoden sprechen. Unsere Tester sitzen nicht in einem Raum und arbeiten eben nicht nach einem vorgegebenen Plan. Tatsächlich sitzen sie überall auf der Erde verteilt. Unsere Kunden wissen nicht einmal, ob die Tester die Software gerade testen.
Manchmal sehen sie den Verkehr auf ihren Netzwerken, sie sehen, dass sie gehackt werden sollen. Und das sind vielleicht die Experten, die sie über die Hacker- One-Plattform eingeladen haben.

Hacker auf der Jagd nach Belohnung und Ruhm

S@PPORT: Wie binden Ihre Kunden die Plattform in ihre Sicherheitsprozesse ein? Gibt es so etwas wie eine Automatisierung der Testabläufe?
Koch: Häufig arbeiten die Kunden mit sogenannten Anchor Hackern – also Personen, die bereits sehr genau deren Systeme und die Angriffsflächen kennen. Denn sie hatten diese Anchor Hacker schon in der Vergangenheit zu ihren Bug-Bounty-Programmen eingeladen. Sie kennen also die Systeme der Kunden und deren kritische Schwachstellen.
Diese Anchor Hacker kennen die Deployment- Intervalle der Unternehmen. Wenn „ihre“ Unternehmen Anwendungen online stellen, werden sie als erste davon erfahren und als erste den neuen Code testen. Aber dieser Prozess ist nicht automatisiert wie etwa bei einem Scanner. Wir arbeiten mit echten Menschen, die neugierig auf neuen Code sind. Sie wollen die Schwachstellen und Bugs finden, weil sie dafür bezahlt werden.

S@PPORT: Das ist ein wichtiger Punkt. Was treibt diese Hacker an? Ist Geld der einzige Grund?
Koch: Auf der einen Seite sind unsere Tester natürlich an dem Geld interessiert, die Belohnung motiviert sie. Aber es geht um mehr als nur das Geld. Auf der anderen Seite motiviert sie die Community, die wir auf unserer Plattform aufgebaut haben.
Alle hier arbeiten und testen sehr schnell, weil sie die ersten sein wollen, die Schwachstellen finden um sich dafür die Lorbeeren zu verdienen. Es geht also auch um den Ruhm und die Motivation auf Platz eins zu stehen. Dafür haben wir ein Ranking. Es gibt einen starken Wettbewerb zwischen unseren Hackern. Wir befragen sie jedes Jahr über ihre Motive und warum sie bei uns registriert sind. Die größte Motivation ist Geld. Aber sie wollen sich auch mit anderen messen, sie wollen lernen und ihre eigenen Fähigkeiten weiterentwickeln.
Es ist uns sehr wichtig, dass wir viele der bei uns registrierten User sehr genau kennen – wir arbeiten mit Hackern, deren Background wir überprüft haben, viele haben NDAs unterschrieben.

S@PPORT: Das klingt nicht so sehr nach dem bekannten Verhalten von Hackern. Warum lassen sie sich überprüfen?
Koch: Nach der Überprüfung können sie bei uns auf das nächst höhere Level kommen. Viele unserer Kunden sind sehr vorsichtig, wenn es um ihre Schwachstellen und um ihre Software geht.
Die Arbeit mit Hackern soll nicht dieses erschreckende und Alles-außer-Kontrolle- Szenario sein, von dem häufig berichtet wird. Und es gibt rund um die Erde Hacker, die bereit sind, sich überprüfen zu lassen – damit sie richtig interessante und sehr kritische Software testen dürfen, zu der sie ansonsten niemals Zugang hätten.(ch)@

Hacker One wurde im Jahr 2005 in den Niederlanden gegründet. Heute befindet sich die Zentrale in San Francisco, das Unternehmen hat Büros in London, New York City, Singapur und in den Niederlanden.


Bildquelle: Hacker One

Bildquelle: Hacker One