29. Sep 2020

Dimitri Suter

Software Engineer

Ein Freitag und eine Mail.

Es ist Freitagnachmittag. Kurz vor dem Wochenende checke ich noch kurz mein Postfach. Darin befindet sich eine ungelesene Mail, die mich auffordert, mein Passwort zu erneuern. Bevor dieses dann abläuft. Der Betreff und der Absendername geben mir das Gefühl, die Mail komme von der Edorex. Ich dachte mir nur: “mmh, diese Erinnerung ist praktisch. Es ist also höchste Zeit mein Passwort zu erneuern”.

Mails wie diese werden täglich in unzähligen Mengen versendet. Was auf den ersten Blick wie eine interne Mail aussieht, kann der erste Schritt eines Cyber-Angriffs sein. Im 2017 wurden diverse Hacking-Tools von der Gruppe “Shadow Brokers” veröffentlicht, mit denen nicht nur Privatpersonen oder Unternehmen, sonder auch ganze Länder lahmgelegt werden können. Spätestens seit da sollte uns allen die Tragweite von unsicheren Informationssystemen bekannt sein.

Ein Beispiel: die Malware NotPeya, welche die ukrainische IT-Infrastruktur zu grossen Teilen destabilisierte und einen Schaden von mehreren Hundertmillionen US-Dollar verursachte. Womöglich startete auch dieser Angriff mit einer lästigen Freitagnachmittags-E-Mail.

Hackerscreen

Dieser und viele weitere Angriffe lenkten auch in der Schweiz ein Umdenken ein. Nicht ohne Grund liegt beim VBS das “Schutz vor Cyber-Angriffen”-Dossier weit oben auf dem Schreibtisch.

Wie sorgt Edorex für die Security?

Die Bedrohungen sind also real und allgegenwärtig. Aber inwiefern stehen diese in Zusammenhang mit Edorex oder mit den von uns entwickelten Lösungen?

Edorex entwickelt individuelle Software. Das reicht von einer Banking App bis hin zu Kontrollsteuerungen in der Energiebranche. Dabei setzen wir auf Industriestandards. Das heisst, wir nutzen Software von Drittherstellern, wie zum Beispiel Google und Microsoft, um nicht bei jedem Projekt das Rad neu erfinden zu müssen. Und genau diese Dritthersteller Software wird ständig mit den neusten Schutzmechanismen aktualisiert. Genau gleich wie beim Update des eigenen Betriebssystems. Deshalb ist ein fortlaufendes Updaten der Lösungen unabdingbar, auch wenn diese erst wenige Monate in Betrieb sind.

Um unseren Kunden*Innen nicht nur ein funktionierendes, sondern auch sicheres System zur Verfügung zu stellen, finden unsere Bemühungen auf mehreren Ebenen statt. Einerseits beinhaltet dies den Schutz der eigenen Infrastruktur, wie beispielsweise einer aktuellen Firewall und den neusten Softwareupdates. Anderseits bedingt dies, bei der Herstellung von Software, das Anwenden von Techniken, welche das Risiko einer Sicherheitslücke verringern. Diese Techniken ändern sich laufend.

Welche Instrumente setzen wir ein?

Um neue und bestehende Softwarelösungen auf dem neusten und sichersten Stand zu halten, setzt die Edorex unter anderem zwei Instrumente ein:

Im Blogbeitrag Software-Modernisierung zeigt unsere Mitarbeiterin Céline schön auf, dass die Instandhaltung eines Softwareproduktes aufgrund mehrerer Aspekten sinnvoll ist. Bei Sicherheitsfragen ist dies nicht nur sinnvoll, sondern zwingend nötig. Sobald Sicherheitslücken publik werden, sollten diese so schnell als möglich repariert werden. Mit dem ALM-Angebot (Application Lifecycle Management) stellt Edorex genau das sicher.

Als kleine Randnotiz zur Instandhaltung von Software. Der am Anfang des Beitrags erwähnte Angriff auf die Ukraine, nutzte einen Fehler mit der Bezeichnung “ExternalBlue” im Betriebssystem Windows aus. Bis heute gibt es Rechner, die das Windows Update, welches die Sicherheitslücke behebt und seit März 2017 zur Verfügung steht, nicht installiert haben. In Bern waren es im Dezember 2019 genau 85 Maschinen (Quelle).

Eine Sicherheitslücke zu stopfen, ist nicht unbedingt der grösste Aufwand. Das Bewusstsein und entsprechendes Know-how der Mitarbeitenden, damit diese überhaupt erste erkannt werden, ist viel aufwendiger. Wir bei der Edorex nehmen das Thema IT-Security ernst und bemühen uns stets, den steigenden Anforderungen dieser Problematik gerecht zu werden. Neben einer hauseigenen Security Community, welche vor allem für den Wissensaustausch genutzt wird, setzen wir auf diverse Weiterbildungen der Mitarbeitenden. Gerade dieses Jahr besuchten wir einen von RedGuard organisierten Securityworkshop.

Mit all diesen Massnahmen sind wir überzeugt, dass unsere Dienstleistungen nicht nur sicher sind, sondern auch sicher bleiben.

Nochmals zurück zur Mail vom Anfang.

Edorex sensibilisiert ihre Mitarbeitenden regelmässig zum Thema Security. Glücklicherweise habe ich richtig reagiert und den Link nicht angeklickt. So konnte unsere Security Community sämtliche Mitarbeitende vor der Phishing-Mail warnen. Und ich konnte beruhigt ins Wochenende. Der Gedanke, was alles hätte passieren können, begleitete mich jedoch noch einige Tage. Wie sagte es Mani Matter so schön? “I han es Zündhölzli azündt und das het e Flamme gäh…”.

 

 

 

 

 

Falls du selbst einmal das Gefühl hast, einen Fehler entdeckt zu haben oder Opfer eines Angriff wurdest, das Nationale Zentrum für Cybersicherheit (NCSC) bietet dir eine ideale Anlaufstelle für sämtliche Fragen rund um die IT-Security.

zum Blog

Céline Solenthaler 31. Aug 2020 Software-Modernisierung

Warum man auch Software renovieren muss und welche Optionen es dabei gibt

Mathias Rudolf 10. Aug 2020 ALM aus der Sicht eines Entwicklers

Computer hochfahren, Hände waschen (COVID-19 halt), Kaffee holen und dann zuerst mal den Posteingang checken.