Datum
19.06.2020
Warum eine «Schwarze Ente» auch professionelle Cyber-Angreifer von Ihren sensiblen Daten fernhält und diese damit sicherer macht.
Die Fachanwendungen der Bedag verarbeiten oft vertrauliche Personendaten, welche gut geschützt werden müssen. Viele dieser Anwendungen sind über das Internet zugänglich, damit die Verwaltung ihre Aufgaben effizient erfüllen kann und die Bürgerinnen und Bürger direkten Zugriff auf ihre Daten haben. Damit sind die Fachapplikationen aber auch potenziell zugänglich für professionelle Angreifer, die mit grossem technischem Know-how und beachtlichen Finanzmitteln ausgestattet sind. Je nach Fachgebiet ist es sogar denkbar, dass ein anderer Staat gezielt Angreifer auf gewisse Daten ansetzt. Zudem sind für verbreitete Frameworks und Code-Bibliotheken Exploit Kits im Internet erhältlich, mit denen Sicherheitslücken auch von Nicht-Experten ausgenutzt werden können.
Klar, dass da der Schutz der Applikationen auf einem ausgezeichneten Niveau sein muss.
Aufgrund des Trends hin zur breiten Verfügbarkeit über das Internet reicht es heute nicht mehr aus, sich auf eine optimale Abschottung der Applikationen im Betrieb zu konzentrieren. In der Softwareentwicklung der Bedag prüfen wir deshalb unsere Produkte bereits während der Entwicklungsphase automatisiert auf vorhandene Sicherheitslücken. Heute werden moderne Anwendungen mit zahlreichen Open Source Bibliotheken entwickelt. Es ist ineffizient, jede einzelne eingesetzte Bibliothek regelmässig manuell auf neu aufgetauchte Sicherheitslücken zu überprüfen. Dies wäre aber aus den oben genannten Gründen notwendig.
Darum wird dieser Prüfprozess von der Bedag in Softwareprojekten mit automatisierten Security Audits für die eingesetzten Komponenten durchgeführt. Dadurch werden starke Skaleneffekte wirksam, da die Sicherheitsüberprüfung zuvor von jedem Team separat erfolgte.
Die Bedag setzt hierbei unter anderem auf «Black Duck», eine am Markt etablierte Software von Synopsis. Für automatische Audits von Softwarekomponenten greift «Black Duck» auf eine umfangreiche Datenbank von Sicherheitslücken und Lizenzinformationen zu. «Black Duck» führt jedesmal, wenn die Applikation aufgebaut oder wesentlich verändert wird, eine Prüfung jeder verwendeten Bibliothek durch.
Neben Sicherheitsproblemen werden so auch Komponenten mit potenziell problematischen Lizenzmodellen identifiziert. Auf diese Weise kann verhindert werden, dass zum Beispiel eine Bibliothek mit einer viralen Open Source Lizenz eingesetzt wird. Die Verwendung einer solchen Bibliothek hätte zur Folge, dass die gesamte Fachanwendung ebenfalls als Open Source freigegeben werden müsste.
Bei der Bedag steht die Sicherheit Ihrer Daten bereits bei der Entwicklung der Software an vorderster Stelle, damit später auch im Betrieb alle Daten bestens geschützt bleiben. Mehr über die Themen Sicherheit und Open Source können Sie im Kapitel Betrieb in unserem Technologie Kompass nachlesen.