Wie wir die Entwicklung und Auslieferung von Avantra absichern

Als wir das erste Mal auf den Angriff auf die Software-Supply-Chain stießen, der aufgrund seiner weitreichenden Auswirkungen kürzlich umfangreiche Berichterstattung erhielt, haben wir uns natürlich zuerst gefragt, ob dies etwas ist, das auch uns passieren könnte. Wenn Sicherheitsprobleme mit noch nie dagewesenen Auswirkungen auftauchen, ist es ganz natürlich, dass man sich die aufgedeckte Schwachstelle genauer ansieht. Nichtsdestotrotz muss Sicherheit als ganzheitliches Konzept gesehen werden, wobei die Gesamtsicherheit nur so stark ist wie das schwächste Glied in der Kette.

Avantra verwendet Full-Stack Automation zur Verwaltung von SAP-Landschaften, die oft sehr kritische Komponenten in Unternehmen sind. Kurz nach dem Angriff kam die Frage auf, ob wir diesbezüglich eine Stellungnahme abgeben wollen. Wir haben uns dagegen entschieden, um nicht auf Kosten der Leidtragenden Aufmerksamkeit erregen.

Dennoch stellen Avantra-Kunden scheinbar immer wieder dieselben Fragen. Und da viele unserer Kunden Managed Service Provider sind, stellen auch deren Kunden immer wieder diese Fragen. Deshalb möchten wir in diesem Artikel den gesamten Sicherheitsansatz von Avantra beschreiben - von der Entwicklung bis zur Auslieferung.

ISO 27001 - Information Security Management

Den größten Teil des Jahres 2020 haben wir der Implementierung eines Informationssicherheits-Managementsystems gemäß dem ISO/IEC 27001 Standard gewidmet, um von den darin enthaltenen Best Practices zu profitieren. Und wir haben uns entschieden, unseren Kunden zu versichern, dass wir die Empfehlungen des Standards befolgen, indem wir uns im November 2020 haben zertifizieren lassen.

Einer der wahrscheinlich nicht so bekannten Aspekte der ISO 27001 ist, dass sie die Einbindung der obersten Führungsebene einer Organisation erfordert. Bei Avantra sind insgesamt als drei Mitglieder des Führungsteams an der Umsetzung des ISMS beteiligt. Ein weiterer wichtiger Aspekt ist, dass ein Prozess zur kontinuierlichen Verbesserung eingebaut ist: Wir entwickeln das System ständig weiter.  Es ist eine große Erleichterung, wenn man weiß, dass eine bekannte Sicherheitslücke nicht ausgenutzt werden kann, aber um für morgen gerüstet zu sein, muss man sich ständig verbessern!

Während das ISMS viele Aspekte abdeckt, spielt die so genannte Secure Software Development Policy eine besonders wichtige Rolle. Sie soll absichern, dass wir Code so entwickeln, dass die Sicherheit von Kunden und Unternehmen gewahrt bleibt, und dass dieser Code angemessen getestet und validiert wurde, bevor er in einer Produktionsumgebung eingesetzt und an Kunden veröffentlicht wird. Die wichtigsten Bestandteile sind:

Risikobewertung: Für jede neue Funktion und für jede größere Softwareversion bewerten und kontrollieren wir das Risiko für Vertraulichkeit, Integrität und Verfügbarkeit. Es ist ein integraler Teil davon, wie die Teams ihre Entwicklungsarbeit organisieren, und es ist mit dem ISMS-Team verknüpft: Wenn wir ein Risiko identifizieren, wird es nachverfolgt und regelmäßig überprüft, bis es entschärft ist.

Code-Integrität: Wir führen Code-Reviews durch, um sicherzustellen, dass potenzielle Schwachstellen in der Codierung identifiziert werden. Durch die Verwendung von Merge Requests und einem erzwungenen Genehmigungsprozess können wir sicherstellen, dass keine Codezeile in das Produkt aufgenommen wird, die nicht von einem separaten (leitenden) Entwickler überprüft wurde. Dieser Prozess wird von einer automatischen Code-Analyse für die häufigsten Schwachstellen begleitet, die auf Branchenstandards wie OWASP, SANS CWE und CERT Secure Coding basiert. Ebenso wird jede Bibliothek von Drittanbietern, die wir in das Produkt integrieren, auf bekannte Schwachstellen überprüft.

Versionierung: Hilft uns, sicherzustellen, dass nur gewünschte Versionen des Codes getestet, eingesetzt und ausgeliefert werden. Wir verwenden ein Versionskontrollsystem (git), um jede Codezeile zu verfolgen, und wir vergeben Versionsnummern für jedes Release, das von der automatisierten Build-Umgebung (oder CI/CD) erstellt wird.

Sicherheitstests: Stellen sicher, dass Best Practices bei der Konzeption und Entwicklung vollständig berücksichtigt und Bedrohungen entschärft wurden. In diesen Bereich haben wir in der zweiten Jahreshälfte 2020 massiv investiert, und die Bemühungen reichen bis weit ins Jahr 2021 hinein. Automatisierte Tests auf bekannte Schwachstellen werden von regelmäßigen manuellen Penetrationstests begleitet, die von externen Parteien durchgeführt werden. Und natürlich sind die Sicherheitstests mit der anfänglichen Risikobewertung verknüpft, wobei Funktionen mit hohem Risiko durch spezielle Penetrationstests entschärft werden. Wie bereits oben erwähnt muss die Sicherheit in einer integrierten Art und Weise gewährleistet werden, und somit gibt es noch andere Bereiche, die direkt oder indirekt an der Bereitstellung von sicherer Software beteiligt sind:

Zugangsmanagement: Der Zugriff auf alle Avantra-Ressourcen und -Daten erfolgt nach dem Least-Privilege-Prinzip. Dazu gehören natürlich das Quellcode-Repository, die Build-Systeme und die Software-Auslieferung. Nur das Build-System und die leitenden Entwickler sind in der Lage, Releases in den Download-Bereich zu schieben. Und nur Avantra-Kunden haben Zugriff auf den Download-Bereich. Alle Zugriffsberechtigungen werden regelmäßig verifiziert und überprüft.

Netzwerksicherheit: Unsere Produktionsumgebung ist natürlich in erster Linie auf die Auslieferung der Software ausgerichtet. Sie wird von allen Entwicklungssystemen getrennt gehalten, wobei nur begrenzter und kontrollierter Verkehr zwischen den Umgebungen erlaubt ist. Unsere Build-Umgebung ist vom Internet aus überhaupt nicht zugänglich.

Change Management: Alle unsere Produktionsumgebungen und insbesondere das Build-System stehen unter Änderungskontrolle. Wie beim Quellcode selbst verlangen wir für jede Änderung der Build-System-Konfiguration ein Vier-Augen-Prinzip. Heißt das, dass wir garantieren können, dass Supply-Chain-Angriffe unmöglich sind? In der IT-Sicherheit sollte man nie "nie" sagen. Wir können jedoch Sicherheitsrisiken bewerten und kontrollieren. Und von unabhängigen Dritten überprüfen und zertifizieren zu lassen, dass wir tun, was wir sagen. Damit liegt die Messlatte hoch. Sehr hoch.

Wo wir gerade beim Thema Sicherheit sind: Eine der primären Schnittstellen, die Avantra zur Anbindung an SAP-Systeme nutzt, wird mit einem ABAP-Transport ausgeliefert. Alles, was dort eingebaut ist, ist auch nach dem Least-Privilege-Prinzip konzipiert! Und keine der Avantra-Komponenten benötigt Root-Rechte um zu funktionieren. Abonnieren Sie unseren Blog, um Artikel, die Sie unbedingt lesen müssen, direkt in Ihren Posteingang zu bekommen und finden Sie weitere Details in unserem Security White Paper!