Technologieforum Zug


Sichere Softwareentwicklung

Time-Out
Time-Out

Im Rahmen eines Vortrags des Technologieforums Zug stellte Herr Shawn Elliott von Thomson Reuters vor, wie sichere Produktentwicklung bei Thomson Reuters gelebt wird. Neben dem Angebot als Nachrichtenagentur entwickelt Thomson Reuters auch diverse Softwarelösungen, z.B. für die Steuerberechnung und -optimierung. Eine Sicherheitslücke wird in dieser Branche von Kunden kaum verziehen und kann geschäftsgefährdend sein.

 

Sichere Softwareentwicklung bei Thomson Reuters umfasst folgende Elemente:


  1. Automatische Code-Prüfung: Der Source Code wird zu wichtigen Entwicklungsmeilensteinen und in definierten Intervallen geprüft. Hierzu werden automatisierte Tools wie Veracode oder SonarSource eingesetzt. Derartige können Schwachstellen wie mangelhafte Inputprüfung (SQL-Injection) oder eingeschleusten bösartigen Code automatisch erkennen. Daneben wird mittels der Software Black Duck auf eingesetzte Open Source Software geprüft. So ist auch gewährleistet, dass später keine Urheberrechtsprobleme auftreten.
  2. Software-Architektur: Thomson Reuters legt grossen Wert darauf, die Architektur der Software sauber zu strukturieren. Diese Aufgabe wird von qualifizierten und erfahrenen Software-Architekten übernommen.
  3. Netzwerk-Segmentierung: Nur weil zwei Systeme auf demselben Netzwerk sind, dürfen diese noch lange nicht miteinander kommunizieren. Dies gilt z.B. für sensible Steuer oder Gesundheitsdaten. Besonders kritisch wird dies, wenn neue Schnittstellen zwischen Datenbanken geschaffen werden, die vorher nicht miteinander kommunizierten. Aus diesem Grund wird jede Datenbank als Silo behandelt und die Kommunikation wird mittels Tokens authentifiziert. Dies findet auf der tiefen Ebene der Services statt

Die grössten Sicherheitsherausforderungen sieht Shawn Elliott im Bereich des Social Engineerings. Er nannte das Beispiel des USB Stick Angriffs, bei dem USB-Sticks auf dem Firmengelände oder in der Nähe "zufällig" liegen gelassen werden. Es ist erstaunlich, wieviele Mitarbeiter aus Neugier anschliessend diese USB-Stick an einen Firmenrechner anschliessen und diesen so mit Malware infizieren.

Nachtrag vom 2. Juli 2016

 

Am 29. Juni wurde bekannt, dass Thomson Reuters Opfer eines grösseren Daten-Leaks wurde, bei dem der Inhalt einer Terroristen-Datenbank veröffentlicht wurde. Ursache war - wie nicht so oft - nicht Technik oder Software sondern Mitarbeiter des Unternehmens. Mehr Informationen gibt es in einem Forum-Posting.


Kommentar schreiben

Kommentare: 0