#development

IT-Security im Web - Einfach erklärt

Durch das schnelle Wachstum der IT-Branche ist es vor allem wichtig auch Wert auf Sicherheit zu legen. Wir erklären hier auf einfache und verständliche Art wie wir unsere Anwendungen schützen.

Valentin Jäch
Gründer / Human Resources bei Deckweiss

Informationstechnologie ist eine sehr schnell wachsende Branche. Zunehmend setzen Unternehmen und Regierungen auf digitale Lösungen. Statt in dicken Akten, werden Daten in digitalen Datenbanken gespeichert. Dadurch sind sie schnell und flexibel abrufbar - aber das Ganze ist mit Vorsicht zu genießen. Diese schnelle und einfache Erreichbarkeit muss gut abgesichert werden. Ansonsten könnten die Daten ja ganz einfach durch Stromausfälle oder defekter Hardware verloren gehen beziehungsweise vielleicht noch schlimmer - von fremden Personen gestohlen und für böse Zwecke missbraucht werden. Wenn man keinen technischen Hintergrund hat, kann es sehr komplex sein, ein Verständnis für IT-Security zu haben. Möchte man eine Software programmieren lassen, ist es aber sehr wichtig, dass die Daten sicher aufbewahrt sind. Deshalb erklären wir dir hier auf sehr einfache und allgemein verständlichere Art und Weise, wie wir bei Deckweiss unsere Anwendungen absichern und gewährleisten, dass Daten nicht verloren gehen.

Szenario "Server-Ausfall"

Für den Fall, dass es in einem Serverzentrum einen Stromausfall gibt, die Hardware des Servers defekt ist oder die Daten auf sonstige Art und Weise nicht mehr erreichbar sind, sorgen wir mit regelmäßigen Backups vor. Grundsätzlich gilt hier die Regel: Je wichtiger die Daten und je mehr Nutzer auf der jeweiligen Anwendung täglich unterwegs sind, desto häufiger werden Backups gemacht. Würden Daten nun unglücklicherweise verloren gehen, können wir diese Backups jederzeit wieder einspielen und die Nutzer:innen der Anwendung merken im besten Fall nicht einmal dass etwas vorgefallen ist.

Szenario "Server- oder Datenbank-Sicherheit"

Angenommen eine fremde Person möchte sich Zugriff auf unseren Server verschaffen, um Daten zu stehlen oder zu löschen. Für diesen Fall schützen wir unsere Datenbanken mit sicheren Passwörtern. Zusätzlich dazu sind die Datenbanken nur direkt über unseren Server erreichbar. Man muss also zuerst eine Verbindung zum Server aufbauen, um überhaupt erst einen Hacker-Angriff auf die Datenbank starten zu können. Um sich wiederum auf den Server verbinden zu können, muss der/die Hacker:in das Gerät mit dem er/sie sich auf den Server verbinden will, am Server registriert sein. Das funktioniert wiederum nur mit einem Gerät mit dem man bereits Zugriff zum Server hat.

Szenario "Kommunikation zwischen Server und Anwendung abhorchen"

Immer wieder hört man über Hacker-Angriffe bei denen es Hacker:innen gelungen ist, sich in Software-Anwendungen zu hacken und daraus User-Daten und Passwörter zu erlangen, oder Schaden anzurichten. In unseren Anwendungen arbeiten wir mit Berechtigungssystemen und sichern geschützte Bereiche ab. Dadurch sichern wir die privaten Daten aller User ab, damit man stets nur die Daten bekommt und die Aktionen tätigen kann, die für den jeweiligen User vorgesehen sind. Schickt ein User Befehle an den Server, die er laut seiner Berechtigung gar nicht ausführen dürfte, werden diese sofort abgeblockt. Damit beim Login Eingabedaten und somit auch das Passwort sicher ist, halten wir uns streng an aktuellste Protokolle zur Verschlüsselung der Kommunikation zwischen Server und Anwendung. Die Berechtigung die man vom Server nach dem Login erhält, wird ebenfalls verschlüsselt und in kurzen Zeitabständen für den eingeloggten User erneuert. Falls ein Hacker nun eine verschlüsselte Nachricht abfangen kann, die vom Server zum User geschickt wird, dauert es sehr lange bis er diese mit viel Glück auch entschlüsseln könnte. Da die Berechtigung in kurzen Abständen erneuert wird und die alten Berechtigungen ungültig werden, haben Hacker keine Chance eine gültige Berechtigung zu erhalten.

Szenario "Bösartige Daten in eine Anwendung einspielen"

Es gibt einfache und beliebte Hacker-Angriffe wie z.b. "SQL-Injection" bei denen sich Hacker:innen ganz legal und auf normale Art und Weise bei Anwendungen anmelden und dann bei Formularen oder sonstigen Eingabemöglichkeiten versuchen, bösartige Befehle oder Daten in die Applikation einzubringen. Das ermöglicht es ihnen, Sicherheitslücken im System zu öffnen, über die die Anwendung zum Stillstand gebracht oder anderen Usern geschadet werden kann. Diese ganzen Angriffe ersticken wir bereits im Keim, indem wir nur zeitgemäße Frameworks und Technologien verwenden, die von Grund auf gegen solche Angriffe abgesichert sind.

Artikel teilen