Schon längst ist Software ein integraler Bestandteil in nahezu jedem neuen Produkt. Eine Kaffeemaschine ohne Produktwahl-Display, eine Waschmaschine ohne Verschmutzungsgrad-Sensor und Bluetooth oder das Mediacenter im Auto. Selbst an den Tintenfüllstands-Chip in Druckerpatronen oder den „Apple Autorisiert“-Chip im iPhone Ladekabel haben wir uns bereits gewöhnt. Für die Hersteller der Produkte sind diese Maßnahmen zum "Schutz" oft notwendig, stellt doch die hierfür entwickelte Software einen Großteil des unternehmenskritischen Kapitals dar. Und wie es mit Kapital eben mal so ist: Wir bekommen ein Problem wenn es uns einer wegnimmt, oder kaputt macht. Und beides kann mehr oder weniger auch bei Software zutreffen.
Im Fall der Industriespionage könnte ein Konkurrent den Quellcode heimlich kopieren und sich die Entwicklungskosten sparen. Je nach Intention des Konkurrenten kann er sich nun die besten Teile „abschauen“ oder einfach das vollständige Produkt kopieren. Was zwar sehr offensichtlich wäre, aber auch mindestens ebenso schwer vor Gericht nachzuweisen, wenn er neben dem Release-Stand auch die historischen Entwicklungsdaten vorweisen kann.
Weitaus gefährlicher ist die Angelegenheit aber noch wenn wir uns überlegen, dass ein Angreifer den Code gar nicht selbst nutzen möchte. Seine Motivation kann der Kick, Schadenfreude oder eingeschleuster Code sein. Ein Virus im neu entwickelten Online-Game schadet dem Ruf unserer Firma enorm, aber ein Backdoor in der Banking-Software füllt darüber hinaus auch noch fremde Konten.
Bei der Installation einer neuen Systemkomponente im modernen firmenweiten Netzwerk stellt sich unweigerlich und schnell die Frage nach deren Sicherheit. Sicherheit wird gerne unpräzise und allgemein als Oberbegriff für die Absicherung von Software und Rechnern verstanden. In den nachfolgenden Artikeln reden wir über die Aspekte Authentifizierung und Autorisierung.
Authentifizierung adressiert dabei die Sicherstellung der Vertraulichkeit in die Kommunikation. Eine Vertraulichkeit wird beispielsweise durch das Unterbinden der Einsicht von unautorisierten Dritten in die Daten durch Verschlüsselungs-Technologien erreicht. Ein weiterer Aspekt ist die Erkennung und präventive Verhinderung von Manipulation durch geeignete Maßnahmen. Ein Beispiel aus dieser Kategorie sind Prüfsummen bei der Datenübertragung.
Autorisierung im Gegensatz dazu stellt sicher das nur berechtige Personen Zugriff auf Ressourcen erlangen können. In der Praxis tritt der Anwender in Form von Nutzernamen und Passwörtern sowie komplexen Berechtigungssystemen für diverse Systeme in Kontakt. Wie man hier erahnen kann, müssen Authentifizierung und Autorisierung nicht zwingend zusammenfallen. Ein sicheres System adressiert jedoch beide Bereiche.
Gerade wenn es sich um sensible Softwareentwicklungsdaten wie Quellcode oder Planungsdaten im TFS handelt möchten wir gerne sicherstellen, dass die Kommunikation weder abgehört noch manipuliert wird und schon gar kein unbefugter Zugriff erlangen kann.
Eine alte auf die IT übertragene Weisheit besagt „Ein Netzwerk ist nur so sicher wie seine Einzelteile“ – Erfahren Sie in den nächsten Artikeln, wie Sie diese „Einzelteile“ Ihres TFS gezielt absichern können.