2001, 2002 und 2003 waren für Microsoft und unsere Kunden eine Herausforderung: Bekannte Malware wie Code Red, Nimda, der Blaster oder der SQL-Slammer hatten es auf die Windows-Systeme abgesehen und sorgten dafür, dass Malware erstmals in den Abendnachrichten landete. Die Zwischenfälle waren Auslöser für die Microsoft Trustworthy Computing Group und den Security Development Livecycle (SDL). In den letzten zehn Jahren haben TWC und der SDL einiges bewirken können. Obwohl die Attacken jedes Jahr zunahmen, wurden unsere Anwendungen und Betriebssysteme deutlich sicherer.
Der SDL kommt nicht nur Microsoft intern zum Einsatz. Vielmehr teilen wir die darin enthaltenen Informationen mit Geschäftspartnern und unseren Kunden. Tatsächlich konnte eine ganze Reihe von Partnern vom SDL profitieren und die Konzepte innerhalb der eigenen Organisation anwenden. Unser neuer Bericht, „Die SDL Chronicles“ (PDF Download) stellt drei verschiedene Partner vor, die mit Hilfe des SDL ihre Unternehmensressourcen gegen Angriffe geschützt haben.
MidAmerican Energy: Das Versorgungsunternehmen in Iowa versorgt mehr als 730.000 Kunden mit Strom und mehr als 700.000 mit Erdgas. Im Jahre 2010 stand das Unternehmen vor einigen Sicherheitsherausforderungen. Veraltete Webseiten und veralteter Code sorgten für zahlreiche Probleme, die IT-Systeme wurden zudem regelmäßig mittels SQL-Injections attackiert. Das Unternehmen setzte auf SDL als Grundlage, um das Sicherheitskonzept komplett zu überarbeiten. Mit Erfolg: Es wurden dank SDL neue Sicherheitsprozesse entwickelt sowie reichlich Code von Fehlern befreut.
Itron: Das Unternehmen stellt intelligente Zählersysteme, Datenerfassungslösung und Software für Versorgungsunternehmen her. Die Kunden sind über den kompletten Globus verstreut. Zu den Herausforderungen gehörte die lange Produktlebensdauer. Sie lässt sich nur nur schwer mit der aktuellen, sich schnell ändernden Bedrohungslage vereinbaren. Zumal eine Aktualisierung der Systeme nur schwer möglich war. Mit Hilfe des SDL konnten die IT-Verantwortlichen ihre Prozesse und Entwicklungsumgebungen so anpassen, dass die Systeme künftig besser geschützt sind. Ein praktischer Nebeneffekt: Die Itron-Mitarbeiter betrachteten Sicherheit nun als zentralen Bestandteil aller Facetten ihrer Arbeit und nicht einfach nur als einzelnen Schritt im Gesamtprozess.
Das indische CERT: Indien ist eine der größten Volkswirtschaften der Welt und boomt unter anderem im IT-Bereich. Entsprechend musste sich die indische Regierung immer häufiger mit Cyberkriminalität auseinandersetzen. Attacken auf Webseiten, Spambots, Diebstahl von Finanzdaten und von persönlichen Informationen – die typischen digitalen Attacken trafen Indien mit voller Wucht. Dazu kam das Bestreben, den Bereich eGovernance auszubauen. Zur Lösung der Probleme gehörte der Aufbau eines eigenen CERT (Computer Emergency Response Team), bei dem Microsoft mit dem SDL wertvolle Inhalte liefern konnte. „Der SDL ist der De-Facto-Sicherheitsstandard für die IT-Sicherheit in Indien“, so Satish Das, Chief Security Officer bei Cognizant Technology Solutions.
In diesem Blogeintrag können wir die Beispiele nur anreißen, die kompletten Daten haben wir in unserer Studie „Die SDL Chronicles“ zusammengestellt. Das 57-Seiten-lange Dokument steht hier kostenlos als PDF zum Download bereit.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.