Cybersicherheit für medizintechnische Geräte unterscheidet sich grundlegend von der anderer Branchen. Neben dem Datenschutz spielt vor allem die Sicherheit der Patienten eine wichtige Rolle. Deshalb wird in diesem Beitrag erklärt, wie Compliance-Anforderungen am besten erfüllt werden können.
Im Bereich der Embedded Systems sind Security by Design und sichere Software-Entwicklung von besonderer Bedeutung. Dies bedingt Security Testing über den ganzen Lebenszyklus hinweg, dieser Beitrag widmet sich dem Pen Testing auf der einen und Vulnerability Scans auf der anderen Seite.
Werden Security-Tools unangemessen oder falsch eingesetzt, führt das potenziell dazu, dass Entwickler mit Software-Defekten überflutet werden. Zu wissen, wann und wie man diese Tools am besten nutzt, macht DevSecOps effektiver.
Konfigurationen haben die fatale Neigung, sich zu verändern. Es kommt zu Abweichungen vom sicheren Grundzustand, dem sogenannten Konfigurationsdrift. Gerade schnelle Lösungen, die auf den ersten Blick harmlos erscheinen, erweisen sich im Nachgang nicht selten als riskant. Best Practices geben Orientierungshilfe wie man dieser Art von Risiken entgegenwirken und den Reifegrad des Konfigurationsmanagements kontinuierlich steigern kann.
Forscher des Synopsys Cybersecurity Research Center, kurz CyrC, haben eine Schwachstelle in der OpenBSDBcrypt-Klasse von Bouncy Castle gemeldet. Passwort-Prüfungen lassen sich darüber durch Angreifer umgehen.
Bei der Software-Entwicklung und -Bereitstellung ist laut einer Synopsys-Studie ein klarer Trend hin zu DevSecOps-Methoden zu erkennen. Fast zwei Drittel der Befragten haben demnach bereits erste Praktiken in ihre Pipelines integriert.
Zu jedem beliebigen Zeitpunkt finden weltweit Millionen von Authentifizierungsvorgängen statt. Meistens über die Eingabe von Passwörtern. Immer häufiger allerdings auch mithilfe biometrischer Verfahren oder eines einzigartigen, benutzerspezifischen Objekts. Inzwischen authentifizieren sich aber nicht nur Menschen, sondern auch Maschinen, und das in großem Umfang.
Die Vorteile, Softwaresicherheit und Softwareentwicklung eng miteinander zu verzahnen scheinen offensichtlich zu sein. Dennoch ist die Investition in entsprechende Werkzeuge, deren Integration und die dazu nötige Expertise nicht für jedes Unternehmen sinnvoll oder machbar. Managed Security Testing ist eine interessante Alternative.
Die Herausforderungen für die IT-Sicherheit nehmen auch in der Pharmabranche weiter zu. Weltweit gab es bereits zahlreiche Berichte über Cyber-Angriffe, die auf Führungskräfte innerhalb der Pharmaindustrie abzielen. Der Security-Anbieter Lookout weist in seinem Report auf gefährliche Sicherheitslücken hin.
Remote Working hat in Sachen digitale Transformation vieles verändert. Bis auf die Logs, sie werden weiter gesammelt, egal ob der User im Wohnzimmer oder im Büro sitzt. Allerdings sind Logs nicht gleich Logs. Einige von ihnen fallen inzwischen unter die Definition personenbezogener Daten und müssen entsprechend gesichert werden. Erst recht jetzt, wo dramatisch mehr Logs anfallen, reicht es nicht mehr, sie quasi im SIEM zu verstauen.