Im Internet herrscht Krieg! Nur sehen wir das als Anwender:innen fast nie. Wie im richtigen Krieg knallt es meistens nur an der Frontlinie. Wir wollen hier erläutern, was wir tun, damit das Hinterland geschützt bleibt.
Publiziert am von Roman Schaller
Die ersten Massnahmen betreffen bereits das Login. Jeder und jede hat heute dutzende oder hunderte Logins und Passwörter. Da ist es verlockend, immer das gleiche Passwort zu verwenden oder einige auf einem Post-It zu notieren. Die Folgen können aber gravierend sein: Ein Screenshot in einem Video-Call, Post-It ist mit drauf, der Zugang zu E-Mail und 50 weiteren Konten ist frei verfügbar, weil ich ja überall das gleiche Passwort verwendete.
Wir setzen daher konsequent auf Passwort-Manager wie BitWarden.
Software baut heute auf einer Vielzahl von Bibliotheken und Frameworks auf. Diese entwickeln sich weiter und schliessen laufend neu entdeckte Sicherheitslücken. Darum ist es wichtig, dass wir auch diese Bibliotheken auf dem neusten Stand halten. Damit wir informiert werden, wenn kritische Sicherheits-Patches verfügbar sind, setzen wir Snyk ein. Dieses Tool überprüft täglich unseren Code und informiert uns, sobald etwas zu tun ist.
Unsere Server sind natürlich vom Internet erreichbar. Das ist eine wichtige Pforte für Angreifer. Unser Infrastruktur-Team kümmert sich darum, dass nur so viel wie nötig und so wenig wie möglich zugänglich ist. Wo schon der Netzwerkzugriff nicht möglich ist, kann auch nicht angegriffen werden. Die Server selbst halten wir natürlich auch immer auf dem neusten Stand.
Etwas tiefer geht es beim Threat-Modeling. Mit dieser Methode versetzen wir uns selbst in einen Angreifer und versuchen mögliche Lücken zu finden. Diese priorisieren wir dann anschliessend und versuchen sie zu verifizieren und zu schliessen.
Spoiler-Alarm: In einem künftigen Blog-Post werden wir genauer auf das Thema Threat-Modeling eingehen.
Zu guter Letzt gibt es noch die Security Audits. Da lassen wir professionelle externe Firmen an die Software um Lücken zu finden. Das resultiert jeweils in einem Bericht, der wiederum potentielle Schwachstellen der Software enthält, welche wir möglichst rasch schliessen.
