:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Compliance Data Protection by Design durch DevOps erreichen
Ein wichtiger Teil der neuen EU-Datenschutzgrundverordnung, kurz DSGVO oder GDPR, ist das Prinzip von „Data Protection by Design“. Datenschutz soll also von Grund auf in Software-Lösungen eingebaut werden. Ist Verschlüsselung vor diesem Hintergrund ein Hemmschuh?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
In den EU-Mitgliedsstaaten möchte man Anwendungsentwickler im Rahmen der EU-DSGVO verpflichten, Sicherheitsmechanismen schon als Grundpfeiler bei der Programmierung von Software zu verankern. Dazu sollen interne Strategien in der jeder Organisation geschaffen werden.
Gleichzeitig wächst aber der Druck, Software-Lösungen müssen immer zügiger Marktreife erlangen. Daher ist DevOps ein wichtiger Begriff in der IT und auch in der IT-Sicherheitsbranche geworden. Bereits 60 Prozent aller Organisationen arbeiten mit entsprechenden Konzepten. Allerdings werden dabei häufig Sicherheitsbedenken zu Lasten der Umsetzungsgeschwindigkeit vergessen.
Durch neue Regularien wie der GDPR ist solche Fahrlässigkeit nicht nur riskant, sondern kann auch rechtlichen Problemen führen. Die Verordnung tritt erst 2018 in Kraft, trotzdem braucht es jetzt schon ein Umdenken. Der Schulterschluss von Softwareentwicklung und IT-Betrieb gilt im Security-Bereich als schwierig.
Man sollte sich aber ein Beispiel an der Formel 1 nehmen. Dort arbeiten Ingenieure an Sicherheitskonzepten, um dem Fahrer schneller fahren zu lassen. Mit dem richtigen DevOps-Konzept schafft die richtige Sicherheit die Grundlage für mehr Geschwindigkeit.
DevOps bringt grundsätzlich drei Vorteile:
- Schnellere Reaktionszeiten, höhere Kundenzufriedenheit und bessere betriebliche Effizienz. Studien zeigen, dass sich die Zeit bis zur Marktreife um 20 Prozent verkürzt.
- Unternehmen müssen die Sicherheit nicht einer beschleunigten Bereitstellung von DevOps opfern.
- Automatisierung, Sichtbarkeit und Integration der Schlüssel- und Zertifikatbereitstellung sorgen für DevOps in Geschäftsgeschwindigkeit.
Leider übersehen DevOps-Ansätze häufig Sicherheitskonzepte wie starke Verschlüsselung oder Authentifizierung. Warum? Sie gelten als zu langsam und aufwendig. Zertifikate und Schlüssel gelten als Flaschenhälse im Bereich DevOps.
Sicherheitsteams messen Service Level Agreements (SLA) in Wochen, Experten im Bereich DevOps erwarten diese aber binnen Minuten und Sekunden. Daher behelfen sie sich mit Workrarounds, stellen eigensignierte Zertifikate für sich selbst aus oder kopieren Schlüssel mehrfach. Dies ist ein gefährlich und kann zu einem Verstoß gegen Compliance-Richtlinien führen.
Die mangelnde Transparenz bei den eingebauten Schlüsseln und Zertifikaten ist ein großes Problem, da Sicherheitsbeauftragte nicht wissen, welche Software vertrauenswürdig ist. 80 Prozent aller CIOs geben an, dass DevOps die Unterscheidung zwischen gut- und bösartig schwieriger macht. Dabei ist die fehlende Sichtbarkeit oder Kontrolle von Schlüsseln und Zertifikaten ein Problem, dass mit der richtigen DevOps-Strategie gelöst werden kann. Dabei sind drei Punkte zu beachten:
Automatisierung von Sicherheit beim Umgang mit Fast-IT
Schnellere Reaktionszeiten bei Marktveränderungen können zwar zu einer Steigerung des Reingewinns beitragen, aber 25 Prozent der App-Kosten versickern für die manuelle Beschaffung von Schlüsseln und Zertifikaten. Dadurch wird auch wertvolle Zeit vergeudet, was sich direkt auf die Projektabwicklungspläne auswirkt. Automatisierungsverfahren zur Erstellung und Verteilung von Keys und Zertifikaten über den Build-Prozess optimieren die Arbeit von DevOps-Teams. Dadurch kann die IT-Sicherheit an die Fast-IT-Praktiken angepasst und die Anzahl der durch manuelle Verfahren potentiell eingeschleusten Schwachstellen gleichzeitig verringert werden.
Schlüssel und Zertifikate monitoren und managen
Kundenzufriedenheit ist ein kontinuierliches Bestreben; der Ausfall eines Dienstes kann die Bewertung von Kundenzufriedenheit abstürzen lassen. Werden die Ablaufdaten der Zertifikate, die für HTTPS-Dienste genutzt werden, nicht verfolgt, kann das zu durchschnittlichen Ausfallkosten von bis zu einer Million US-Dollar pro Stunde führen.
DevOps-Teams sind in der Regel keine PKI-Experten. In den meisten Fällen beschaffen und installieren jedoch DevOps-Teams Zertifikate selbst, und IT-Sicherheitsteams können sie nicht verfolgen, weil sie nichts über sie wissen. Organisationen sollten feststellen können, wo alle Anwendungszertifikate eingesetzt werden. Diese müssen dann von IT-Sicherheitsverantwortlichen verwaltet werden. Dann können sie auf die Zertifikate Richtlinien anwenden und Ablaufdaten nachverfolgen, um Dienstausfälle zu vermeiden und das Kundenvertrauen zu erhalten.
Integration von Schlüsseln und Zertifikaten in DevOps-Builds
Die Verbesserung der betrieblichen Effizienz ist ein Hauptmotiv für DevOps. Bei alten IT-Modellen kann man akzeptieren, 4,5 Stunden in die manuelle Bereitstellung der einzelnen Zertifikate investieren zu müssen. Für New-IT- und DevOps-Teams dauert es jedoch einfach zu lange, ein User Interface zur Beschaffung und Installation von Schlüsseln und Zertifikaten zu nutzen. Sie müssen in der Lage sein, die Bereitstellung von Schlüsseln und Zertifikaten als Teil des automatisierten Build-Prozesses zu integrieren, um innerhalb von Sekunden Tausende von Zertifikaten zu liefern - weniger ist nicht genug.
DevOps-Teams nutzen in der Regel Programmierschnittstellen (APIs). Dies sollte bei der Bereitstellung von Schlüsseln und Zertifikaten bedacht werden, damit dieser Prozess vollständig automatisiert werden kann. APIs sind wichtige Elemente in der Sicherheitsarchitektur. Sicherheitsexperten müssen in der Lage sein, Schlüssel und Zertifikate automatisch durch APIs bereitzustellen.
Fazit
DevOps ist ein wichtiges Thema, um den Vorteil schnellerer Projektabschlusszeiten ohne Beeinträchtigung der Sicherheit nutzen. Mit der Einführung von Kontrollen und Automatisierung für Schlüssel und Zertifikate können Unternehmen sicher bleiben und ihre DevOps gleichzeitig auf Geschäftsgeschwindigkeit halten.
Die Datenschutzgrundverordnung kommt und Organisationen sollten sich Gedanken machen, wie sie Software und Netzwerke besser schützen können. Dabei geht es sowohl um Datensicherheit von Firmengeheimnissen als auch um Datenschutz von Mitarbeitern und Kunden.
DevOps und eine entsprechende Sicherheitsstrategie sind leicht umsetzbare Wege, um Sicherheit und Effizienz zu gewährleisten. Durch entsprechende Lösungen können Unternehmen Sicherheit und Entwicklungsgeschwindigkeit gewährleisten.
* Kevin Bocek ist Vice President of Security Strategy bei Venafi.
(ID:44194841)
:quality(80)/images.vogel.de/vogelonline/bdb/1934600/1934668/original.jpg "Je besser Security und DevOps verzahnt sind, desto schneller können Features bereitgestellt werden. (Alex – stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1917400/1917436/original.jpg "DevSecOps ist eine Erweiterung des DevOps-Konzepts um Sicherheitsaspekte. (gemeinfrei)")