CRASHTEST SECURITY

Kein
Drahtseilakt

Denken Sie beim Begriff „Hacker“ an Männer in Hoodies in einem abgedunkelten Raum vor zahlreichen Bildschirmen? Das ist das „Hollywood-Bild“. Die Realität sieht jedoch anders aus. Hackerangriffe gehören heute in der digitalen Welt zum Alltag – und laufen oft automatisiert ab. Deswegen braucht es ein einwandfreies Sicherheitsnetz für die eigenen Webanwendungen: ohne Lücken.

 

SCHON GEWUSST?

Wie viele Unternehmen haben 2019 einen erfolgreichen Phishing-Angriff verzeichnet?

Ausgezeichnetes
Sicherheitsnetz

Unfälle verhindern und die Welt ein Stück sicherer machen: Dieses Ziel verfolgt DEKRA und zeichnet deswegen mit dem DEKRA Award Initiativen, Organisationen, Unternehmen und Start-ups aus, die mit zukunftsweisenden Prozessen und Best Practices ebenfalls dieses Ziel verfolgen.

Im vergangenen Jahr gehörte das Münchner Start-up Crashtest Security zu den drei Finalisten von insgesamt zwölf Nominierten. Ihre Crashtest Security Suite ist eine innovative und leistungsstarke Lösung zur automatisierten Absicherung von Web-Anwendungen. Sie hilft, das Internet sicherer zu machen. Denn die Gefahr ist unsichtbar – und wächst ständig.

Ausgezeichnetes
Sicherheitsnetz

Unfälle verhindern und die Welt ein Stück sicherer machen: Dieses Ziel verfolgt DEKRA und zeichnet deswegen mit dem DEKRA Award Initiativen, Organisationen, Unternehmen und Start-ups aus, die mit zukunftsweisenden Prozessen und Best Practices ebenfalls dieses Ziel verfolgen.

Im vergangenen Jahr gehörte das Münchner Start-up Crashtest Security zu den drei Finalisten von insgesamt zwölf Nominierten. Ihre Crashtest Security Suite ist eine innovative und leistungsstarke Lösung zur automatisierten Absicherung von Web-Anwendungen. Sie hilft, das Internet sicherer zu machen. Denn die Gefahr ist unsichtbar – und wächst ständig.

Bestens geschützt?

Es gibt gezielte Hackerangriffe – und auch automatisierte. Dabei suchen spezielle Programme im Internet selbstständig nach Schwachstellen in Webanwendungen. Ähnlich wie ein Einbrecher ein offenes Fenster oder eine nicht verschlossene Tür, um einzusteigen. Bei wem ist ihm letztlich egal. Die Hacker wollen mit ihren automatisierten Angriffen die Rechenleistung eines Servers für weitere Angriffe nutzen oder Schadsoftware in eine Webseite einschleusen, die sich dann automatisch bei weiteren Besuchern installiert. Der Betreiber einer Webseite merkt davon oft gar nichts – oder viel zu spät. Deswegen: erst gar keine offenen Türen und Fenster bieten.

Hacker-Glossar

Ein Eindringling versucht mit diesem Schadprogramm Zugriff auf Daten des Computer­inhabers zu erlangen oder die Nutzung des gesamten Computersystems oder Netzwerks zu verhindern. Dabei werden private Daten auf dem Computer verschlüsselt oder der Zugriff auf sie verhindert. Für die Entschlüsselung oder Freigabe wird dann ein Lösegeld gefordert.

Eine Software, die Daten eines Computernutzers ohne dessen Wissen oder Zustimmung an Dritte sendet. Sie kann auch dazu genutzt werden, dem Benutzer über (manipulierte) Werbeeinblendungen Produkte anzubieten.

Ein Kofferwort, das sich aus den englischen Begriffen „password harvesting“ (Passworte sammeln) und „fishing“ (Angeln, Fischen) zusammensetzt. Über gefälschte Webseiten, E-Mails oder Kurznachrichten versuchen Betrüger an persönliche Daten eines Internetbenutzers zu gelangen und damit Identi­tätsdiebstahl zu begehen. Ziel des Betrugs ist es, beispielsweise Kontodaten zu erbeuten und damit Geld zu transferieren.

„SPAM“ war ursprünglich der Markenname für Dosenfleisch („SPiced hAM“), das während der Rationierung im zweiten Weltkrieg eines der wenigen Nahrungsmittel in Großbritannien war, das immer überall uneingeschränkt verfügbar war. Diese Omnipräsenz führt dazu, dass sich der Begriff für etwas im Überfluss vorhandenes etablierte: so wie zahlreiche unerwünschte Werbemails. Ebenfalls gängig ist der Begriff der „Junk-Mail“.

Bei dieser Angriffsform, die in Rechner­netzen oder im WLAN stattfindet. Der Hacker übernimmt mit seinem System die vollständige Kontrolle über den Datenverkehr zwischen zwei oder mehreren Netzwerkteilnehmern. So kann er die Informationen nach Belieben einsehen und sogar manipulieren – ohne, dass die beteiligten Nutzer etwas davon merken.

SCHON GEWUSST?

Welche Ransomware befiel im Mai 2017 Privatcomputer und Unternehmens­netzwerke?

Sicherheit hat
einen Preis

Die Schäden nach einem Angriff können unterschiedlich ausfallen:

Sicherheitslücken oft lange unentdeckt

Das Schadprogramm „WannaCry“ legte 2017 zahlreiche Unternehmensnetzwerke lahm, indem Daten verschlüsselt wurden. Zu den Opfern zähle auch die Deutsche Bahn: Zahlreiche Anzeigetafeln fielen aus.

Die Sicherheitslücke, die sich WannaCry zu Nutzen machte, hatte es schon viele Jahre zuvor gegeben. Aber erst 2017 haben Hacker sie entdeckt und ausgenutzt. Das zeigt: Cyber-Security ist kein Projekt, das man abschließt, sondern ein ständiger Prozess.

Agil aber fragil?

Höher, schneller, weiter: Agilität ist eins der Schlagworte der heutigen Arbeitswelt. Insbesondere in der Softwareentwicklung sind agile Methoden wie Scrum längst Alltag und sorgen für eine schnelle Weiterentwicklung. Als Nutzer haben Sie das vielleicht schon bemerkt, weil es in immer kürzeren Abständen Updates für Apps und Programme gibt. Sie bringen vier Vorteile mit:

Anpassungsfähigkeit: In der agilen Entwicklung sind die Kunden von Anfang an eingebunden, Kundenwünsche können also schon viel früher berücksichtigt werden

Zusammenarbeit: Die Entwicklerteams arbeiten enger zusammen: Dank der Abstimmungen in kurzen Zeitabständen sind alle auf dem Laufenden, es geht weniger Wissen verloren.

Transparenz: Kunden sind in die Entwicklungsprozesse eingebunden, sehen frühzeitig auch Zwischenschritte und können Feedback geben.

Effizienz: Weil Funktionen viel früher getestet werden, lassen sich Probleme früher entdecken und können direkt behoben werden.

Aber:

Bisher waren Sicherheitstests in der Programmierung vor allem „Handarbeit“ und sehr zeitintensiv. Damit können sie der agilen, schnellen Entwicklung auch im Weg stehen – und binden Ressourcen hochqualifizierter Experten. Die Folge: Oft werden Sicherheitstest nur zu bestimmten Meilensteinen durchgeführt. Bis dahin sinkt das Sicherheitslevel aber kontinuierlich ab.

Der Crashtest
für Webanwendungen

Würden Sie ein Automodell fahren, das keinen einzigen Crashtest absolviert hat? Für neue Modelle sind sie schon lange Voraussetzung. „Für Webprojekte gibt es das bislang nicht“, sagt Janosch Maier, einer der Gründer von Crashtest Security. Deren Lösung ist so etwas wie ein Crashtest für Webanwendungen – daher auch der Name.

Aus dem Hörsaal
in die
Selbstständigkeit

René Milzarek, Daniel Schosser und Janosch Maier haben in ihrem Informatikstudium gemeinsam die Vorlesung „Secure Coding“ besucht. Verschiedene Teams sollten eine Online-Banking-Anwendung programmieren und anschließend versuchen, die Anwendungen der Kommilitonen zu hacken.

Dabei störte die jungen Studenten, dass der Prozess, um Sicherheitslücken zu finden, vor allem manuell war. Die Idee, diesen Prozess zu automatisieren, war geboren. Zur Unterstützung in Sachen Vertrieb und Marketing holten die drei IT-Studenten mit Felix Brombacher einen Wirtschaftswissenschaftler an Bord.

Seit 2017 arbeiten sie daran, die digitale Welt sicherer zu machen.

Die Sicherheit
stets im Blick

So wie ein Virenscanner den heimischen PC auf mögliche Schadsoftware überprüft, scannt die Crashtest Security Suite Webanwendungen auf mögliche Sicherheitslücken. Ein Scan benötigt nur wenige Minuten und am Ende gibt es einen übersichtlichen Report über potenzielle Sicherheitslücken. Zu jeder Sicherheitslücke findet sich in einem Wiki-System ein Eintrag, wie sich die Lücke beheben lässt.

Der Vorteil: Anstatt über komplexe Codezeilen lässt sich die Crashtest Security Suite ganz einfach mit einer grafischen Oberfläche bedienen – ohne tiefgehende Informatikkenntnisse. Somit hat jeder Entwickler – egal auf welchem Kenntnisstand – die Möglichkeit, das Sicherheitslevel seiner Programmierung einwandfrei im Blick zu behalten.

Von der Analyse
bis zur Zertifizierung –
DEKRA macht IT sicherer

Erfahren Sie mehr,
wie DEKRA Sie und Ihr Unternehmen unterstützen kann

Die Gefahr im Web ist nicht sichtbar und wird oft unterschätzt. Aber durch die fortschreitende Digitalisierung und das Internet der Dinge (IoT) gewinnt Sicherheit im Netz immer mehr an Bedeutung. DEKRA steht Unternehmen in allen Fragen zur Cyber-Security als engagierter globaler Partner zur Seite. Informieren Sie sich hier über die Leistungen unserer Experten. www.dekra.de/de/cyber-security

Erfahren Sie hier, wie DEKRA mit Start-ups zusammenarbeitet

Innovation ist Mannschaftssport. Deshalb setzt DEKRA DIGITAL auf Kooperation und Zusammenarbeit, um Brücken zwischen visionären Start-ups, Technologieunternehmen und DEKRA zu bauen. Mehr Informationen finden Sie hier. DEKRA.DIGITAL

Lesen Sie mehr über die nominierten Start-ups
für den DEKRA Award 2019

In der Kategorie „Start-ups“ traten im Finale außer Crashtest Security noch Logical Safety und Serinus gegeneinander an. Jedes Start-up hatte zwei Minuten Zeit, mit einem Live-Pitch die Gäste der Preisverleihung zu beeindrucken und zu überzeugen, die anschließend über den Gewinner abstimmten. Dabei konnte sich die Serinus GmbH mit ihrer innovativen Lösung für eine „Smart Event Communication“ durchsetzen, ein Alarmsystem für Unfälle und Notfälle aller Art. Erfahren Sie hier mehr über die Nominierten und die Gewinner des DEKRA Awards 2019.  

Scroll to Top