:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheit für DevOps-Prozesse DevOps zu DevSecOps weiterentwickeln
Immer mehr Unternehmen nutzen DevOps-Modelle für die flexiblere und effizientere Bereitstellung von Applikationen. DevOps bildet dabei die Basis für eine kürzere Time-to-Market, eine bessere Produktqualität und höhere Kundenzufriedenheit, birgt aber auch erhebliche Sicherheitsrisiken in sich. DevOps muss deshalb zu DevSecOps weiterentwickelt werden.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
Die Digitale Transformation, die eine hohe Agilität erfordert, ist ein maßgeblicher Treiber für die verstärkte Nutzung von DevOps-Umgebungen. DevOps bietet eine beschleunigte Innovation, höhere Flexibilität und reduzierte Komplexität bei Applikationsentwicklung und -bereitstellung. Mit DevOps-Implementierungen wollen Unternehmen deshalb primär Business-Vorteile in und mit der IT realisieren. Sie vernachlässigen dabei aber zu häufig das Thema Sicherheit – ein fataler Fehler, denn gerade durch DevOps erweitert sich die Angriffsfläche für Cyber-Attacken erheblich, allein schon, weil mehr privilegierte Accounts und Zugangsdaten generiert und über vernetzte Systeme hinweg geteilt werden.
Die zusätzlich verwendeten privilegierten Zugangsdaten, die mit Personen, Services oder Applikationen verbunden sind, stellen unweigerlich ein lukratives Ziel für Angreifer dar. Zu solchen – bisher vielfach nur unzureichend berücksichtigten und gesicherten – Zugangsdaten gehören etwa Service-Accounts, Encryption-, API- und SSH-Keys, Secrets von Containern oder eingebettete Passwörter in Programm-Code, der häufig auch in zentralen Repositories liegt. In der Hand eines externen Angreifers oder böswilligen Insiders stellen diese privilegierten vertraulichen Zugangsdaten eine erhebliche Gefahr dar, da sie eine vollständige Kontrolle über die gesamte IT-Infrastruktur eines Unternehmens ermöglichen.
:quality(80)/images.vogel.de/vogelonline/bdb/1442200/1442270/original.jpg "Die Secrets-Management-Lösung CyberArk Conjur ermöglicht DevOps-Teams die automatische Verwaltung und Sicherung von vertraulichen Zugangsdaten, die in einer DevOps-Pipeline eingesetzt werden. CyberArk Conjur ist integriert mit allen gängigen Anwendungen in der DevOps-Toolchain.")
:quality(80)/images.vogel.de/vogelonline/bdb/1442200/1442271/original.jpg "Privileged-Access- und Security-Strategien müssen unternehmensweit über alle Plattformen und Applikationen hinweg umgesetzt werden.")
Problematisch ist auch, dass in DevOps-Projekten zunehmend Cloud-Orchestrierungs- und Automationstools genutzt werden, die das Sicherheitsrisiko für Unternehmen zusätzlich erhöhen. Die vor Kurzem von CyberArk durchgeführte Studie „Global Advanced Threat Landscape Report 2018: Focus on DevOps“ hat ergeben, dass 72 Prozent der befragten deutschen Unternehmen beim Einsatz von Cloud-Tools auf die Sicherheitsmaßnahmen des Cloud-Anbieters vertrauen. Das heißt im Umkehrschluss, in diesen Fällen wird die Sicherung privilegierter Accounts für die Cloud-Umgebung nicht vollständig mit den eigenen DevOps-Prozessen integriert – somit besteht ein weiteres Sicherheitsrisiko – sowohl wegen der einzelnen Inseln, die nicht miteinander verzahnt sind, als auch durch unklare Sicherheitsmechanismen in diesen Tools.
Verwaltung und Sicherung von vertraulichen Zugangsdaten
Immer noch adressieren viele Unternehmen Sicherheitsschwachstellen erst nach einem nicht bestandenen Audit oder – weit folgenreicher – erst nach einem schwerwiegenden Sicherheitsvorfall.
Angesichts der immensen Gefahren ist dies definitiv der falsche Weg. Nur ein proaktives Vorgehen mit bewährten Sicherheitssystemen und Praktiken, die den gesamten Applikations- und Betriebs-Lifecycle abdecken, kann Schwachstellen wirkungsvoll beseitigen und Risiken minimieren. Der DevOps-Ansatz muss somit zu einem DevSecOps-Ansatz weiterentwickelt werden.
Unverzichtbares Element einer Best-Practice-Strategie, die DevOps auf die DevSecOps-Ebene hebt, ist die ganzheitliche Adressierung von Sicherheitsherausforderungen und potenziellen Sicherheitslücken. Von elementarer Bedeutung ist dabei die Sicherung der administrativen Konsolen für DevOps-Tools und Cloud-Dienste sowie der Zugangsdaten, die in Skripten für die Automatisierung der CI- und CD-Pipeline und der DevOps-Tools genutzt werden. Selbstverständlich müssen auch alle Zugangsdaten, die von Applikationen und generell in der Entwicklungsumgebung verwendet werden, adäquat gesichert sein. Der Schutz aller von Maschinen, Systemen und Menschen genutzten Zugangsdaten sollte in einem hochverfügbaren und sicheren Speichersystem (Vault) erfolgen. Prinzipiell ist eine ganzheitliche Vorgehensweise allein schon deshalb erforderlich, weil ein Angreifer lediglich eine einzige Schwachstelle benötigt, um erfolgreich zu sein. Infolgedessen muss ein Unternehmen auch nicht nur einige, sondern alle Schwachstellen eliminieren.
Minimierung manueller Tätigkeiten durch Automatisierung
DevOps-Teams nutzen Automatisierung für die Beschleunigung des Application-Lifecycle-Managements. CI- und CD-Tools etwa helfen Unternehmen, Applikationen automatisch von der Entwicklungs- über die Integrations- bis zur Produktionsebene zu führen. DevOps-Teams sollten auch in Sachen Sicherheit einen vergleichbaren Ansatz wählen, also mit Automatisierung die Sicherheit verbessern, zeitaufwendige und fehlerbehaftete manuelle Tätigkeiten minimieren und Barrieren in der Applikationsentwicklung und -bereitstellung beseitigen.
Solange sich beispielweise die Sicherheits-Policy einer Applikation nicht ändert und keine neuen Privilegien erforderlich sind, besteht auch keine Notwendigkeit, IT-Mitarbeiter in Upgrade-Prozesse zu involvieren. Indem gewisse Security-Aufgaben in die CI-Pipeline integriert werden – zum Beispiel das Scannen von Bibliotheken und Runtimes von Drittanbietern auf allgemeine Schwachstellen, das Überprüfen von Applikations-Code auf Sicherheitslücken oder die Durchführung von Penetrationstests – kann ein Unternehmen Prozesse und Updates automatisieren, Risiken minimieren und gleichzeitig Kosten verringern.
Generell reduzieren automatisierte Sicherheitsverfahren Schwachstellen und Risiken. Mit der regelmäßigen, automatischen Rotation von Zugangsdaten wie Passwörtern, Schlüsseln oder Zertifikaten können Unternehmen zudem verhindern, dass Angreifer Zugriff auf DevOps-Tools, Zugangsschlüssel oder Systeme erhalten.
Sicherheitsplus durch Nutzung neuer Technologien
Es mag widersprüchlich erscheinen, aber auch schon die Einführung neuer Technologien kann die Sicherheit erhöhen. Ein Beispiel sind die in DevOps-Umgebungen genutzten Microservices-Architekturen. Bei monolithischen Applikationen kann es Tage oder sogar Wochen dauern, bis ein IT-Team Tausende von Lines of Code analysiert hat, um potenzielle Schwachstellen zu identifizieren. Durch die Dekonstruktion großer Applikationen und die Konzeption kleinerer Microservices können Unternehmen hingegen Code-Reviews vereinfachen und damit auch schneller Gefahren reduzieren.
Auch die disruptive Serverless-Technologie besitzt ein erhebliches Potenzial für die drastische Verbesserung der Sicherheit. Entwickler arbeiten bei VMs oder Containern sehr nah am Betriebssystem und damit in einem sicherheitskritischen Bereich. In einem Serverless- oder Function-as-a-Service (FaaS)-Modell hingegen haben sie keinen direkten Zugriff auf Betriebssystem oder Runtime und damit auch nicht die Möglichkeit, in diesen sicherheitsrelevanten Umgebungen Änderungen vorzunehmen.
Unternehmen aller Branchen nutzen aktuell verstärkt DevOps-Modelle, um die Digitale Transformation voranzutreiben und die Business-Performance zu verbessern. Die Sicherheit darf dabei allerdings nicht auf der Strecke bleiben. DevOps benötigt einen eigenen Security-Stack, das heißt, DevOps- und Security-Tools und Practices müssen miteinander integriert werden, um einen effizienten Cyber-Schutz zu etablieren. Mit einem Wort: DevSecOps lautet das Gebot der Stunde.
Über den Autor: Michael Kleist ist Regional Director DACH bei CyberArk in Düsseldorf.
(ID:45458980)
:quality(80)/p7i.vogel.de/wcms/d5/ac/d5ac877a7836d2727894499ce8e1ac5a/0106753174.jpeg "Mit dem richtigen Secrets Management können Unternehmen ihre DevOps-Prozesse entscheidend absichern, ohne unflexibel zu werden. (Bild: kieferpix - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/62/b3/62b3a88df2ac8a00e3afb324daadea7e/0104711006.jpeg "In vielen Unternehmen fehlt noch das Bewusstsein für die Abhängigkeiten in der Software-Lieferkette und die Risiken, denen die DevOps-Pipeline ausgesetzt ist. (Bild: Kittiphat - stock.adobe.com)")