:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Fallstudie der Helvetia-Versicherungen Cloud- und DevSecOps-Umsetzung in der Praxis
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Wie entwickelt man mit dem DevSecOps-Ansatz schnell und sicher Anwendungen für die Kunden? In dieser Fallstudie begleiten die das Versicherungsunternehmen Helvetia auf der Reise Richtung Cloud.
Unternehmen migrieren angesichts mehr Heimarbeit immer mehr Geschäftsanwendungen in die Cloud. Laut einer Umfrage von Google von 2020 sind Multi-Cloud-Lösungen ein wichtiger IT-Trend in diesem Jahr, weil Unternehmen so Anwendungen je nach Bedarf betreiben und skalieren können.
Kundenseitig haben die Anwender ebenfalls höhere Erwartungen, wenn sie online mit Unternehmen in Kontakt treten: Sie wollen schnelle und kompetente Antworten, eine möglichst gute Nutzererfahrung und schnelle Reaktionszeiten der Anwendung. Als internationales Versicherungsunternehmen musste sich auch die Helvetia Gruppe diesen Herausforderungen stellen.
Neben dem Nutzererlebnis wollte Helvetia die Effizienz und Sicherheit der Software-Entwicklung verbessern und Anwendungen schneller auf den Markt bringen. Deshalb entschied sich das Unternehmen für eine tiefgreifende Transformation: Helvetia ließ den traditionellen Softwareentwicklungsprozess zu Gunsten des neuen DevSecOps-Ansatzes hinter sich.
Bei diesem Ansatz wird das Thema Sicherheit von Anfang an in die Anwendungsentwicklung integriert; Entwickler-, Sicherheits- und Betriebsteams sind dafür gemeinsam verantwortlich. Darüber hinaus hatte Helvetia in den letzten Jahren einige andere Unternehmen übernommen – dies hat die Komplexität der IT-Umgebung ebenfalls erhöht.
Aufgrund dieser Übernahmen kommen auch zahlreiche neue Unternehmensanwendungen zum Einsatz. Auch deshalb entschied sich Helvetia für eine Migration in die Cloud und damit für ein neues Sicherheitsmanagement: Helvetia wollte das Thema Sicherheit von Anfang mitdenken und die konkrete Umsetzung möglichst automatisiert gestalten. Für die Umsetzung dieses Projekts entschied sich Helvetia zur Zusammenarbeit mit Snyk, einem Spezialisten für Cloud-native Anwendungssicherheit.
Die konkreten Schritte auf dem Weg in die Cloud
Ulrich Winterer, Information Security Officer bei der Helvetia Gruppe, erklärt, was ihm beim Thema Sicherheit wichtig ist: „Um einen hohen Automatisierungsgrad zu erreichen, war es für uns besonders wichtig, dieses Vorhaben toolbasiert anzugehen. Für mich sind im Bereich Sicherheit nach dem DevSecOps-Ansatz fünf Hauptbereiche relevant, die man adressieren sollte und die durch verschiedene Tools abgedeckt werden können.“
Winterer unterschied dabei zwischen Bedrohungsmodellierung (Threat Modelling, TM), statischer Analyse (SAST), Software Composition Analysis (SCA), dynamischer Analyse (DAST) und Penetrationstests. „Beim Aufbau unserer Container-Plattform war deshalb eine entscheidende Frage, mit welchen Tools wir unsere Ziele und unseren Ansatz am besten umsetzen können."
Als das Helvetia-Team die Reise in die Cloud begann, ließ es auch die eigene umfassende Full-Stack-Entwicklung hinter sich. Selbstentwickelte Software in einer Cloud-Infrastruktur zu hosten, birgt jedoch durchaus gewisse Risiken. Deshalb braucht es einen neuen Sicherheitsansatz. Zuvor verwaltete das Helvetia-Team ihre Anwendungssicherheit manuell und bezog OWASP-Abhängigkeitstests und externe Sicherheitsüberprüfungen mit ein.
Da das Team jedoch viele neue Anwendungen in ihrer Umgebung verwalten musste, erwies sich dieser Prozess als zu langsam. Für die Softwareentwicklung nutzen die Helvetia-Experten Middleware und benötigten deshalb ein Tool, das alle Abhängigkeiten abdeckt. Dabei war es dem Team wichtig, Risiken möglichst früh und automatisiert in der Softwareentwicklung zu erkennen, statt sich auf einen Schutz durch späte Sicherheitstests zu verlassen.
Dazu müssen die Teams automatisiert Berichte erstellen können und benötigen ein entsprechendes Tool. Die Rechtsabteilung von Helvetia hatte außerdem die Anforderung, dass die Lizenznutzung in der Software transparent dargestellt wird. Eine Plattform für die Risikoerkennung sollte außerdem ein automatisiertes Reporting zu Schwachstellen in verwendeten Abhängigkeiten, eine Integration in den Entwicklungszyklus und das Scannen von Code-Abhängigkeiten ermöglichen – und auch Informationen zur Beseitigung dieser Schwachstellen bereitstellen.
Um die Laufzeit- und Entwicklungsumgebungen von Helvetia auf eine Cloud-Infrastruktur zu migrieren, benötigte das Team einen umfassenden Überblick und einen Check für alle Anwendungen, die auf dieser Plattform laufen. Deshalb bewertete Helvetia über 20 Anbieter anhand ihrer vorab festgelegten Kriterien.
Dabei kristallisierte sich heraus, dass umfassende Plattformen wie AWS, OpenShift und Snyk für Helvetia am besten geeignet sind, um ihre Container-Plattform aufzubauen und zu entwickeln. Die Plattform von Snyk entsprach den Anforderungen unter anderem beim Lifecycle-Management und der Lizenzverwaltung am besten. Wichtig war dem Helvetia-Team auch die Unterstützung von Java/Maven, Typescript/NPM, Python und .NET.
Ihre Entwickler sollten das Tool außerdem einfach über eine Kommandozeile (CLI) nutzen und es in ihre IDE IntelliJ integrieren können. Wichtig war auch die Bitbucket-Server-Integration, um Repositories direkt aus Bitbucket zu scannen. Letztendlich war die gesamte CI/CD-Integration („kontinuierliche Automatisierung und Überwachung“) entscheidend, um jede Anwendung zu testen und entsprechende Informationen zu erhalten, wenn eine der internen Anforderungen nicht erfüllt war.
Volle Sicherheit durch automatisierte Prozesse
Durch die DevSecOps-Implementierung erkennt das Helvetia-Team nun automatisiert Lifecycle-Probleme in ihrer selbst geschriebenen Software und nutzt das entsprechende Reporting, um gezielt auf bestimmte Abhängigkeiten hin zu prüfen. Außerdem können die Mitarbeiter verwendete Abhängigkeiten auf einer höheren Abstraktionsebene in ihr Lifecycle-Management-Tool, LeanIX, übertragen. Dadurch können sie die Verwendung von Abhängigkeiten besser verfolgen und auftretende Probleme am Ende des Lebenszyklus einfacher identifizieren.
Traditionell werden bei einer Abnahme Security Audits durchgeführt (Penetrationtests). Diese bringen zwar oft viele wertvolle Erkenntnisse, kostet aber auch Zeit und Geld. Dank Automatisierung können nun einige Aufgaben wesentlich schneller erledigt werden und das Team kann sich auf ausgewählte Bereiche für Penetrationstests und die Prüfung der kritischen Anwendungen konzentrieren.
Das Helvetia-Team hat jetzt auch einen umfassenden Überblick über den aktuellen Status seiner Anwendungen, und die Entwicklerteams können besser bewerten, welche Komponenten von Drittanbietern in ihren Anwendungen enthalten sind. Und genau dadurch sind kontinuierliche Qualität und Sicherheit von Anfang an möglich.
Derzeit nutzt Helvetia neben Snyk Open Source auch die Lösung Snyk Container und deren OpenShift-Integration, um laufende Container-Workloads zu scannen. Da das Helvetia-Team keine Erfahrung mit AWS oder Azure hatte, benötigten sie eine Plattform, die sie über die Aktionen und die Performance ihres Cloud-Anbieters konkret auf dem Laufenden hält.
Wichtig war außerdem, einen Vendor-Lock-in mit einem Cloud-Provider zu vermeiden. Björn Fischer, DevSecOps Engineer bei Helvetia erklärt: „OpenShift bietet uns genau das. Mit OpenShift können wir Container verwalten und Sicherheitsaspekte integrieren, was unserem Unternehmen sehr wichtig ist.“
Die OpenShift-Container-Plattform basiert auf der Kubernetes-Container-Technologie und bietet eine modulare, flexible Infrastruktur für die aktuellen Anwendungen des Versicherungsunternehmens, die von der alten Hardware-Umgebung migriert wurden, sowie für neue, Cloud-native Anwendungen.
Es gibt bereits ein konkretes Beispiel für eine erfolgreiche neue Anwendung: Einen Chatbot, der Versicherungskunden z.B. bei Fahrraddiebstählen hilft, konnte Helvetia deutlich schneller bereitstellen. Von der Entwicklung bis zur Veröffentlichung der App dauerte es nur wenige Monate.
Die Herausforderungen der DevSecOps-Implementierung
Helvetia hat schon viele entscheidende Schritte getan, aber die Reise in die Cloud und der Wandel zu einem DevSecOps-Ansatz ist noch nicht abgeschlossen. Aktuell ist das Helvetia-Team noch dabei, ihre Tools in den neuen DevSecOps-Ansatz zu integrieren und die entsprechenden Prozesse weiter zu verbessern.
Besondere Herausforderungen sind dabei die gewonnenen Erkenntnisse, etwa zu Schwachstellen, an die internen Helvetia-Richtlinien anzupassen und mit False-Positive-Meldungen entsprechend umzugehen. Auch müssen Kolleginnen und Kollegen bei einer solchen Transformation motiviert und auf den Weg mitgenommen werden. In diesem konkreten Fall geht es darum, die DevOps-Teams von der Arbeit mit dem neuen Tool und für die neuen Abläufe zu begeistern.
Wie bei jedem Transformationsprozess braucht auch die Einführung eines DevSecOps-Ansatzes Zeit und bringt auch einige Herausforderungen mit sich. Man könnte es deshalb eher als eine Evolution statt einer Revolution betrachten. Aber ein solcher Prozess ist in vielerlei Hinsicht sehr lohnend, sowohl für Mitarbeiter und Kunden wie auch Unternehmen, die neue Anwendungen dann schnell und sicher bereitstellen können.
* Mathias Conradt ist Senior Solutions Engineer (DACH) bei Snyk.
(ID:47539521)
![Marie Innes: „Mit einem [...] holistischen Ansatz, der die Supply Chain Security in den Mittelpunkt stellt, ist ein Unternehmen bestens für die Container-Nutzung gerüstet.“ (Bild: Red Hat)](https://cdn1.vogel.de/iSNX769w1PwqU9CpT3WxZmH8QM0=/392x392/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/8f/b1/8fb15924728ac426eb7c17cad3fa22c4/0106973381.jpeg "Marie Innes: „Mit einem [...] holistischen Ansatz, der die Supply Chain Security in den Mittelpunkt stellt, ist ein Unternehmen bestens für die Container-Nutzung gerüstet.“ (Bild: Red Hat)")
:quality(80)/p7i.vogel.de/wcms/2f/86/2f865b6ca19375e02aa8b94a94c41174/0108605583.jpeg "Eine DevSecOps-Strategie erfordert einen kompletten Kulturwandel und eine neue Priorisierung von Security innerhalb eines Unternehmens. Es gilt, sich auch auf die Prävention zu konzentrieren, nicht nur auf die Fehlerbehebung. (Bild: svetazi - stock.adobe.com)")