Pierre Gronau on JAVAPRO Germany

Bewährte Praktiken für CI/CD Pipelines

Wed, 30 Nov 2022 17:51:53 +0000

Diese Praktiken sollen eine Vorstellung davon vermitteln, wie einige Probleme in modernen CI/CD-Pipelines gelöst und was vermieden werden sollte. Verwenden Sie diese Muster als Richtlinie beim Implementieren Ihrer eigenen Pipelines.

Bewährte Praktiken für APIs

Wed, 27 Jul 2022 10:17:43 +0000

Das Tor zum Himmel. Alle oben genannten Mechanismen sind langwierig zu implementieren und zu warten. Anstatt das Rad neu zu erfinden, sollten Sie sich für eine ausgereifte und leistungsstarke API-Verwaltungslösung mit all diesen Optionen entscheiden, um Geld, Zeit und Ressourcen zu sparen und Ihre Markteinführungszeit zu verkürzen. Ein API-Gateway hilft Ihnen, Ihren Datenverkehr zu sichern, zu kon

Bewährte Praktiken für IT-Compliance-Audits

Wed, 06 Jul 2022 16:20:34 +0000

Wenn Sie in einer regulierten Branche tätig sind, gehören Prüfungen der Einhaltung von Vorschriften zu Ihrem Alltag. Ohne die richtigen Prozesse zur Befolgung der geltenden Normen kann die Einhaltung der Vorschriften schwierig sein, und Audits können entmutigend sein. Damit Sie die in Ihrer Branche geltenden Normen erfolgreich einhalten können, müssen Sie eine Reihe von Werkzeugen und Verfahren al

Ein Ansatz für Cloud-Transformation und Cloud-Migration - erster Teil

Fri, 24 Jun 2022 18:07:31 +0000

Die anhaltende COVID 19-Pandemie stellt fast alle Branchen vor neue Herausforderungen. Sie hat erhebliche Auswirkungen auf Geschäfts- und Betriebsmodelle. Unternehmen denken darüber nach, wie sie ihr Geschäft für solch große Störungen robuster gestalten können, wie sie schneller Neurungen einbringen und ihren Kunden neue Dienstleistungen anbieten können, wie sie die Gesamtbetriebskosten senken kön

Die Zukunft von Containern - Was kommt als Nächstes?

Wed, 15 Jun 2022 17:29:13 +0000

Vielleicht haben Sie schon die Schlagworte gehört, die in aller Munde sind, wenn es um die Zukunft von Containern geht. Seltsame Namen wie “Micro-VMs”… “Unikernel”… “Sandboxes”… Haben Sie sich gefragt, was diese Dinge sind und wie Sie sie nutzen können? Oder sollten Sie diese überhaupt verwenden?

PCI DSS-Sicherheitsauditverfahren - alles, was Sie wissen müssen

Thu, 02 Jun 2022 14:56:43 +0000

Die Einhaltung des Datensicherheitsstandards (DSS) der Zahlungskartenbranche (PCI, engl.: Payment Card Industry) erfordert eine jährliche Berichterstattung. Diese jährliche Berichterstattung umfasst umfangreiche PCI-DSS-Auditverfahren für Organisationen, die die höchsten Transaktionsvolumina abwickeln. Die Auditverfahren werden im Rahmen einer Vor-Ort-Bewertung durchgeführt, die als Konformitätsbe

Die NIS-Richtlinie

Wed, 01 Jun 2022 17:15:33 +0000

Die Richtlinie über die Sicherheit von Netz- und Informationssystemen ist eine Richtlinie, welche in die nationale Gesetzgebung der einzelnen Mitgliedsstaaten übersetzt wird. Dies bedeutet, dass es Unterschiede in der Anwendung geben kann.

PCI-DSS 4.0 endlich am Start

Tue, 17 May 2022 18:14:27 +0000

Nach längerer Verzögerung wurde am 31. März 2022 die Version 4.0 des Datensicherheitsstandards (DSS, engl.: Data Security Standard) der Zahlungskartenbranche (PCI, engl.: Payment Card Industry) veröffentlicht. [1], [2]

Security-by-Design-Projekte in Zeiten der Datendämmerung

Tue, 22 Sep 2020 09:23:31 +0000

*Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Unter anderem gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union, hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Diesem Grundrecht trägt die neue EU-Datenschutzgrundverordnung ab dem 25. Mai 2018 verstärkt Rechnung. Sie gilt für alle Unternehmen, Behörden und Freiberufler, die personenbezogene Daten von EU-Bürgern verarbeiten. Es wird also ernst für Verantwortliche bei der Verarbeitung von Daten. Diese sind nun unmittelbar verpflichtet, alle sich aus der Neuerung ergebenden Auflagen und Pflichten zu erfüllen. ** Im Kapitel 1 Art. 4 der EU-DS-GVO finden sich die dazu passenden Begriffsbestimmungen für folgende Schlüsselbegriffe: „Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“ „Verarbeitung: jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“ *

Die Tücken des Cloud-Computing

Fri, 07 Aug 2020 10:08:22 +0000

Bedrohungen, denen Cloud-Umgebungen ausgesetzt sind, decken sich in vielen Punkten mit den Gefahren für Inhouse-Unternehmensnetze. Die enormen Datenmengen jedoch, die Cloud-Server beherbergen, machen sie zu einem attraktiven Ziel für Hackerangriffe. Was sind die häufigsten Risiken und welche konkreten Empfehlungen gibt es, um die Gefahr von Missbrauch und extern forciertem Datenverlust zu minimieren?

Ein Unternehmen ist für den Schutz seiner Daten selbst verantwortlich. Im Falle einer öffentlich gewordenen Datenpanne drohen Ermittlungsverfahren, Strafanzeigen, Rechtsstreitigkeiten und daraus resultierende Umsatzeinbußen sowie nachhaltiger Reputationsverlust. Daher gilt bei der Wahl des Cloud-Anbieters ein besonderes Augenmerk auf physische und digitale Sicherheitskontrollen zu werfen.

Durchdachtes Log-Management für Industrie 4.0

Fri, 10 Jul 2020 12:51:25 +0000

Log- und Protokollmanagement ist eine oft wenig beachtete, aber dennoch eine der dringlichsten Herausforderungen zur Absicherung von IT-Strukturen. Dieser Artikel zeigt ein Best Case in Form eines Sicherheitskonzeptes über zehn Etappen und bedient sich dabei zur Veranschaulichung aus der Industrie 4.0-Themenwelt.

Sichere Identitäten gelten als wesentlicher Ausgangspunkt für Sicherheitsketten, welche die Datenerhebung, Datentransport und Datenverarbeitung auf Hardware-, Software- und Prozess-Ebene absichern. Damit bilden sie die Voraussetzung für viele weitere Schutzmaßnahmen, die Unternehmen in puncto Datensicherheit ergreifen sollten, um sich compliant und wettbewerbsfähig aufzustellen. Denn klar ist: Sobald es einem Angreifer gelingt, sich unberechtigt einer Identität zu bemächtigen, laufen alle darauf aufbauenden Maßnahmen wie zum Beispiel der Zugriffsschutz ins Leere. So bietet die Gewährleistung sicherer Identitäten über automatisierte Kommunikation ein solides Startglied in der Vertrauenskette. Mit der Einführung eines Sicherheitsprozesses leiten IT-Verantwortliche die notwendigen organisatorischen Veränderungen ein, definieren eine Strategie und nutzen Hilfsmittel zur Erreichung der Sicherheitsziele.

Prototyping spart Zeit und Kosten

Thu, 09 Jul 2020 16:51:10 +0000

Heute muss Software zügig entwickelt und produktiv gesetzt werden (Time-to-Market). Dabei kann Prototyping helfen, die Effizienz im Entwicklungsprozess zu verbessern. Allerdings gilt es sorgfältig zu überlegen, welche Prototyping-Methode zum eigenen Projekt passt. Softwareentwicklung ist eine sehr dynamische Disziplin, in der sich die Anforderungen schnell ändern. Häufig entwickelt die Auftraggeberseite eine Reihe von Anforderungen oder User-Stories, obwohl sie das entsprechende Resultat nicht genau einschätzen kann. Das Entwicklerteam macht sich Gedanken und arbeitet an einem repräsentablen Stakeholder. Wenn dieser jedoch hinter den Erwartungen zurückbleibt, weil die Anlage zur Visualisierung anfänglicher Anforderungen fehlt, kann es passieren, dass so ein Projekt komplett neu auf die Spur gesetzt werden muss. Das führt im Ergebnis zu einem erhöhten Budgetbedarf für die Produktentwicklung. Um den Ablauf und dementsprechend das Budget zu optimieren, können verschiedene Ansätze verfolgt werden: Proof-of-Concept, Wireframes, Funktionales Prototyping, MVP (Minimum Viable Product) oder ein Pilotprojekt. Dieser Artikel konzentriert sich auf das Prototyping:

Massive Attacken – Warum smarte Elektrotechnik nicht vertrauenswürdig ist

Fri, 01 May 2020 11:25:00 +0000

**„**Helferlein“, die intelligente Glühbirne des Comic-Antihelden Daniel Düsentrieb, saß auf seiner Schulter und hatte keinerlei Verbindung in die Cloud. Eine risikolose Beziehung. Heute vernetzt sich Lichttechnik online, schickt Datenpakete um die Welt und bietet Cyberkriminellen Raum für Attacken. Normen und Sicherheitsstandards für Dinge im Internet suchen Gebäudeplaner und Lenker digitaler Transformation nahezu vergeblich. Smart Buildings brauchen, um sich dem entgegenzustemmen, Security-by-Design-Konzepte, Privacy by Default und einen Dreiklang an Sicherheitsmaßnahmen.

Stand der Technik: Wenn sich dem Hacker alle Türen öffnen

Bis 2020 wird es weltweit über 20 Milliarden Geräte geben, die mit dem Internet verbunden sind. Ein beträchtlicher Teil dieser technischen Spielereien existiert als Teil gebäudeinterner Sicherheitssysteme, beispielsweise in Form von Überwachungskameras, ferngesteuerten Heizungs- oder Lichtanlagen. Während der Markt für Smart-Building-Technik boomt, befindet sich das dazugehörende branchenspezifische Feld der IoT-Sicherheit noch in den Kinderschuhen. Konkret bedeutet dies, dass Gebäude und ihre smarten Infrastrukturen bis dato nicht dafür geplant und ausgelegt sind, Teil eines vernetzten IoT-Universums zu sein. Der asynchrone Stand der Technik von intelligenten Geräten und ihren rudimentären Sicherheitsfunktionen öffnet Hackern Tür und Tor. Bei Attacken auf IT-Systeme via Brandmeldeanlage oder Videokamera erlangen Angreifer Fernzugriff auf sensible Daten sowie Manipulationsfreiraum. Hacker nehmen erfahrungsgemäß stets den leichtesten Weg und dieser führt auch über smarte Geräte ans schadenbringende Ziel. Bezieht man bei diesen Gedankenspielen Gebäude mit kritischen Infrastrukturen, also Krankenhäuser, Kraftwerke oder Flughäfen, mit ein, zeigt sich die Brisanz umso deutlicher.

Die 10 wichtigsten Schritte zur Verhinderung eines Datenschutzverstoßes

Thu, 30 Apr 2020 11:10:33 +0000

Heute leben wir mehr denn je in einer digitalen Welt, die sich schneller verändert, als wir die von uns gespeicherten Dateien und Daten schützen können. Es gibt keine Patentrezepte oder magische Lösung, um einen Datenschutzverstoß zu verhindern, aber es gibt wichtige Schritte, die Sie zum Schutz Ihrer Daten ergreifen können. Es gibt technisch gesehen einige wenige Arten von Datenlecks, wie interne oder externe Quellen. Obwohl Unternehmen Maßnahmen ergreifen und aktiv handeln, scheint es, dass die Zahl der Datenschutzverletzungen von Jahr zu Jahr zugenommen hat. Es kann sich wie ein unendliches Katz-und-Maus-Spiel anfühlen, weil es tatsächlich so ist. Jedes Mal, wenn Unternehmen einen neuen Weg finden, Daten zu schützen, scheint es, als ob Kriminelle einen besseren Weg finden, auf diese Daten zuzugreifen, und dann gibt es interne Lecks, die durch menschliches Versagen oder Vorsatz verursacht werden. Daten sind wertvoll und es gibt eine Vielzahl von Dingen, die mit gehackten, durchgesickerten oder gestohlenen Daten durchgeführt werden können. Die häufigste Art von Daten, die von Hackern und Cyberkriminellen verwendet werden, sind Namen, Geburtsdatum, Sozialversicherungsnummern und manchmal Kreditkarten- oder Debitkartennummern. Gesundheitsdaten sind die wertvollsten auf dem Schwarzmarkt und im dunklen Netz. Eine Sozialversicherungsnummer kann für etwa 15 US-Dollar gekauft und die Gesundheitsdaten von jemandem können für bis zu 200 US-Dollar verkauft werden. Es gibt so viele verschiedene Möglichkeiten, wie Datenschutzverletzungen auftreten können, aber es gibt einfache Schritte, die jeder tun kann, um zumindest die Grundlagen der Cybersicherheit abzudecken. Dies sind die grundlegenden Schritte, die Sie mindestens unternehmen sollten, um Verletzungen der Datensicherheit zu verhindern.

Was sollten wir im Falle eines Cybersicherheitsvorfalls in einer industriellen Umgebung tun?

Wed, 29 Apr 2020 11:00:28 +0000

Die Unvermeidlichkeit von Cyberangriffen in der heutigen Zeit bedeutet, dass Industrieanlagen auf der ganzen Welt ihre Investitionen in die digitale industrielle Cybersicherheit neu priorisieren sollten. Da sich die Prioritäten verschieben, besteht die größte Notwendigkeit darin, die Ausgaben für Strategien und Instrumente zur Erkennung und Reaktion auf Vorfälle im Vergleich zu traditionellen Schutz- und Präventionsmethoden zu verbessern. Mit anderen Worten: Es ist klar, dass es nicht mehr ausreicht, einen typischen Netzsicherheitsperimeter aufzubauen und zu hoffen, dass er den Angreifer fernhält. Die Verfahren müssen so konzipiert sein, dass sie Angriffe bewältigen können. Zudem müssen sie in der Lage sein, jeden Schaden zu mildern und zu reparieren, sobald jemand eingedrungen ist. Diese Botschaft scheint bereits in die Welt der Unternehmens-IT durchzudringen, wo das Ausmaß des Problems durch die neue Gesetzesgrundlage und das öffentliche Bewusstsein für neue Vorschriften deutlich geworden ist. Wenn es jedoch um die Steuerungstechnik (Industrial Control System, abgekürzt ICS) geht, haben viele Unternehmen immer noch Schwierigkeiten, sich anzupassen. Die alte Ausgabenregel 80/20, die besagt, dass 80 % der Ausgaben für Prävention und Schutz und nur 20 % für Erkennung und Reaktion getätigt werden, gilt nach wie vor. Es gibt bereits Anzeichen dafür, dass sich das ändern wird. Für die Anbieter kritischer Infrastrukturen in den Bereichen Banken, Versicherungen, Wasser, Fertigung, Energie, Transport und Gesundheit könnte die unzureichende Vorbereitung auf einen möglichen Vorfall bedeuten, dass neue Vorschriften, wie die Richtlinie der Europäischen Union (EU) über die Sicherheit von Netz- und Informationssystemen (NIS-Richtlinie) ^([1]), in Kraft treten. Compliance ist jedoch nur ein Motivationsfaktor. Ein methodischer und gut strukturierter Plan zur Bewältigung von Vorfällen kann die Sicherheit verbessern und dazu beitragen, finanzielle oder Reputationsschäden zu vermeiden.

Wie du deine Mobilfunknummer schützen kannst und warum du es tuen solltest

Tue, 28 Apr 2020 10:32:03 +0000

Angenommen, du hast sichere Passwörter und deine Zwei-Faktor-Authentisierung eingerichtet. Denkst du nun, dass deine Konten jetzt gewappnet sind? Überdenke es nochmals. Es gibt noch viel mehr für dich zu tun. Du denkst wahrscheinlich, dass deine Bankkonto- und Sozialversicherungsnummern die sensibelsten Zahlen in deinem Leben sind. Heutzutage können Hacker mit wenig Aufwand und nur mit deiner Handynummer viel mehr Schabernack anrichten. Aber im Gegensatz zu deiner Sozialversicherungsnummer bist du weitaus weniger geneigt, deine Mobilfunknummer geheim zu halten – sonst kann dich ja niemand kontaktieren! Egal, ob du ein Kunde von AT&T, Verizon, Sprint, Vodafone, O2 oder T-Mobile bist, jede Mobilfunknummer kann ein Ziel für Hacker sein. Und es erfordert bemerkenswert wenig Aufwand, um verheerende Auswirkungen auf dein Online-Leben zu haben.