Vor einer Woche war die Softwerkskammer Lübeck zu Gast bei checkdomain. 28 Softwerker kamen in unseren Räumlichkeiten im Herzen Lübecks zusammen um sich mit dem Thema Cybersecurity in Theorie und Praxis auseinanderzusetzen.
Die Softwerkskammer ist eine Community, über die sich im deutschsprachigen Raum Interessierte zum Thema Software Craftsmanship zusammenfinden, austauschen und eben auch Veranstaltungen organisieren. Bisher hatten wir nur als Teilnehmer an Vorträgen, Wissensaustausch und Coding-Katas der lokalen Community in Lübeck teilgenommen und haben immer viel für uns mitnehmen können. Willkommen ist in Lübeck jeder, egal ob unerfahrener Hobbyprogrammierer, Student, erfahrener Software-Entwickler oder Manager.
Bereits bei unserer ersten Teilnahme entstand die Idee, selber einen solchen Meetup der Softwerkskammer zu organisieren. Die Themenfindung gestaltete sich aufgrund der unterschiedlichen technischen Backgrounds und Erfahrungslevel der Teilnehmer nicht einfach. Im regen Austausch mit den Organisatoren entschieden wir uns schließlich für das Thema Cybersecurity. Offensichtlich eine gute Wahl, da die über Meetup angekündigte Veranstaltung innerhalb von wenigen Stunden ausgebucht war.
Hier nun aber zum spannenden Teil – den Themen des Abends:
Inhaltsverzeichnis:
Cyber Security & Cyber Crime (Martin Abraham, Entwickler bei checkdomain
Die Zeiten, als noch ohne tiefgreifendes Motiv Viren entwickelt wurden, sind lange vorbei. Cybercrime ist heutzutage ein lukratives Geschäft für die Organisierte Kriminalität. Das belegen immer wieder erfolgreiche Angriffe auf Applikationen großer Unternehmen wie Sony, Yahoo, Twitter, Facebook und Co. Cybercrime verursacht jährlich einen Schaden von ca. 350 Mrd. € für die globale Wirtschaft, was 0,5% des Weltbruttosozialprodukts entspricht. Zum Vergleich: Der jährliche Schaden, der durch Drogenhandel entsteht, wird auf 600 Mrd. € geschätzt. Über 250.000 neue Malware-Varianten werden täglich gefunden. Durch die immer weitreichendere digitale Transformation müssen sich immer mehr Branchen mit Cybersecurity befassen.
Interessant ist, dass laut Verizon 71% aller erfolgreichen Cyber-Attacken in Unternehmen mit weniger als 100 Mitarbeitern erfolgen. Hier ist die Innovationskraft besonders groß und gleichzeitig ist Security meist nicht fest in Unternehmensprozesse verankert. 40% aller erfolgreichen Angriffe erfolgen über Webapplikationen.
Top Ten OWASP Sicherheitsrisiken
Glücklicherweise gibt es das Open Web Applikation Security Project (OWASP). OWASP ist eine Non-Profit Organisation, welche die Sicherheit von Diensten und Anwendungen im WWW verbessern möchte. Seit 2003 wird mit der OWASP Top 10 eine Liste der aktuell bedeutendsten Sicherheitslücken in Webapplikationen öffentlicht, die jeder Entwickler verinnerlicht haben sollte.
Security @ Dräger (Steffen Kaempke, Product security Engineer bei Dräger
Die Digitale Transformation macht auch vor der Medizintechnik-Branche nicht halt. Medizinische Geräte (z.B. Anesthesiegerät) sind heutzutage vielfältig vernetzt. Neben den Vorteilen befasst sich das Unternehmen aber auch mit den Risiken. Mit dem Security Development Lifecyle hat Dräger intern einen Prozess etabliert, der versucht Risiken zu minimieren. Dräger setzt dabei auf Produktsicherheitstrainings, einen weltweit einheitlichen Anforderungskatalog, iterative Bedrohungsanalysen, ein Regelwerk zur sicheren Softwareentwicklung, Pair-Programming, automatische Codeanalyse, Penetration Tests und kurze Reaktionszeiten bei Bekanntwerden von Sicherheitslücken.
Hack the Juice Shop
Im Anschluss an den theoretischen Teil wurden die Teilnehmer selbst zu Hackern. In Zweiergruppen wurden Sicherheitslücken in der Webanwendung OWASP Juice Shop aufgespürt und ausgenutzt. Der OWASP Juice Shop ist eine speziell für Security Trainings entwickelte Webapplikation und für alle Sicherheitsrisiken der OWASP Top 10 anfällig. Mehr als 30 Angriffsszenarien kann man im Juice Shop ausprobieren. Die erste Challenge „Finde das versteckte Score-Board“ war schnell gelöst. Die dunkle Seite der Macht hat die Teilnehmer sehr gefesselt. Der zeitliche Rahmen von 2 Stunden war schnell überschritten und viele einfache und schwierige Challenges wurden gelöst und den anderen vorgestellt.
So viel Hacken macht hungrig und durstig (180 Schnittchen, 29 Fritz Limos, 21 Club Mate und 10 Jever). Nach etwa 4 Stunden beendeten wir einen rundum gelungenen Abend.
Danke an Thilko Richter für die Hilfe bei der Organisation und an Steffen Kaempke für seinen spannenden Vortrag „Security @ Draeger“. Wir freuen uns auf das nächste Meeting der Softwerkskammer!
