Papers

Nachhaltige Sicherheit von der Softwareentwicklung bis zur Unternehmenskultur (Artikel in JavaSPEKTRUM 03/2019)

Im Magazins „JavaSPEKTRUM“ (03/2019: Doing by Learning – Praxis-Einsatz maschinellen Lernens (31.05.2019)) spricht unser Kollege Dr. Bastian Braun über den ganzheitlichen Umgang mit Sicherheit zur Minimierung der Ursachen, zur Identifizierung aufgetretener Fehler und zur Reaktion auf Missbrauchsversuche aus dem Alltag eines Security Consultants.

“Nachhaltige Sicherheit von der Softwareentwicklung bis zur Unternehmenskultur″ in JavaSPEKTRUM 03/2019

 

Mit Sicherheit agil: Entwicklungsbegleitende Security löst das Kostendilemma

Das Qualitätsmerkmal Sicherheit wird zunehmend zu einer zentralen Eigenschaft von Softwareprodukten. Wird es auf herkömmliche Weise – d.h. durch Schwerpunktsetzung auf Sicherheitstests am Ende von Meilensteinen – angegangen, ergeben sich jedoch fast unausweichlich gravierende Auswirkungen auf Zeit- und Budgetrahmen. Mit dem Resultat: Softwaresicherheit ist mit dem Makel behaftet, ein Hemmschuh zu sein. Dabei ist es durch die konsequente Einbindung der Security in den Entwicklungsprozess möglich, den Cost of Security kalkulierbar zu machen – und Softwareanwendungen in Produktion zu bringen, die durch und durch sicher sind.

“Mit Sicherheit agil: Entwicklungsbegleitende Security löst das Kostendilemma” auf mgm live vom 13.02.2018

 

Network and Server Security for JIRA and Confluence – Security around Atlassian Systems, Part 1 

JIRA and Confluence are important tools for managing projects and exchanging knowledge in many companies. Since they contain sensitive information, operating them as securely as possible is a must. In this two-part series about the security in Atlassian products we explain general principles of safeguarding JIRA and Confluence and give advice based on best practices. The first part focuses on network and server security and security aspects concerning the installation and basic configuration.

“Network and Server Security for JIRA and Confluence – Security around Atlassian Systems″ auf mgm live vom 27.01.2017

 

System-specific Security for JIRA and Confluence – Security around Atlassian Systems, Part 2

 

In this article we talk about specifics about JIRA and Confluence configuration and system management: aspects that have to be configured by administrators and guidelines to be followed by project-administrators, space-administrators and users. Those guidelines need regular monitoring and communication with your project- and space-administrators or specific users.

“System-specific Security for JIRA and Confluence” auf mgm live vom 03.03.2017

Du kommst hier nicht rein

Benutzername und Passwort sind nicht genug. Immer mehr Internet-Dienste setzen auf eine sicherere Multi-Faktor-Authentifizierung. Hier kann der Bereich E-Government mit seinen hohen Sicherheitsstandards als Vorbild dienen. Am Beispiel des Authentifizierungsdienstes authega stellen wir ein bewährtes zertifikatsbasiertes Verfahren vor. Darüber hinaus diskutieren wir aktuelle Trends rund um Biometrie und Einmalkennwörter.

“Du kommst hier nicht rein″ auf mgm live vom 26.06.2017

 

HTML 5 Security

HTML 5 Security (Artikel in iX 1/2013)

Beim kommenden Webstandard HTML5 haben sich die Entwickler in Sachen Sicherheit viel Mühe gegeben. Doch mit den neuen Features wächst auch die Komplexität und damit die Angriffsfläche. Eine Übersicht über verbleibende und neue Risiken sowie die Anwendungssicherheit erhöhende Konzepte von HTML5.

“Felsenfest – Sicherheitsaspekte bei HTML5″ in iX 1/2013

 

iX-Extra: Sicherheit bei Webapplikationen beginnt mit der Entwicklung

Der iX-Artikel gibt einen Überblick über den Stand der Web Application Security und Ansatzpunkte zur Herstellung sicherer Webanwendungen.

“Sicherheit bei Webapplikationen beginnt mit der Entwicklung” in iX 10/2012

 

Aktuelle Verbreitung von HTTP Strict Transport Security (HSTS)

Das Dokument gibt die Ergebnisse einer Untersuchung zur Verbreitung des HSTS Server Response-Headers unter den weltweit 1 Mio. meist-besuchten Websites, den darin enthaltenen rund 40.000 deutschen Websites sowie auf 424 deutschen Onlinebanking-Websites wieder. Die Untersuchung zeigt, dass diese wichtige Sicherheitsmaßnahme bisher noch kaum eingesetzt wird.

“Aktuelle Verbreitung von HTTP Strict Transport Security (HSTS)” 11/2012

 

Whitepaper: HTTP Strict Transport Security (HSTS)

In diesem Whitepaper erklären wir SSL-Strippung und geben konkrete Gegenmaßnahmen an. Dabei steht der HSTS-Header im Vordergrund. Da diese Schutzmaßnahme aber eine Lücke offen lässt und der Header auch noch nicht von allen Browsern unterstützt wird, werden weiterführende Empfehlungen gegeben.

“Whitepaper: HTTP Strict Transport Security (HSTS)” 11/2012

 

Maßnahmenkatalog und Best Practices zur Sicherheit von Webanwendungen

IFür das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben wir einen Maßnahmenkatalog zur Sicherheit von Webanwendungen erstellt. Das 105-seitige Dokument richtet sich an Projektleiter und Softwareentwickler, die Webanwendungen konzipieren und implementieren. Ein vorangestellter Leitfaden gibt Hinweise für ein systematisches Vorgehen zur Erstellung sicherer Webanwendungen. Dabei werden sowohl bereits bestehende, als auch neu zu entwickelnde Webanwendungen betrachtet. Der Maßnahmenkatalog stellt vielfach erprobte Schutzmaßnahmen und Best Practices zur Vorbeugung gegen typische Schwachstellen in Webanwendungen bereit.

„Sicherheit von Webanwendungen: Maßnahmenkatalog und Best Practices“ – August 2006

 

Das SecureNet/BSI Sechs-Ebenen-Modell der Web Application Security

Vorgestellt wird eine Kategorisierung der Web Application Security in sechs Ebenen: (1) System, (2) Technologie, (3) Implementierung, (4) Logik, (5) Semantik, sowie (6) Vorschriften und Bestimmungen. Dieses Modell erleichtert das Verständnis der unterschiedlichen Aspekte der Sicherheit von Webanwendungen und hat sich als nützlich für ein systematisches Vorgehen bei der Untersuchung der Sicherheit von Webanwendungen erwiesen.

Sicher auf allen Ebenen, Bundesamt für Sicherheit in der Informationstechnik und SecureNet GmbH, – Artikel in 2005/03 – papers/BSI-Sechs-Ebenen-Modell.pdf

Artikel im Tagungsband des Deutschen IT-Sicherheitskongress 2005, SecureNet GmbH – Mai 2005