Mitunter klafft eine Sicherheits-Lücke, wenn die IT-Abteilung interne Prozesse überwacht, während der Cloud Provider lediglich die Infrastruktur abdeckt, nicht aber die spezifischen Applikationen, die unternehmenseigenen Datenbanken und Kundenportale verbinden.
Die Sicherheitslücke „Application Security Gap“ entspringt einem Abgrenzungsproblem bei den Zuständigkeiten zwischen der hausinternen IT-Abteilung und den eingesetzten Cloud-Providern.
(Bild: Midjourney / KI-generiert)
Das „Application Security Gap“ (ASG) ist mancherorts ein blinder Fleck in der IT-Sicherheitslandschaft. Andreas Mihm, Director Cloud Solution Architecture bei Diva-e Conclusion, spricht von einer „deutlichen Lücke“ in der Security-Überwachung, die im Grunde aus einem Zuständigkeitsproblem heraus entsteht und häufig nicht erkannt wird.
Wer ist verantwortlich?
Andreas Mihm, Director Cloud Solution Architecture, Diva-e Conclusion
(Bild: Diva-e Conclusion)
Die hauseigene IT-Abteilung kann zwar interne Prozesse überwachen, ein cloud-basiertes Kundenportal oder einen Onlineshop beispielsweise hingegen nicht. Der Cloud Provider wiederum überwacht zwar die Infrastruktur seiner Clouds, nicht jedoch die Applikation, die diese mit den unternehmensinternen Prozessen und Datenbanken verbindet. Eine Sicherheitslücke, die sogenannte „Application Security Gap“, entsteht. Und da die meisten Unternehmen mittlerweile cloud-basierte Applikationen einsetzen, sind sie dieser potenziellen Gefahr ausgesetzt. Eine digitale Flanke, durch die sich Angreifer fast ungehindert Zutritt verschaffen können.
Praxisbeispiel
Mihm veranschaulicht die Problematik mit einem Praxisbeispiel, nämlich den im April dieses Jahres bekannt gewordenen Cyberangriff auf das britische Unternehmen Marks & Spencer, das den Mode- und Lebensmittelkonzern teuer zu stehen gekommen sei. Der Angriffsweg verlief demnach über manipulierte Login-Zugangsdaten bei einem Helpdesk-Dienstleister. Auch das ist eine klassische Application Security Gap.
Ärger durch Umsatzausfall
Allein der Wegfall des Online-Geschäfts durch die Stilllegung sämtlicher digitaler Bestellwege, die mehrere Monate andauerte, sorgte für immense finanzielle Einbußen im operativen Geschäft. Dazu kommt ein erheblicher Imageschaden, da auch persönliche Kundendaten gestohlen wurden.
Die Auswirkungen dieses Hacker-Angriffs auf alle Unternehmensbereiche waren immens: Filialen mussten auf manuelle Prozesse zurückgreifen, ganz „altmodisch“ auf Stift und Papier, die logistischen Kosten stiegen und sogar die Lebensmittel wurden zum Teil knapp, beschreibt der Cloud-Solution-Architekt.
Fluch und Segen der Arbeitsteilung
Mihm führt aus, dass in modernen IT-Landschaften eine strikte Arbeitsteilung zwischen Entwicklung, Betrieb, Infrastruktur und Sicherheit herrscht. Dieses Modell steigere zwar Effizienz und Spezialisierung, führe jedoch häufig zu unklaren Verantwortlichkeiten. Besonders problematisch sei dies bei Cloud-nativen Applikationen zu sehen: „Die Infrastruktur wird vom Provider überwacht, die Businesslogik liegt bei den Entwicklern, und das Monitoring – wenn überhaupt vorhanden – konzentriert sich häufig auf technische Metriken wie CPU-Auslastung oder Verfügbarkeit, nicht jedoch auf sicherheitsrelevante Aspekte“, bringt es der Manager auf den Punkt.
Die Tücke des Application Security Gap
Die Application Security Gap sei deshalb so tückisch, weil sie weder durch klassische Firewalls noch durch gängige Intrusion Detection Systeme zuverlässig erkannt wird, beschreibt Mihm. Viele IT-Verantwortliche würden sich demnach auf eine zertifizierte Cloud-Infrastruktur verlassen und dabei verkennen, dass Applikationssicherheit explizit nicht Bestandteil vieler Cloud-Service-Level-Vereinbarungen ist. „Besonders gefährlich ist die Kombination aus fehlendem Wissen über die ASG, den auf mehrere Personen verteilten Verantwortlichkeiten und fehlenden Sicherheitsmaßnahmen in der DevOps-Pipeline“, so Mihm. Letzteres bezieht sich auf das Fehlen oder die unzureichende Implementierung von Sicherheitsmechanismen während des gesamten Lebenszyklus der Softwareentwicklung, insbesondere in automatisierten Continuous Integration beziehungsweise Continuous Deployment (CI/CD)-Pipelines, wie sie in DevOps-Prozessen typisch sind.
Eine Frage der Verantwortlichkeiten
Doch wie kann ein IT-Dienstleister die Abgrenzung und Verantwortlichkeiten zwischen der internen IT-Abteilung eines Unternehmens und externen Cloud Providern bei der Überwachung von Anwendungen klar definieren?
Laut dem Cloud-Spezialisten übernimmt bei der Implementierung einer Anwendung der IT-Dienstleister typischerweise immer die Aufgabe, die Anforderungen und Rahmenbedingungen des Kunden mit den Features und Services eines SaaS- oder Cloud Providers in Einklang zu bringen. Damit sei er geradezu prädestiniert, die Abgrenzung der Verantwortlichkeiten für die Sicherheit der Systemarchitektur einer Anwendung klar zu definieren, denn er wisse exakt – so Mihm –, welche Security-Features die SaaS- oder Cloud-Plattform bietet und er kenne auch die Security-Anforderungen und Aufgabenbereiche der internen IT-Abteilung.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Hintergrund
Shadow-IT: die stille Bedrohung
In vielen Unternehmen entsteht eine weitere Gefahr von Sicherheitslücken an einer ganz anderen Stelle, als man sie vermuten mag: bei den Mitarbeitenden. Unter dem Stichwort ShadowIT („SchattenIT“) versteht man alle IT-Systeme, CloudDienste, SoftwareTools oder Geräte, die Mitarbeitende in einem Unternehmen nutzen, ohne dass diese durch die IT-Abteilung oder Geschäftsführung freigegeben wurden. ShadowIT entsteht meist aus gutem Willen, etwa um Prozesse zu beschleunigen, komplexe Genehmigungswege zu umgehen oder Arbeitsabläufe besser an die eigenen Anforderungen anzupassen. Doch ein scheinbar harmloser, nicht autorisierter Download, von dem die interne IT-Abteilung keine Kenntnis hat, kann schnell zu finanziell und rechtlich riskanten Situationen führen, und entstehende Sicherheitslücken werden durch die fehlende Überwachung nicht rechtzeitig erkannt.
Sicherheitsstrategie anpassen
Doch welche Schritte sind konkret notwendig, um bestehende Sicherheitskonzepte zu modernisieren und effektiv gegen Application Security Gaps vorzugehen? Mihm schöpft aus der Erfahrung aus dem Projektgeschäft und empfiehlt seinen Kunden die folgenden Schritte, um ein Sicherheitskonzept für eine Anwendung zu erstellen. Es reicht von der Entwicklung bis zur kontinuierlichen Security-Operations:
Security Best Practices in der Entwicklung sicherstellen,
Bedrohungslage für die jeweilige Applikation analysieren,
Security Alerts und Response Plans einrichten und testen,
Dauerhafte Security Operations und Reporting für jede Applikation etablieren.
Bestandsaufnahme und Analyse
Die Security-Analyse in cloud-basierten Anwendungen führt Diva-e Conclusion bei Kunden immer in zwei Schritten aus, verrät Mihm.
Schritt 1 prüft die Verwendung von Security-Best-Practices in der Entwicklung und Konfiguration der Anwendung. Dabei werden die eingesetzten Technologien in einzelnen Reviews auf den Prüfstand gestellt, also beispielsweise in einem Secure Frontend Review, einem Secure Azure Review, in einem Secure Salesforce Review et cetera.
Schritt 2 führt ein Threat Modelling durch und erfasst dabei die Bedrohungslage der Anwendung über die Gesamtarchitektur hinweg. Dabei werden auch Threats erfasst, die nicht durch Codeänderungen abgeschwächt werden können, sondern durch Monitoring, Threat Hunting und Prepared Reponses.
Hintergrund
Der Experte
Andreas Mihm, Director Cloud Solution Architecture bei Diva-e Conclusion, ist seit 25 Jahren im Aufbau digitaler Geschäftsmodelle tätig und Experte für Cybersecurity-Lösungen. Er leitet das Application Security Team bei Diva-e Conclusion und ist unter anderem für die Entwicklung und Umsetzung von Sicherheitsstrategien für digitale Plattformen und Cloud-Technologien verantwortlich.
Fazit: Die Application Security Gap ist beherrschbar
„Die Application Security Gap und die Risiken von Cloud-Lösungen sind nicht zu unterschätzende strukturelle Schwachstellen – aber sie sind kein unausweichliches Schicksal“, zieht Mihm Fazit. Entscheidend sei nicht die Größe des Unternehmens, sondern das Bewusstsein, dass Applikationen und Cloud-Lösungen heute die primäre Angriffsebene sind – und damit im Zentrum jeder IT-Sicherheitsstrategie stehen müssen. Das grundsätzliche Zuständigkeitsproblem und damit die Lücke zwischen Cloud-Anbieter und Unternehmen muss seiner Ansicht nach stärker ins Blickfeld genommen werden. Mihm fügt hinzu: „Bei Themen wie Shadow-IT und dem Erteilen von Zugriffsrechten, beispielsweise auf in der Cloud ablegte Dokumente, sollten auch die Mitarbeitenden einbezogen und entsprechend sensibilisiert werden.“
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:quality(80)/p7i.vogel.de/wcms/77/12/77121080c64b9e12202e2df5f5ec46cb/0128017720v2.jpeg "NIS 2 verankert Verantwortung im Management und verschärft Meldepflichten. Wir zeigen sechs typische Fehler von Geltungsbereich bis Lieferketten- und Incident-Readiness. (Bild: © FARIHA - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/55/f0557d0c8b5e93a2a0ccb175b3da1b10/0123683730v2.jpeg "Ein wesentliches Problem bei der Auslagerung von IT-Dienstleistungen ist, dass Unternehmen sich in erster Linie auf Funktionalität und Kosteneffizienz konzentrieren, während Cybersicherheitsanforderungen oft nur am Rande berücksichtigt werden. (Bild: deagreez - stock.adobe.com)")