Während der Einsatz von Containern zunimmt, wächst auch die Angriffsfläche. Risiken lauern in der Build- und der Runtime-Phase. Daher ist ein ganzheitlicher Ansatz gefragt, um Container während ihres kompletten Lebenszyklus zuverlässig abzusichern.
Containerisierung erfreut sich immer größerer Beliebtheit. Doch warum lauern genau hier Gefahren?
(Bild: Dall-E / KI-generiert)
Die Vorteile von Containern liegen auf der Hand: Im Vergleich zu virtuellen Maschinen verbrauchen sie erheblich weniger Ressourcen und starten in Sekundenschnelle. Da in einem Container sämtliche Komponenten und Abhängigkeiten einer Applikation gebündelt sind, lassen sich Anwendungen problemlos zwischen verschiedenen Umgebungen verschieben. Unternehmensweite Anpassungen sind jederzeit schnell möglich, indem man ein neues Image verteilt. Container-Technologie eignet sich hervorragend für Microservice-basierte Architekturen und cloudnative Entwicklungen. In Kombination mit DevOps kann sie Prozesse von der Entwicklung bis zur Bereitstellung erheblich beschleunigen.
Doch je weiter der Einsatz von Containern zunimmt, desto stärker rücken diese auch in den Fokus von Cyberkriminellen. Während wir in der Vergangenheit vorwiegend Kryptomining-Vorfälle gesehen haben, sind Unternehmen heute mit einer Vielzahl von Angriffsszenarien konfrontiert. Cyberkriminelle nutzen Container zum Beispiel als Sprungbrett, um in die Unternehmensinfrastruktur vorzudringen, und nachgelagerte Attacken durchzuführen. Gerade containerisierte Legacy-Software und ungeprüfte Open-Source-Komponenten haben ein erhöhtes Risiko für Schwachstellen. Hinzu kommt, dass Container meist noch nicht so gut geschützt sind wie andere Bereiche der IT-Umgebung. Das macht sie zum bevorzugten Ziel für Cyberkriminelle, die am liebsten dort zuschlagen, wo sie mit wenig Aufwand viel erreichen. Was können Unternehmen tun, um Container über ihren gesamten Lebenszyklus hinweg besser abzusichern?
Security-Maßnahmen in der Build-Phase
Die meisten Unternehmen haben heute bereits Prozesse etabliert, um Software während der Entwicklungsphase auf Schwachstellen zu scannen. Trotzdem kann es passieren, dass sich ein ungeprüfter Code in den Container-Image-Build-Prozess einschleicht. Nur selten beginnen Entwickler mit einer neuen Applikation bei null. Sie nutzen häufig Bausteine aus Open-Source-Repositories wie GitHub oder Docker Hub und passen diese individuell an. In der Vergangenheit ist es Cyberkriminellen allerdings schon mehrfach gelungen, sich Zugriff auf die Inhalte der Repositories zu verschaffen. Unternehmen müssen also immer damit rechnen, dass Dateien kompromittiert sein könnten. Wer Container aus der Public Cloud herunterlädt und ungeprüft in den eigenen Cluster pusht, läuft Gefahr, Schadcode einzuschleusen. Neben kontinuierlichen Security-Scans ist es daher wichtig, genau nachzuvollziehen, woher ein Container sowie die darin enthaltenen Komponenten stammen und wer darauf Zugriff hat.
Auch auf Container-Ebene selbst ist ein sorgfältiges Rechtemanagement nach dem Least-Privilege-Prinzip erforderlich. Gerade im Bereich des Monitorings sind zum Beispiel häufig überprivilegierte Container anzutreffen, bei denen die Grenzen zum Host-System verschwimmen. Wenn es Cyberkriminellen gelingt, solche Container zu übernehmen, können sie erheblichen Schaden anrichten. Weitere Risiken sind versehentlich zurückgelassene Geheimnisse in Container-Images, etwa API-Schlüssel oder Tokens, sowie die ungeprüfte Übernahme von Standardeinstellungen. Außerdem müssen Unternehmen auch die Container-Registry schützen. Denn Angriffe auf diesen zentralen Pool zur Image-Speicherung und Bereitstellung könnten zu einer weiten Verbreitung kompromittierter Inhalte führen.
Risiken in der Laufzeit-Phase
Selbst wenn ein Container bis zur Bereitstellung sicher war, heißt das nicht, das er das auch bleibt. Denn die Bedrohungslandschaft verändert sich schnell. Was passiert zum Beispiel, wenn eine neue Schwachstelle veröffentlicht wird? Dann müssen Unternehmen in der Lage sein, zeitnah zu prüfen, ob sie davon betroffen sind. Vielleicht erweist sich auch eine bisher als vertrauenswürdig erachtete Komponente plötzlich als unsicher, oder Cyberkriminelle haben über eine Hintertür Code kompromittiert. Dazu kommt, dass Unternehmen Risiken abwägen, und manchmal auch mit Schwachstellen leben müssen. Bei Legacy-Anwendungen kann es zum Beispiel schwierig sein, eine alte Bibliothek durch eine neue zu ersetzen, weil sonst die Funktionalität aufgrund der vielen Abhängigkeiten beeinträchtigt wird. Umso wichtiger ist es, risikobehaftete Container während der Laufzeit sorgfältig zu überwachen.
So funktioniert Runtime Security
Ein kontinuierliches Monitoring und kontinuierliche Schwachstellen-Scans sind während der Runtime unverzichtbar, um das Risiko für Cyberangriffe auf Container zu mindern. Im ersten Schritt erfolgt eine Inventarisierung: Unternehmen brauchen umfassende Transparenz, welche Komponenten sie in welchem Container und in welcher Umgebung im Einsatz haben. Nur so können sie schnell ermitteln, ob sie von einer neu veröffentlichten Schwachstelle betroffen sind, und die richtigen Stellen patchen.
Kontinuierliches Echtzeit-Monitoring wiederum dient dazu, Anzeichen für Cyberangriffe frühzeitig aufzudecken, und sicherheitsrelevantes Verhalten zu identifizieren. Darunter fallen zum Beispiel Änderungen an den Inhalten laufender Container, Zugriffe aus dem Container auf die Infrastruktur, Remote-Code-Ausführungen oder unerlaubte Dateizugriffe.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Welches Verhalten akzeptabel ist oder nicht, können Unternehmen in Policies definieren. Playbooks ermöglichen es dann, automatisiert Reaktionen zu triggern. So lässt sich zum Beispiel sicherstellen, dass ungeprüfte Container gar nicht erst in einer Kubernetes-Umgebung gestartet werden. Pods, die sich zur Laufzeit verdächtig verhalten, können automatisiert terminiert oder isoliert werden.
Informationen im Zusammenhang betrachten
Für die Angriffserkennung ist es wichtig, die Security-Informationen aus der Container-Umgebung nicht isoliert zu betrachten, sondern in Zusammenhang mit anderen Vektoren der IT-Landschaft zu setzen. So wird zum Beispiel offensichtlich, ob ein Angreifer bereits über die Container-Grenzen hinweg in andere Bereiche vorgedrungen ist, oder ob parallel weitere Angriffe stattfinden. Zur Bewältigung von Sicherheitsvorfällen benötigt das Security-Team jederzeit schnellen Zugriff auf möglichst umfangreiche Daten. Daher empfiehlt es sich, Container Security mithilfe einer ganzheitlichen Plattform umzusetzen, die auch XDR (Extended Detection and Response) ermöglicht. Dazu werden Telemetriedaten aus der gesamten IT-Umgebung gesammelt, analysiert und korreliert. Gleichzeitig vereinfacht ein Plattform-Ansatz, der die wichtigsten Sicherheitsfunktionen bündelt, das Security-Management und reduziert Komplexität.
Fazit
Cyberkriminelle greifen bevorzugt am schwächsten Glied der Kette an. Daher ist es wichtig, sich der Risiken von Container-Umgebungen bewusst zu werden, und diese möglichst umfassend zu adressieren. Kontinuierliche Security-Scans, Echtzeitmonitoring während der Run-Phase sowie eine Absicherung der Registry sind dafür Pflicht. Eine integrierte Sicherheitsplattform ermöglicht es, Container Security effizient umzusetzen, und in ein ganzheitliches Security-Konzept einzubinden.
*Der Autor Richard Werner, Security Advisor bei Trend Micro.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/94/d5947c5498ec72f1344c4f900c360d81/0129222277v2.jpeg "Standardisierte Vorlagen schaffen einheitliche Compliance-Abläufe, reduzieren Fehler und verkürzen Audits messbar. (Bild: © Pixels Hunter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:quality(80)/p7i.vogel.de/wcms/0e/45/0e4529642f3eaa1842f94914597483f9/0125189372v2.jpeg "Container-Sicherheit hat die Absicherung containerisierter Anwendungen und ihrer Infrastruktur zum Ziel. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/36/3036cc4341d97f6199ebf92562a18782/0127561631v2.jpeg "Mit Tools wie Clair, Syft, Grype und Docker Bench for Security lassen sich Container-Images, Abhängigkeiten und Hostsysteme durchgängig auf Schwachstellen prüfen. (Bild: © Sergey Novikov - stock.adobe.com)")