FORGOT YOUR DETAILS?

Warum Dependency Update Automation die Sicherheit deiner Webseite unglaublich erhöht.

/ / Blog

Vermutlich hast du dich noch nie mit automatischen Sicherheitsupdates beschäftigt. Das soll nicht heißen, das du nicht weißt wie wichtig Sicherheitsupdates sind, das bedeutet nur dass du zu der Mehrheit der Softwareentwickler gehörst, die Sicherheitsupdates weder in ihren regelmäßigen Workflow, noch in ihre Automatisierung aufgenommen haben. Mein Ziel ist es dein Bewusstsein für dieses wichtige Thema im Softwarelebenszyklus zu erhöhen.

Lass uns mit dem Warum beginnen.

Ein klassisches Softwareprojekt wird in einer zum Zeitpunkt der Entwicklung aktuellen Version gestartet und abgeschlossen. Während des Projektes werden meistens noch Updates durchgeführt, dies ist aber schon nicht immer der Fall. Regelmäßig wird somit Software produktiv eingesetzt, die schon bei der Veröffentlichung Sicherheitslücken beinhaltet. Zu denken, dass die eigene Software schon sicher ist oder kein attraktives Ziel für Hacker ist, ist leider der falsche Ansatz.

Um Ziel eines Angriffs zu werden muss es sich bei dem eigenen Projekt nicht um Facebook oder Google handeln, sondern bereits die kleine Website eines Fußballvereins ist bereits ein lukratives Ziel. Ein Angreifer kann durch Platzieren eines Cryptominers viel Geld verdienen. Das Abfangen von Logindaten wird in der Hoffnung, dass die gleichen Zugangsdaten bei wichtigen Diensten wie PayPal oder Amazon verwendet werden und somit auch auf einfache Art und Weise Geld zu verdienen.

Ein sehr weit verbreiteter Mythos ist es, dass ein Hacker hochspezialliertes Know-how benötigt. Dies ist für bisher unbekannte Sicherheitslücken (so genannte Zero-Days) definitiv der Fall, jedoch für bereits bekannte und veröffentliche Sicherheitslücken wird kein technisches Know-How vorausgesetzt. Es gibt online genügend kostenlose Tools mit denen man z.B. Webseiten angreifen kann, die man durch einfaches googeln findet. Deswegen sind Sicherheitsupdates wichtig.

Machst du bereits regelmäßig Sicherheitsupdates?

Viele Firmen haben einen festen Patchday etabliert, an dem Sie Sicherheitslücken schließen, das kann z.B. jeder Montag oder der 1. Mittwoch im Monat sein. Die häufigsten Workflows beinhalten entweder einen Tag im Monat oder einen Tag pro Woche um Sicherheitslücken zu schließen. Besitzt eine Firma eine Software, die nicht selbst entwickelt ist, dann sind die Sicherheitsupdates abhängig davon, welches Updateverhalten von Patches in den SLAs vereinbart ist. Aber auch in diesem Fall läuft es je nach Budget meistens auf einen bestimmten Tag die Woche oder im Monat hinaus.

Vor allem kleine Projekte die von Agenturen entwickelt wurden, bekommen deswegen keine Updates weil das Budget (an der falschen Stelle) eingespart wird. Updates werden von Softwareentwicklern durchgeführt und  an Softwareentwickler mangelt es. Aus diesem Grund werden so selten Sicherheitsupdates durchgeführt. Aber jetzt nehmen wir an, du gehörst zu dem 1%, der Softwareentwickler, die die Wichtigkeit von Updates erkannt hat und Budget sowie Entwicklerressourcen kein Problem sind.

Wie schnell wird das Update dann durchgeführt? In der Nacht in der es released wird?

Wohl kaum, da die meisten tagsüber arbeiten und nachts schlafen. Am nächsten Werktag? Wenn alle anderen Faktoren in deiner Firma stimmen, dann vermutlich genau an diesem Tag. Das erfordert aber auch, dass nicht nur euer Update Worklow definiert ist, sondern auch das ihr eine automatische Lösung für Deployment und Testing im Einsatz habt und eine Änderung am Code sowie ein Update in kürzester Zeit auf eurem Server landet. Aber weißt du was? Selbst das kann ich einigen Situationen noch zu langsam sein! Die ersten automatischen Angriffe starten bereits 5 Stunden nach bekanntwerden der Sicherheitslücke. Das mag jetzt natürlich für den kleinen Fußballverein noch ein akzeptables Risiko sein, aber für jede Firma die durch Ihre Software Geld verdient bzw. die vielen Besucher auf Ihrer Website hat, stellt dies ein unkalkulierbares Risiko dar.

Denke an schwerwiegende Probleme wie gestohlene Kundendaten, eine Veränderung deiner Website oder einer Downtime eines Online Shops. Dies kann deine Firma an den Rand der Existenz bringen.

Dabei kann die Lösung dieses Problems so einfach sein: automatische Updates für Softwarekomponenten. Perfekt integriert in den Workflow und in Zusammenspiel mit automatischen Tests und automatischem Deployment. Ganz einfach und schnell umzusetzen, besuche uns auf www.app.codario.io und profitiere wie unsere Kunden von unserer genialen Lösung. Und das Beste: die Basisversion ist komplett kostenfrei.

Probiere es selbst aus und mache dir ein eigenes Bild!

TOP