Container sind eine angesagte Methode zur Entwicklung und Bereitstellung von Applikationen, denn sie nutzen die dafür nötigen Ressourcen sehr effizient. Herkömmliche Sicherheitsarchitekturen können allerdings mit der steigenden Zahl an eingeführten Containerlösungen kaum mehr Schritt halten.
Der Einsatz von Containerlösungen wird weiter zunehmen und damit auch die dringende Notwendigkeit, diese effizient gegen Angreifer abzusichern.
Die Containervirtualisierung ist bei Unternehmen eine sehr beliebte Methode zur Entwicklung und Bereitstellung von Applikationen. So verwundern die Ergebnisse einer Umfrage von Forrester nicht, nach der 58 Prozent der Entwickler davon berichten, dass ihre Unternehmen derzeit Container verwenden oder deren Einsatz in den nächsten zwölf Monaten planen. Viele geben aber auch zu, dass das Thema Sicherheit bisher der Hauptgrund sei, weshalb Container eben nicht eingeführt wurden. Denn wie jedes neue Tool in einem Technologieportfolio, bieten auch Container neue Angriffsflächen, die ein Unternehmen gefährden können. Um dem entgegenzuwirken, müssen Container über ihren ganzen Lebenszyklus hinweg geschützt werden.
Was ist Containersicherheit?
Die Containersicherheit unterscheidet sich von herkömmlichen Sicherheitsmethoden durch die erhöhte Komplexität und Dynamik von Containerumgebungen. Einfach gesagt, es gibt viele zusätzliche Punkte zu berücksichtigen. Die Containersicherheit umfasst alles - von den Anwendungen, die sie enthalten bis hin zur Infrastruktur, auf der sie ausgeführt werden. Entscheidend jedoch ist die Sicherheit und Qualität der Basis-Images, um sicherzustellen, dass alle abgeleiteten Images von einer vertrauenswürdigen Quelle stammen. RedHat empfiehlt beispielsweise, die Sicherheit bereits in die Container-Pipeline zu integrieren, indem vertrauenswürdige Images gesammelt, der Zugriff mit Hilfe einer privaten Registry verwaltet, Sicherheitstests integriert, die Bereitstellung automatisiert sowie die Infrastruktur kontinuierlich geschützt werden.
Herausforderungen an die Containersicherheit
Container scheinen sich wie kleine virtuelle Maschinen (VMs) zu verhalten, tatsächlich ist das aber nicht der Fall. Daher ist eine andere Sicherheitsstrategie erforderlich. Der Datenverkehr zwischen Apps in einem Container ist nicht den Sicherheitsmaßnahmen des darunterliegenden Netzes unterworfen, sollte jedoch hinsichtlich bösartigen Datenverkehrs zwischen Apps und ihren Images überwacht werden. Der Orchestrator lässt sich zwar zum Festlegen von Sicherheitsrichtlinien für Prozesse und Ressourcen verwenden, eine vollständige Sicherheitsstrategie erfordert jedoch deutlich mehr Maßnahmen.
Jede Architekturebene eines Containers hat ihre eigenen Sicherheitsanforderungen
Container-Images definieren, was in jedem Container ausgeführt wird. Entwickler sollten sicherstellen, dass Images keine Sicherheitslücken aufweisen: Gleichzeitig sollten sie vermeiden, das fremde Images zum Einsatz kommen, um die Angriffsfläche der Containerumgebung zu minimieren. Außerdem können Tools zur Validierung von Images hilfreich sein, damit vertrauenswürdige Images nicht pauschal abgewiesen werden. Images können auch nach ihrer Erstellung gescannt werden, um abhängige Images zu erkennen, die ihrerseits ebenfalls Schwachstellen aufweisen könnten.
Im Gegensatz zu VMs können mehrere Container auf demselben Kernel eines Betriebssystems (OS) laufen, wodurch ein Angriff von beiden Seiten erfolgen kann. Ein anfälliges Host-Betriebssystem gefährdet seine Container, und ein anfälliger Container kann einen Angriffspfad zum Host-Betriebssystem öffnen. Sicherheitsexperten empfehlen, die Namespace-Isolation zu erzwingen, um die Interaktion zwischen Container- und Host-OS-Kernel zu begrenzen. Gleichzeitig sollte die Automatisierung von Patches sichergestellt sein, um sie an die Patch-Releases der Hersteller anzupassen.
Auch das Betriebssystem und sein Kernel sollten so einfach wie möglich aufgebaut sein und keine unnötigen Komponenten enthalten (etwa Apps, Treiber und Libraries, die eigentlich nicht benötigt werden), um als Orchestrator agieren zu können. Durch Container-Orchestrierung werden Container koordiniert und verwaltet, so dass sich containerisierte Anwendungen skalieren lassen und Tausende von Benutzern unterstützen können. Dabei besteht die Möglichkeit, auch eigene, sofort einsatzbereite Sicherheitsfunktionen einzusetzen. Beispielsweise hebt Twistlock die "Pod-Security Policies " von Kubernetes hervor, mit denen sich Regeln festlegen lassen, die Kubernetes automatisch über alle Pods innerhalb des Clusters durchsetzen kann. Diese Art von Grundfunktion ist nützlich, aber auch nur ein erster Schritt auf dem Weg zu robusteren Richtlinien.
Zugriffskontrollen und Ablage vertraulicher Daten
Container können über mehrere Systeme und Cloud-Anbieter verteilt sein, was deren Zugriffsverwaltung umso wichtiger macht. Streng vertrauliche Informationen, zu denen API-Schlüssel, Anmeldeinformationen und Tokens gehören, sollten strikt verwaltet werden, um sicherzustellen, dass der Containerzugriff auf privilegierte Nutzerdaten beschränkt ist. Der Benutzerzugriff lässt sich auch durch eine rollenbasierte Zugriffskontrolle definieren, so dass der Zugriff auf eine bedarfsgerechte Basis beschränkt bleibt.
Laufzeitsicherheit
Nach der Bereitstellung sind die Containeraktivitäten zu überwachen, und die Teams müssen in der Lage sein, Sicherheitsrisiken zu erkennen und darauf zu reagieren. So empfiehlt Nordcloud, verdächtige Verhaltensweisen wie Netzwerk- und API-Aufrufe sowie ungewöhnliche Anmeldeversuche zu überwachen. Die Teams sollten über vordefinierte Schutzmaßnahmen für Pods verfügen und in der Lage sein, den Container in einem anderen Netzwerk zu isolieren, neu starten oder stoppen zu können, bis die Bedrohung identifiziert ist.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Cloud Native erfordert mehr Verantwortung
Cloud-Anbieter übernehmen auch einen Teil der Arbeit, indem sie die zugrundeliegende Hardware und die Basisnetzwerke sichern, die für die Bereitstellung von Cloud-Diensten verwendet werden. Die Anwender teilen sich jedoch weiterhin diese Verantwortung und übernehmen auch die Verantwortung für den Anwendungszugriff, für die Konfiguration und das Patching von Apps sowie das Patching und den Zugriff auf das System.
Anpassung der Betriebskultur und der technischen Prozesse des Unternehmens an die neue Art der Entwicklung, Ausführung und Unterstützung von Anwendungen, die durch Container ermöglicht werden.
Die Einführung von Containern kann die bestehende Kultur und bestehende Entwicklungsmethoden beeinträchtigen. Aktuelle Praktiken sind möglicherweise nicht direkt in einer containerisierten Umgebung anwendbar, dennoch sollte das Team entsprechend ermutigt, geschult und trainiert werden.
Verwendung von Container-spezifischen Host-Betriebssystemen anstelle von Allzweck-Betriebssystemen, um Angriffsflächen zu reduzieren.
Ein Container-spezifisches Host-Betriebssystem ist ein minimalistisches Betriebssystem, ein Kernel, der nur Container ausführen soll. Die Verwendung dieser Betriebssystem-Kernel führt zu einer erheblichen Reduzierung von Angriffsflächen, so dass Container und die darin laufenden Anwendungen ebenfalls weniger gefährdet sind.
Gruppierung der Container mit dem gleichen Zweck, der gleichen Empfindlichkeit und Bedrohungslage auf einem einzelnen Host-Betriebssystemkern, um eine zusätzliche, detaillierte Verteidigung zu ermöglichen.
Die Segmentierung von Containern bietet zusätzliche Sicherheitstiefe, denn sie macht es Angreifern schwerer, eine potenzielle Gefährdung auf andere Gruppen auszudehnen, Außerdem erhöht dies die Wahrscheinlichkeit, dass Gefährdungen effizient erkannt und eingedämmt werden können.
Einsatz von Container-spezifischen Tools und Prozessen für das Schwachstellen-Management von Images.
Traditionelle Tools arbeiten häufig unter Voraussetzungen, die mit einem containerisierten Modell nicht übereinstimmen. Diese sind darüber hinaus oft nicht in der Lage, Schwachstellen innerhalb von Containern zu erkennen. Unternehmen sollten deshalb geeignete Tools und Prozesse einsetzen, um die Einhaltung sicherer Best Practices für die Konfiguration von Images zu überprüfen und durchzusetzen. Dazu gehören auch zentralisierte Berichte, die Überwachung jedes einzelnen Images und die Ablehnung nicht konformer Images.
Einsatz von hardwarebasierten Gegenmaßnahmen, um die Basis für Trusted Computing zu schaffen.
Aufbau der Sicherheitsarchitektur auf einer Hardware Root, wie sie z.B. das Trusted Platform Model (TPM) bietet, um die Sicherheit auf allen Ebenen einer Containerumgebung zu erhöhen.
Container-fähige Tools zum Schutz der Laufzeit.
Bereitstellung und Verwendung einer dedizierten Lösung für die Container-Sicherheit, die in der Lage ist, die Containerumgebung zu überwachen und darin sehr präzise anomale und bösartige Aktivitäten zu erkennen.
Integration von Sicherheit, um die DevOps zu beschleunigen
Der Einsatz von Containerlösungen wird weiter zunehmen, ergo auch die Notwendigkeit, diese zu sichern. Die effizienteste Methode zur Gewährleistung der Sicherheit in großem Maßstab, besteht darin, Sicherheitsfunktionen und -verfahren in jede Phase der Entwicklung und Bereitstellung zu integrieren. Mit zunehmender Reife der Technologien werden die Anbieter neue Sicherheitsfunktionen und -anforderungen einführen und möglicherweise veraltete Funktionen überarbeiten. Es ist wichtig, auf Release-Aktualisierungen zu achten, Sicherheitsänderungen zur Kenntnis zu nehmen und die Container-Sicherheitslage ständig zu aktualisieren, um Schäden zu vermeiden.
Über die Autorinnen: Cindy Blake ist Senior Security Evangelist und Vanessa Wegner ist Content Manager Security bei GitLab.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/33/0b/330b92560794343f3b2e72a6c0201cfe/0129212056v2.jpeg "Ivanti Endpoint Manager Mobile ist erneut unter Beschuss: Zwei Zero-Day-Sicherheitslücken sollten sofort gepatcht werden. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/8f/0f8f5b211d133aa3ef2ae32b274d1296/0129055352v2.jpeg "Model-Confusion-Angriffe können dazu führen, dass Entwickler unwissentlich schadhafte KI-Modelle installieren, was ernsthafte Sicherheitsrisiken zur Folge hat und die Integrität legitimer KI-Anwendungen gefährdet. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d8/46/d8461a6f3d03070ca78af2eeb81aa7a0/0129133031v2.jpeg "Bei einem Cyberangriff auf die Stadt Schorndorf wurden mutmaßlich Anmeldedaten der „Forscherfabrik Schorndorf“ gestohlen. (Bild: StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/74/4f74da1ef2b573b35e8193c1279bfa5e/0129308675v1.jpeg "Tool-Silos und Schatten-KI machen Unternehmen 2026 haftbar – NIS-2, DORA und CRA fordern Konsolidierung, Identitätsmanagement und Enterprise-Browser für Compliance. (Bild: © DAYA-DAKSH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/48/a2/48a249f144445ea4b60d3e7a0032234f/0129122718v1.jpeg "Angreifer probierten wiederholt Schadsoftware auf einem Domain Controller zu platzieren, bis das EDR-System das Muster schließlich als harmlos einstufte. Fünf Stunden später begann die Verschlüsselung. (Bild: © zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/fd/64fd8544c5bdcae13f66e439f609d03f/0128874380v1.jpeg "Anwendungen, die auf asymmetrischer Kryptografie basieren, müssen auf Post-Quanten-Kryptografie-Verfahren umgestellt werden. (Bild: Achelos GmbH/ Canva)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/83/da/83da562438dce687572cd0c63e3d0e70/0129132936v1.jpeg "Dr. Nils Schwerdfeger ist COO bei Myra Security. (Bild: Myra Security)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/0e/45/0e4529642f3eaa1842f94914597483f9/0125189372v2.jpeg "Container-Sicherheit hat die Absicherung containerisierter Anwendungen und ihrer Infrastruktur zum Ziel. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/36/3036cc4341d97f6199ebf92562a18782/0127561631v2.jpeg "Mit Tools wie Clair, Syft, Grype und Docker Bench for Security lassen sich Container-Images, Abhängigkeiten und Hostsysteme durchgängig auf Schwachstellen prüfen. (Bild: © Sergey Novikov - stock.adobe.com)")