Tag Archives: web application

Computer IT Software

Aktuelle OWASP Top 10 – neue Sicherheitslage für Webanwendungen

– Die zehn größten Risiken für Web-Applikationen
– OWASP Top 10 erstmals seit 2013 aktualisiert
– Airlock schützt vor aktuellen Risiken
– Whitepaper kann hier heruntergeladen werden: https://www.airlock.com/owasp/

Aktuelle OWASP Top 10 - neue Sicherheitslage für Webanwendungen

Airlock: Whitepaper zu den aktuellen OWASP Top 10

Erstmals seit vier Jahren hat die Non-Profit Organisation Open Web Application Security Project (OWASP) die größten Risiken für Webanwendungen, die sogenannten OWASP Top 10, aktualisiert. Die OWASP Top 10 richten sich an Entwickler, Sicherheitsberater, Projektmanager, Sicherheitsbeauftragte von Unternehmen und Organisationen und klären über die Konsequenzen der wichtigsten Sicherheitslücken bei Web-Anwendungen auf. Die Daten beruhen auf 50.000 Anwendungen und Schnittstellen von mehreren hundert Unternehmen.

Die aktuellen ernstzunehmenden Bedrohungen lauten:

1. Injection (Injection-Schwachstellen, wie z.B. SQL-, OS- oder LDAP-Injection)
2. Umgehung der Benutzerauthentifizierung
3. Zugriff auf sensible Daten
4. XML Externe Entities (XXE)
5. Umgehung der Zugriffskontrolle
6. Sicherheitsrelevante Fehlkonfiguration
7. Cross-Site Scripting (XSS-Schwachstellen)
8. Unsichere Deserialisierung
9. Benutzen von Komponenten mit bekannten Schwachstellen
10. Unzureichendes Logging & Monitoring

„OWASP hat nach vier Jahren eine neue Version ihrer Top 10 Schwachstellen für Web Applikationen veröffentlicht. Das Verblüffende ist, dass sich auf den ersten Blick gar nicht viel geändert hat. Injection-Angriffe sind immer noch auf Position eins, gefolgt von fehlerhafter Authentisierung. Jahrelange Awareness-Förderung bei Entwicklern und sichere Entwicklungsprozesse scheinen nicht den erhofften durchschlagenden Erfolg zu haben“, schätzt Dr. Martin Burkhart, Head of Product Management bei Airlock, die Lage ein.

Auf Platz vier sind XML External Entities (XXE) zu finden. Diese neue Kategorie wurde aufgrund der Daten aus den Quellcode-Analysen des Sicherheitstest-Tools (SAST) mit aufgenommen.

Auch die Community hat zwei neue Punkte miteingebracht: Auf Platz acht findet sich nun die „Unsichere Deserialisierung“, die das Ausführen von Remote Code sowie die Manipulation von sensiblen Objekten auf betroffenen Plattformen erlaubt. Platz zehn „Unzureichendes Logging & Monitoring“ erhöht das Risiko, dass böswillige Aktivitäten und Sicherheitsverletzungen nicht rechtzeitig erkannt werden. Andere Punkte, wie unsichere direkte Object References (ehemals Platz vier) und Missing Function Level Access Control (ehemals Punkt sieben) wurden nun in Punkt fünf „Umgehung der Zugriffskontrolle“ zusammengefasst.

Interessant ist der Neuzugang auf Position zehn: „Unzureichendes Logging & Monitoring“. OWASP spricht dabei das Problem an, dass nach einem erfolgreichen Angriff meist 200 Tage vergehen, bis der Einbruch bemerkt wird. In dieser Zeit können sich die Angreifer permanent einnisten, weiter ausbreiten und großen Schaden anrichten. Ein effizientes Logging von Angriffen und ein Monitoring dieser Events muss mit dem Incident Handling integriert sein, um diese Latenzzeit signifikant zu reduzieren.

„Gleichzeitig haben sich allerdings die grundlegenden Architekturen und der verwendete Technologie-Stack stark verändert. Der Siegeszug von Javascript auf dem Client hält an und fördert die Entstehung von Services und APIs im Backend. In der Finanzbranche werden sogar europaweite Regulierungen erlassen, die explizit die Veröffentlichung von APIs fordern (PSD2). Insofern erstaunt es nicht, dass auf Position vier mit „XML External Entities (XXE)“ neu eine Webservice Schwachstelle auf der Hitliste erscheint. In der Praxis sehen wir allerdings eine Abnahme von SOAP Webservices und eine zunehmende Verbreitung von REST APIs. Die Möglichkeit, Security Policies auch auf JSON Objekte und REST Calls anwenden zu können wird damit für Security Gateways essentiell. Mit Airlock WAF 7 haben wir diesem Umstand Rechnung getragen und ein neues Whitelist Learning gebaut, das den einfachen Schutz von REST API Calls mit wenigen Klicks erlaubt. Außerdem haben wir mit Airlock WAF 7 haben wir das komplette Logging und Reporting erneuert. Neu stehen themenspezifische Dashboards zur Verfügung, die in Echtzeit aus Logdaten Informationen aufbereiten. Eine Integration mit SIEM-Systemen erlaubt zudem die effiziente Weiterverarbeitung und Korrelation dieser Informationen mit Umsystemen“, fährt Dr. Martin Burkhart, Head of Product Management bei Airlock fort.

Neue Sicherheitslücken können jederzeit entstehen:
Unternehmen sollten sich bewusst sein, dass es nicht nur diese zehn Bedrohungen gibt, sondern dass es im Web unzählige weitere gibt. Hinzu kommt, dass diese sich stets ändern und weiterentwickeln. Selbst wenn sich der Code einer Anwendung selbst nicht ändert, kann so eine Sicherheitslücke entstehen, da Cyberkriminelle neue Angriffsmethoden entwickeln.

Sicherheitslücken sind meist sehr komplex und nicht leicht aufzuspüren, da sie sich im Code verstecken. Menschliche Expertise gepaart mit einer guten Sicherheitslösung ist daher in vielen Fällen die kosteneffizienteste Lösung.

Obwohl Applikationssicherheit seit bereits fast 20 Jahren ein vorherrschendes Thema ist, braucht es heute mehr denn je einen zentralen Schutz auf der Anwendungsebene. Dieser zentrale Schutz sollte Inhalte analysieren, Benutzer authentisieren und Zugriffe autorisieren können. Ein Whitepaper zu den OWASP Top 10 2017 können Sie hier herunterladen.

Airlock, das Security-Produkt des Schweizer Softwareentwicklers Ergon Informatik AG, schützt nicht nur gegen alle OWASP Top 10 Bedrohungen. In Kombination mit einer Web Application Firewall wie Airlock WAF wird der Firmenzugang über den kompletten Lebenszyklus eines Benutzerzugangs gesichert. Airlock WAF übernimmt als vorgelagerter HTTP Reverse Proxy das sichere Session Management und den Schutz vor Webattacken. Airlock IAM authentisiert und autorisiert die Benutzer und leitet die Identitätsinformationen in geeigneter Form an die geschützten Applikationen weiter, auch über Unternehmensgrenzen hinweg.

Die 1984 gegründete Ergon Informatik AG ist führend in der Herstellung von individuellen Softwarelösungen und Softwareprodukten. Die Basis für den Erfolg: 240 hoch qualifizierte IT-Spezialisten, die dank herausragendem Know-how neue Technologietrends antizipieren und mit innovativen Lösungen Wettbewerbsvorteile sicherstellen. Ergon realisiert hauptsächlich Großprojekte im B2B-Bereich.

Die Airlock Suite kombiniert die Themen Filterung und Authentisierung in einer abgestimmten Gesamtlösung, die in punkto Usability und Services Maßstäbe setzt. Das Security-Produkt Airlock schützt mehr als 15 Millionen digitale Identitäten und 30.000 Back-Ends bei über 400 Kunden weltweit. Der überragende Net Promoter Score-Wert von 53 unterstreicht die hohe Kundenzufriedenheit. Weitere Informationen unter www.airlock.de .

Firmenkontakt
Ergon Informatik AG (PR-Agentur)
Sven Kersten-Reichherzer
Sendlinger Straße 42 A
80331 München
+49 (0) 89 211 871 36
ergon@schwartzpr.de
https://www.airlock.com/de/home/

Pressekontakt
Schwartz Public Relations
Sven Kersten-Reichherzer
Sendlinger Straße 42 A
80331 München
+49 (0) 89 211 871 36
sk@schwartzpr.de
http://www.schwartzpr.de

Computer IT Software

Identity und Access Management: Nachholbedarf beim Mittelstand

Authentifizierungsmöglichkeiten sind maßgeblicher Faktor für Benutzerfreundlichkeit

Airlock, das Security-Produkt des Schweizer Softwareentwicklers Ergon Informatik AG, hat gemeinsam mit weiteren Unternehmen im Juli 2017 eine Studie (1) über die Nutzung von Identity und Access Management (IAM)-Systemen durchgeführt. Dabei stufen die meisten der 385 befragten deutschen Unternehmen die Authentifizierungsmöglichkeiten als einen maßgeblichen Faktor für eine hohe Benutzerfreundlichkeit von Anwendungen ein (75 Prozent). Vorreiter für den Einsatz von IAM sind große Unternehmen, doch insgesamt setzen nur etwas mehr als ein Drittel der befragten Unternehmen eine Software-Lösung für IAM ein.

Was ist IAM?
Mit einem IAM-System haben Administratoren die nötigen Technologien, um die Zugriffsberechtigungen und -voraussetzungen der Nutzer zu managen. So können Aktivitäten überwacht und Reports erstellt werden. Dazu weist das IAM-System jedem Nutzer eine digitale Identität zu und verwaltet diese. Auf diese Weise können die Zugangsberechtigungen einer Vielzahl von Nutzern, wie z.B. Mitarbeiter im Home Office oder externe Partner einfach gemanagt werden

Wenige Unternehmen setzen eine IAM-Lösung ein:
Laut der aktuellen Studie nutzen 38 Prozent der befragten Unternehmen ein software-gestütztes IAM. Für 28 Prozent der Firmen kommt eine solche Lösung sogar gar nicht in Frage. Vorreiter der IAM sind die großen Unternehmen (64 Prozent der Befragten), gefolgt von mittleren Firmen mit 39 Prozent. In 42 Prozent der Unternehmen, die IAM-Lösungen implementiert haben, erhalten Geschäftspartner, Dienstleister und Zulieferer über das IAM Zugang zum Netzwerk, in 23 Prozent erhalten die Kunden diesen Zugang.

Passwort als wichtige Methode der Authentifizierung:
Obwohl laut Gartner (2) jeder Nutzer im Durchschnitt 1,8 Mal sein Passwort im Jahr vergisst, bleibt das Passwort nach Einschätzung der Firmen auch in fünf Jahren noch die wichtigste Methode der Authentifizierung, gefolgt von PIN und Fingerabdruck (53 Prozent der Befragten).

Multi-Faktor-Authentifizierung noch nicht überall im Einsatz:
Insgesamt 21 Prozent der Unternehmen setzen derzeit nicht auf die Multi-Faktor-Authentifizierung mit einem Token (als Hardware, Software oder Push), aber immerhin elf Prozent davon planen bereits die Implementierung. Dabei setzen 69 Prozent der befragten Unternehmen die Multi-Faktor-Authentifizierung für die eigenen Mitarbeiter ein. Nur bei 27 Prozent der Unternehmen müssen sich externe Geschäftspartner, Dienstleister und Zulieferer auf mehreren Wegen authentifizieren.

Single-Sign-On hat sich noch nicht durchgesetzt:
Als ein gutes Beispiel für hohe Benutzerfreundlichkeit und optimale IT-Sicherheit gilt das Single-Sign-On (SSO). Es ist ein Verfahren, mit der ein User nach einer einmaligen Authentifizierung Zugriff auf mehrere Services und Ressourcen erhält. Separate Anmeldungen für die unterschiedlichen Dienste werden dadurch überflüssig. Nur 37 Prozent der befragten Unternehmen setzen auf eine solche SSO-Lösung. Darunter befinden sich eher große Firmen ab 1000 Mitarbeitern (53 Prozent), während nur 18 Prozent der kleinen Unternehmen (unter 100 Mitarbeitern) SSO nutzen. Allerdings nutzen bereits 63 Prozent der Unternehmen, die ein IAM-System installiert haben, SSO.

Fazit:
„Die Studie zeigt klar, dass sich IAM-Lösungen bei den großen Unternehmen – immerhin 64 Prozent der Befragten – durchgesetzt haben. Das erleichtert vor allem großen Unternehmen die Verwaltung der einzelnen Identitäten und genau diese Gruppe hat auch bereits die weiteren Vorteile der Lösung erkannt: So ist sie sehr benutzerfreundlich und bietet zum Beispiel SSO. Dennoch ist erschreckend, dass ein Drittel der Unternehmen ihre Anwendungen gar nicht schützt – hier stehen Cyber-Kriminellen Tür und Tor offen“, so Dr. Martin Burkhart, Head of Product Management bei Airlock.

(1) Identity Access Management Studie von IDG Research Services in Zusammenarbeit mit Airlock, München 2017
(2) Angaben von Gartner „Market Guide for Password Management Tools“, 06. June 2014 by Brian Iversion, Neil Wynne

Die 1984 gegründete Ergon Informatik AG ist führend in der Herstellung von individuellen Softwarelösungen und Softwareprodukten. Die Basis für den Erfolg: 240 hoch qualifizierte IT-Spezialisten, die dank herausragendem Know-how neue Technologietrends antizipieren und mit innovativen Lösungen Wettbewerbsvorteile sicherstellen. Ergon realisiert hauptsächlich Großprojekte im B2B-Bereich.

Die Airlock Suite kombiniert die Themen Filterung und Authentisierung in einer abgestimmten Gesamtlösung, die in punkto Usability und Services Maßstäbe setzt. Das Security-Produkt Airlock schützt mehr als 15 Millionen digitale Identitäten und 30.000 Back-Ends bei über 400 Kunden weltweit. Der überragende Net Promoter Score-Wert von 53 unterstreicht die hohe Kundenzufriedenheit. Weitere Informationen unter www.airlock.de .

Firmenkontakt
Ergon Informatik AG (PR-Agentur)
Sven Kersten-Reichherzer
Sendlinger Straße 42 A
80331 München
+49 (0) 89 211 871 36
ergon@schwartzpr.de
https://www.airlock.com/de/home/

Pressekontakt
Schwartz Public Relations
Sven Kersten-Reichherzer
Sendlinger Straße 42 A
80331 München
+49 (0) 89 211 871 36
sk@schwartzpr.de
http://www.schwartzpr.de

Computer Information Telecommunications

Going Global Faster: PhraseApp is now Available on cloudControl“s Add-on Marketplace

Going Global Faster: PhraseApp is now Available on cloudControl"s Add-on Marketplace

Logo PhraseApp

Hamburg – May 13, 2013 – cloudControl, a leading European Platform-as-a-Service vendor, today announced a major update to its Add-on Provider Program: PhraseApp is the new cloud service that enables developers to translate their web and mobile applications into many languages with just a few clicks. The translation management software supports cloudControl users to save up to 80 per cent of administrative expenses for translation projects. With cloudControl, PhraseApp can be integrated into all common programming languages and platforms easily.

„Adding PhraseApp to our portfolio supports our goal to help developers build better apps, faster. PhraseApp enables them to focus on their application code within internationalization projects rather than wasting time on administrative tasks anymore,“ said Henning Paulke, Head of Partner Management at cloudControl.

„As software engineers, we know that the coordination of translation projects costs a lot of time and money,“ says Manuel Boy, CTO and developer of PhraseApp. Emails are sent back and forth if text modules are changed, text snippets have to be organized, new module changes have to be announced manually. This can easily lead to errors. Manuel Boy: „It does not have to be this way! We have developed a smart and affordable software solution that bundles the translation process online.“

PhraseApp allows to considerably reduce the effort of the scarce resource „developer“ in software translations. Besides the initial project setup and the final deployment, there is no need for developers to be involved in the translation process anymore. And the best: Translators can get their work done without having to access the actual source code. This eliminates the risk of translators to accidentally put errors into the code. The design of the PhraseApp-API prevents conflicts, inconsistencies in localization files and it delivers well-formated and valid localization files. Boy complements: „To ensure performance and speed, we are continuously optimizing our API, the search, the file upload as well as our user interface.“

PhraseApp costs between 0 EUR and 79 EUR per month. The cloudControl Add-on provides developers with the translation management cloud services that can be integrated easily into their own apps. cloudControl and PhraseApp enable developers to take projects from idea to product faster than ever before.

About cloudControl
cloudControl is a Berlin-based PaaS provider Founded in 2009, cloudControl is dedicated to supercharging development by building the best platform possible to help developers build better apps, faster. The cloudControl platform fosters agile deployments, rock-solid autoscaling infrastructure and pay-as-you-go pricing, out of Amazon’s European datacenters. The cloudControl Add-on Marketplace provides developers with third-party cloud services that are easily integrated into their own apps. cloudControl lets them take projects from idea to product faster than ever before.

About PhraseApp
PhraseApp speeds up the translation of online content in Web-, Mobile and Desktop applications. The cloud-service is developed by the startup entrepreneurs of Dynport GmbH, located in Hamburg, Germany and was released in November 2012. With the Translation Management Software, companies can save up to 80 per cent of administrative expenses for translation projects. More than 500 international companies already trust in PhraseApp – from small businesses and agencies to well established companies such as Wimdu.com, SponsorPay and BangTheTable.

Press Contact:

cloudControl GmbH
Sebastian-Hendrik Picklum
Head of Marketing
+49 (30) 609884 891
email: shp@cloudcontrol.de
web: www.cloudcontrol.de

Dynport GmbH
Rebekka Müller
+49 40 357 187 74
email: press@phraseapp.com
web: www.phraseapp.com

PhraseApp speeds up the translation of online content in Web-, Mobile and Desktop applications. The cloud-service is developed by the startup entrepreneurs of Dynport GmbH, located in Hamburg, Germany and was released in November 2012. With the Translation Management Software, companies can save up to 80 per cent of administrative expenses for translation projects. More than 500 international companies already trust in PhraseApp – from small businesses and agencies to well established companies such as Wimdu.com, SponsorPay and BangTheTable.

Kontakt:
Dynport GmbH
Rebekka Müller
Große Theaterstraße 39
20354 Hamburg
+49 40 357 187 74
press@phraseapp.com
http://phraseapp.com