Spare jetzt 15.000 € und schütze dein Unternehmen vor den gefährlichsten Cyberattacken

Mit ausgefeilter Automatisierung das größte Einfallstor schließen – Innerhalb genau eines Tages!

Erspare dir ein erneutes log4j-Desaster

Denk mal zurück: Wie war das am 17.12.2021 bei dir, als die log4j-Schwachstelle die ganze Welt in Aufruhr versetzte? Warst du oder dein Unternehmen betroffen?

Kurzer Rückblick: Was war passiert?

Am 10.12.2021 wurde eine Schwachstelle in log4j gemeldet. Am 17.12.2021 dann der Schock: Das BSI setzte die log4j-Schwachstelle CVE-2021-44228 auf die höchste Bedrohungslage:

Alarmstufe Rot!!!

Log4j war damals eine von zwei sehr beliebten Logging-Bibliotheken in der Java Welt. Java, als meistgenutzte Sprache, war in jedem Unternehmen vertreten. Damit konnte jeder davon ausgehen, dass er betroffen war. Dutzende, hunderte oder gar tausende Anwendungen und Hardwarekomponenten mussten so schnell wie möglich überprüft und gepacht werden. Innerhalb von 20 Tagen kamen vier Patches raus, die alle das Problem sukzessive eingrenzten. Am 27.12.2021 dann die Erlösung, die Schwachstelle wurde mit der Version 2.17.1 endgültig gefixt.

Deine Situation heute: Bist du gerüstet?

Stell dir vor, eine solche Situation würde dich heute treffen. Du trägst für die in deinem Unternehmen entwickelte, betriebene und eingesetzte Software die Verantwortung.

Wird das eine entspannte Zeit? Wirst du einen angenehm ruhigen Morgen haben, weil du weißt, dass das Problem innerhalb der nächsten 2-3 Stunden routinemäßig von deinem Team fürs gesamte Unternehmen gelöst wird? 

Oder siehst du dich schon jetzt in chaotischen Management-Meetings, in denen du dich fühlst wie in einem Käfig voller kopfloser Hühner?

Falls du Weihnachten 2021 am log4j-Desaster beteiligt warst: Habt ihr daraus gelernt? Seid ihr heute perfekt vorbereitet?

Nein?

Das ist … ungünstig.

Dein Risiko: Dein Unternehmen wird Opfer willkürlicher Angriffe

Viele Unternehmen werden im Moment mit Cyberattacken bombardiert. Vor allem kleine und mittelständige Unternehmen sind in den Fokus der Angreifer gerückt. 

Warum?

Weil diese Unternehmen meist einfache Ziele sind.

Es geht schon lange nicht mehr darum, jemandem gezielt zu schaden. Das ist viel zu kompliziert, viel zu aufwendig, viel zu teuer, viel zu riskant. Vielmehr sind die meisten Angriffe willkürlich. Die Angreifer schauen, wo es was gibt und bieten das Gestohlene dann meistbietend im Darknet an. 

Oder sie verschlüsseln die Daten und erpressen damit dein Unternehmen.

Oder anders ausgedrückt: Es ist ein Geschäftsmodell, bei dem du bestimmt nicht die Ware sein möchtest.

Möchtest du dir das ersparen?

Das Einfallstor Software-Bibliotheken

• Malware wird über diverse Kanäle in dein Unternehmen eingeschleust
• Eine immer beliebtere Methode ist das Einschleusen von Malware über externe Software-Bibliotheken.
• Daneben nutzen Angreifer gerne Schwachstellen veralteter, ungepatchter Bibliotheken aus. Nicht mehr Tage oder Wochen, sondern Stunden nach der Entdeckung.

Dabei stehst du vor dem Problem: Selbst wenn die von dir genutzten Bibliotheken keine Schwachstelle aufweisen, nutzen diese Bibliotheken und auch die eingesetzte Software ihrerseits wiederum Bibliotheken, die betroffen sein können.

Die gängige Lösung

Die gängigen Lösungsvorschläge für dieses Problem sind folgende:

1. Führe Shift-Left Security ein
2. Baue auf Software Supply Chain Security (zu deutsch: Sichere Software-Lieferketten)
3. Führe einen Secure Software Development Lifecycle (SSDLC) ein.

Und noch etwas: Setze auf DevSecOps und Security by Design.

Klingt alles super. Das bekommst du, oft gepaart mit einer vermeintlich passenden teuren Softwarelösung, so angeboten.

Oft findet sich noch ein Freelancer oder ein externer Berater, der verspricht, das Problem zu lösen. Er freut sich darüber, dass du ihm die Zeit bezahlst, die er dann braucht, sich in das Thema einzuarbeiten und Erfahrung aufzubauen. Der nächste Kunde freut sich über einen höheren Tagessatz. Und du über sein Experiment?

Im Kern ist das Vorgehen richtig und kann dir unter Umständen helfen.

Zu Wahrheit gehört aber auch:

Die meisten Unternehmen scheitern bei diesem Vorhaben, …

1. weil die Kosten explodieren,
2. weil die Einführung schlicht viel zu lange dauert, 
3. weil die internen oder externen Mitarbeiter etwas Entscheidendes in der Implementierung übersehen haben,
4. weil sich dein Team bei der Einführung völlig verzettelt hat oder 
5. weil die Pipelines nun so langsam sind, dass keiner mehr sinnvoll damit arbeiten kann.

Stell dir vor, du bekommst die Lösungen oben, allerdings als erprobte und optimierte Lösung innerhalb eines Tages schlüsselfertig geliefert. Dein Team ist sofort startklar und kann sich weiter auf Features und Kundennutzen konzentrieren.

Klingt das interessant?

Radikal agile Lösungen

Radikal agil heißt: „Dein Problem bei der Wurzel packen und es von Grund auf nachhaltig lösen.“

Was bedeutet das konkret?

Seit 2016 begleiten mich die Themen sichere und schnelle CI/CD-Pipelines, Shift-Left-Security, Security by Design, Sichere Softwarelieferketten und Dev(Sec)Ops. In diversen vergangenen Projekten habe ich über die Jahre eine umfangreiche Toolanalyse durchgeführt, verschiedene Tools und Praktiken angewendet und diese auf Herz und Nieren getestet. Dadurch weiß ich, worauf es bei deutschen Unternehmen wirklich ankommt und was sie sich sparen können.

Auf Basis dieser Erfahrung habe ich ein System entwickelt, das auf jedes Unternehmen anwendbar ist, das Software auf Java EE-Basis (z.B. Spring Boot oder Quarkus) entwickelt, diese mit CI/CD-Pipelines (Azure DevOps oder GitLab CI) baut und deployed und das Ergebnis dann in einer containerisierten Plattform (z.B. Kubernetes, Rancher oder OpenShift) betreibt.

Was steckt hinter dem radikal agilen Konzept?

Das radikal agile Konzept hinter den von mir angebotenen Lösungen basiert auf folgenden 7 Prinzipien:

1. Einfachheit siegt (Keep it Simple): Es gibt so tolle Lösungen und so tolle Software auf dem Markt, die man sich alle einkaufen kann. Aber was nützen diese Lösungen, wenn sie von den Teams nicht eingesetzt werden können? Deshalb ist jede radikal agile Lösung auf Einfachheit getrimmt.
2. Pareto-Prinzip (oder 80-20-Regel): In den meisten Fällen ist eine Lösung, die 80% der Fälle abdeckt, die aber mit wenig Einsatz sofort verfügbar ist, viel besser geeignet als eine 100%-Lösung, die aber bis zur Einführung bereits veraltet ist.
3. Automatisierung nur da, wo es sinnvoll ist: Es ist knuffig, wie viele Berater (deren höchste digitale Leistung Excel ohne SVERWEIS ist) versuchen, jetzt alles zu automatisieren und zu digitalisieren. „Weil man das halt so macht!“ Es gibt zwar viele gute Gründe für eine Automatisierung, Aber genauso viele Gründe gibt es, manuelle Prozesse, bei denen Menschen deutlich bessere Leistungen erzielen, beizubehalten, gut zu dokumentieren und ständig zu üben, zu hinterfragen und anzupassen.
4. Nachhaltigkeit und Langlebigkeit: Radikal agile Lösungen sind darauf ausgelegt, lange zu leben und das Rückgrat für deine Abteilung zu bilden. Dafür nutzen sie das Kaizen-Prinzip, also die Veränderung in vielen kleinen Schritten. Wenn ein Tool in der Kette ersetzt werden kann, dann spricht nichts dagegen.
5. Konzepte über Technologie: Technologien bauen immer auf dahinterliegenden Konzepten auf. Diese Konzepte sind der eigentliche Wert, der dich weiterbringt. Sobald du dich auf die Konzepte konzentrierst, kannst du die Technologie austauschen, wenn es etwas Besseres für dieses Konzept gibt.
6. Bewährte Praktiken statt der nächsten Sau, die durchs Dorf läuft: Auch wenn das Marketing großer Software-Hersteller und Beratungshäuser etwas anderes suggerieren. Bisher hat es sich für meine Kunden immer ausgezahlt, auf Bewährtes zu setzen und abzuwarten, was der nächste Standard wird. Niemand wird abgehängt, nur weil er nicht zu den Early-Adoptern gehört. Aber viele Early-Adopter zahlen einen hohen Preis dafür, dass sie das vermeintlich neuste und tollste Tool einsetzen. 
7. Pragmatische Ansätze, wo es sinnvoll ist: Pragmatismus ist ein zweischneidiges Schwert. Deshalb setze ich auf pragmatische Lösungen, wo es sinnvoll erscheint. Allerdings immer mit einem Weitblick und einem Fokus auf die Konzepte, damit ich mich nicht in einer Sackgasse wiederfinde.

Die radikal agile Lösung für dein konkretes Problem

SecureFlow: Deine radikal agilen CI-Pipelines

SecureFlow: Deine radikal agilen CI-Pipelines löst gleich mehrere deiner Probleme:

1. Damit dein Team Sicherheitsprobleme frühzeitig und schnell erkennt und behoben werden, basiert sie auf dem Shift-Left Prinzip, darunter auch Shift-Left Security. Frühzeitig heißt: Innerhalb weniger Minuten, lange bevor das Software-Artefakt überhaupt die Test- oder Produktionsstage zu Gesicht bekommen hat.
2. Wenn mal ein log4j-Desaster um die Ecke kommt, kann sich dein Team die betroffenen Systeme dank der mit der Software Supply Chain Security-Methode erfassten Daten schnell einen Überblick verschaffen und einen klaren Schlachtplan entwerfen. Vorbei ist die Zeit, in der dein Team wie verrückt die Informationen zusammenträgt. Damit kannst du und dein Team das nächstenLog4J Desaster entspannt beim ersten Kaffee am Morgen auflösen und sich dann wieder dem Tagesgeschäft widmen.
3. Die Etablierung eines Secure Software Developement Lifecycle ist mit dem richtigen Tooling ein Kinderspiel. Die Pipeline bildet das Rückgrat und das dort genutzte Tooling lässt sich auch auf den Lokalen Entwicklungsumgebungen deiner Entwickler verwenden.

Und das Beste:

Die Pipelines sorgen dafür, dass deine neu entwickelte Software immer auf dem aktuellen Stand ist. Statt Stunden damit zu verschwenden, die Abhängigkeiten aufzulösen bekommt dein Team jeden Morgen automatisiert die neusten Patches als Pull Requests bereitgestellt. So wird das Patch-Management zum Kinderspiel.

Übrigens: Das Patch-Management kann später auch vollautomatisiert werden.

Stell dir noch einmal das log4j-Desaster vor – Allerdings mit den radikal agilen CI-Pipelines im Einsatz!

Stell dir vor, du hast die radikal agilen CI-Pipelines im Einsatz und ein log4j-Desaster kommt um die Ecke. Wie sieht dein Tag dann aus?

09:00 – Du kommst auf der Arbeit an und prüfst deine E-Mails. Drei E-Mails fallen dir ins Auge.

1. Die Erste ist vom BSI: Alarmstufe Rot! 
2. Die Zweite ist automatisch generiert. Der Automatismus hat die Sicherheitslücke bereits erkannt, den Fix automatisiert auf Funktionalität überprüft und als Pull-Request zur Verfügung gestellt.
3. Die dritte E-Mail ist von deinem Team. Sie haben anhand der SBOMs (Software Bills of Material) alle betroffenen Systeme identifiziert und sind nun dabei, nach einem fest definierten und erprobten Vorgehen die Patches einzuspielen und in Produktion auszurollen. Selbstgeschriebene Komponenten erledigt die CI-Pipeline automatisch. Fremdsoftware wird von deinem Team manuell auf Updates überprüft und die Hersteller kontaktiert. Dafür habt ihr pro Fremdsoftware fest definierte Handlungsanweisungen, die aktuell routinemäßig abgespult werden.

10:23 – Die selbst entwickelte Software ist bereits gepatcht und in Produktion. Die meisten Dritthersteller haben bereits reagiert und Patches bereitgestellt, die dein Team gerade ausrollt. Die Krisentelko mit dem gesamten Management hat nur 5 Minuten gedauert. Alle sind instruiert, haben die Infos, die sie brauchen und können ihrem Job nachgehen. Du erinnerst dich an früher: Damals dauerte sowas mehrere Stunden und war am Ende doch ergebnislos. Was für eine Erleichterung!

11:05 – Der Spuk ist vorbei. Alle Systeme sind gepatcht. Um das Restrisiko zu minimieren hat dein Team die nicht gepatchten Systeme temporär vom Netz genommen oder durch geeignete Maßnahmen abgesichert. Alle atmen auf. Das war einfach.

Es wird ein kurzes Postmortem durchgeführt, Learnings generiert und dann geht es normal mit dem Tagesgeschäft weiter.

Klingt das verlockend? So haben mein Team und ich das Thema in den letzten Jahren immer schnell über die Bühne gebracht.

Wie lange dauert es, bis du diese Lösung in der Hand halten kannst?

Wenn du einen typischen Berater damit beauftragst: Wie lange wirst du auf diese Lösung warten?

1 Monat, 2 Monate oder doch eher 6 Monate? Das sind die Zeiträume, die ich in der Vergangenheit bei meinen Kunden erlebt habe.

Wichtig: Wir reden hier von einer fertigen, einsatzfähigen und nachhaltigen Lösung. Kein PoC, kein Spielprojekt.

Rechne mal aus, wie viel dich das Kosten würde: Im Idealfall, wenn genau einer diese Aufgabe wahrnimmt und im Optimalfall einen Monat braucht.

Dann kostet dich das bei einem Tagessatz von 1000 € sage und schreibe 20.000 €. Mindestens!

• Ohne Garantie, dass es am Ende nutzbar und fertig ist. 
• Ohne Garantie, dass es du es nachhaltig ist.
• Ohne Garantie, dass ein geeignetes Tooling verwendet wurde.

Die dann noch nötigen Lizenzkosten sind noch gar nicht eingerechnet.

Stell dir vor, was es dich kostet, wenn ein Sicherheitsvorfall dein Unternehmen lahmlegt. Mehrere Millionen? Oder gleich das gesamte Unternehmen? Schau nur, wie viele Unternehmen durch die Verschlüsselungserpresser versehentlich komplett ruiniert wurden.

Jetzt stell dir vor, ich gebe dir ein Versprechen geben, eine Garantie:

Meine Garantie: SecureFlow innerhalb eines Tages geliefert!

Ich garantiere dir, dass du die Lösung innerhalb eines Tages geliefert bekommst. Für nur 5.000 € Festpreis.

Du glaubst mir nicht? Kein Problem.

Wenn du dich entscheidest, dass das der geeignete Weg für dich sein könnte, dann vereinbaren wir ein 45-minütiges Beratungsgespräch, in dem ich dir die Lösung präsentierte. Danach entscheidest du, ob du dein Sicherheitsrisiko auf diese günstige, einfache und nachhaltige Art lösen möchtest.

Der Ablauf des Termins: 

In dem Beratungsgespräch…

1. schaue ich mir eure bisherige Lösung an.
2. Dann zeige ich dir meine Lösung.
3. Im Anschluss an das Gespräch überlegen wir beide, ob wir ins Geschäft kommen. Du darfst deine Entscheidung gerne nach dem Beratungstermin fällen.

Interessiert?

Dann nimm noch heute Kontakt zu mir auf. Gerne über Telefon, E-Mail oder über das Kontaktformular.

+49 176 83069721

+49 176 83069721

Wie funktioniert das konkret? Der drei Schritte-Plan

Voraussetzungen zur Zusammenarbeit:

• Wir haben das Beratungsgespräch durchgeführt. Ihr habt die Lösung, die ich für euch entwickeln werde, gesehen. Wir haben die ersten Fragen gemeinsam geklärt.
• Dein Team erfüllt die Anforderung, dass es Software/Services auf Basis von Java EE (z.B. Quarkus, Spring Boot) mit dem Build-Tool maven baut.
• Dein Team stellt mir einen von der Fachlichkeit entkernten Blueprint zur Verfügung, der gebaut werden kann und der die verschiedenen von euch eingesetzten Testarten enthält (Unit-Tests, Integrationstests, Systemtests). 
• Ihr habt eine Anzahlung von 50% durchgeführt. Die anderen 50% zahlt ihr, wenn die Lösung fristgerecht geliefert und bei eurem ersten Service funktioniert.
• Ihr nutzt Gitlab CI oder Azure DevOps als Pipeline-Technologie.
• Ihr habt mir drei Terminvorschläge innerhalb der nächsten zwei Wochen geschickt, bei denen wir morgens und abends einen gemeinsamen Termin via Zoom durchführen. Näheres dazu in den unten beschriebenen Phasen.

Der Tag der Durchführung:

01

Kickoff-Termin

Von 09:00 bis 09:45

In dem Termin werde ich letzte Fragen zu eurem Blueprint stellen und wir werden gemeinsam den Build und Test durchführen.

02

Umsetzungszeit

Von 09:45 bis 16:00

Wir erstellen die für euch angepasste, CI-Pipeline, die den Code nimmt, verschiedenste Checks laufen lässt, das Artefakt und alle Nachweise erstellt (z.B. SBOM) und an einer zentralen Stelle ablegt.

03

Übergabe

Von 16:00 – 18:00

Ich übergebe euch die entstandene CI-Pipeline und begleiten euch dabei, es im ersten von euch entwickelten Service einzubauen.

Nach der Durchführung

1. Meine Garantie: Nur wenn ich fristgerecht geliefert habe, stelle ich den zweiten Teil der Rechnung.
2. Wenn ihr in den nächsten Tagen noch Fragen habt, stellt ihr sie mir gerne per E-Mail. Ich schaue dann, dass ich sie so zügig wie möglich, aber maximal bis zum nächsten Arbeitstag beantworte.
3. Ihr gebt mir Feedback und teilt mir eure Erfahrungen mit, damit ich das Produkt weiter verbessern kann. Ihr werdet auch davon profitieren.

Interessiert?

Dann nimm noch heute Kontakt zu mir auf. Gerne über Telefon, E-Mail oder über das Kontaktformular.

+49 176 83069721

+49 176 83069721