cate Security Blog
Sicherheit und Softwareentwicklung
Unser tagtägliches (Arbeits-)Leben wird immer stärker durch digitale Tools geprägt. Wir werden immer abhängiger davon, dass unsere digitalen Apps, Geräte und Programme richtig funktionieren. Die Sicherheit unserer Informationssysteme wird damit auch ein immer entscheidenderer Faktor – vor allem dann, wenn Unternehmen Hard- und Software einsetzen, die zentral wichtige Prozesse und Aufgaben steuern. Wir bei CaT gestalten diese Entwicklung mit der Einführung eines eigenen Security-Blogs für unser Lernmanagementsystem cate. Aber warum ist das ein geeigneter Schritt zur Verbesserung der IT-Sicherheit?
Hat sich ein Unternehmen für den Einsatz von cate als Lernmanagementsystem entschieden, vertrauen alle Beteiligten darauf, dass das System mit all seinen Komponenten und Funktionen stabil, zuverlässig und performant funktioniert. Das bedeutet auch, dass Benutzerdaten oder Firmendaten sicher vor dem Zugriff Unbefugter geschützt sein müssen und dass das System selbst – oder Teile davon – Dritten keinen unentdeckten Zugang erlauben.
Wir als Software-as-a-Service-Betreiber möchten sicherstellen, dass in der jeweils eingesetzten Version unserer Software keine vermeidbaren Sicherheitsrisiken existieren und den Nutzer*innen unseres Systems jederzeit eine möglichst hohe Transparenz darüber garantieren, wie der Stand der Sicherheit des Systems ist. Diesen Anspruch umzusetzen wird ungleich schwieriger, wenn in Software Bibliotheken und Frameworks von Drittanbietern einsetzt werden, die nicht in der eigenen Entwicklungsabteilung geschrieben wurden. Im Fall von cate bildet die Open-Source-Plattform ILIAS die zugrundeliegende Code-Basis, die ihrerseits weitere Software-Bibliotheken einbindet.
Tritt nun der Worst Case ein, dass Schwachstellen und Sicherheitslücken in cate, ILIAS oder Drittanbieter-Komponenten auftauchen, werden im ersten Schritt die zuständigen Entwickler*innen informiert, damit die Lücken möglichst schnell geschlossen werden können.
Anschließend kann die Meldung und Beantragung einer CVE-ID bei einer dafür autorisierten Stelle erfolgen. CVE steht für „Common Vulnerabilities and Exposures“, zu Deutsch etwa "Gemeinsame Verwundbarkeiten und Enthüllungen". Das öffentlich zugängliche Verzeichnis listet bekannte Sicherheitslücken in Software, Hardware oder anderen IT-Produkten und ist – international betrachtet – die wichtigste Anlaufstelle für die Dokumentation von Sicherheitslücken. Mit der Meldung an die CVE wird das Sicherheitsproblem also öffentlich gemacht und im CVE-Verzeichnis wird dokumentiert, mit welcher Programm-Version die Lücke geschlossen wird. Aus Unternehmensperspektive ist das nicht nur für IT-Abteilungen und -Experten relevant, sondern auch für alle Compliance-Verantwortlichen, da hier schnell und transparent ablesbar wird, ob ein Handlungsbedarf besteht bzw. ob eine im Unternehmen eingesetzte Software geupdated werden sollte.
Die CVE-Liste und die aktuellen Einträge kontinuierlich im Blick zu behalten, kostet Zeit und Ressourcen. Damit wollen wir unsere Kunden nicht allein lassen, denn die gemeldeten Sicherheitslücken müssen wir sowieso bewerten und damit umgehen. Hier kommt nun der cate Security Blog ins Spiel: Wir übernehmen nur die Fälle aus dem CVE-Verzeichnis, die ILIAS oder cate betreffen und für Unternehmen relevant sind, die cate als LMS im Einsatz haben. Der Blog bietet damit – ganz auf cate zugeschnitten und zentral – eine Übersicht, welche Sicherheitslücken im System bekannt sind und ob potenziell ausnutzbare Sicherheitslücken bereits geschlossen wurden. So sorgen wir für Transparenz in Sicherheitsfragen und verbessern die Serviceorientierung für alle Nutzer*innen.
Zum cate Security Blog geht's hier lang.