Container-Sicherheit ist die Praxis der Absicherung containerisierter Anwendungen und ihrer zur Ausführung benötigten Umgebung. Container inklusive ihrer Bereitstellungsinfrastruktur, Laufzeitumgebung und Lieferkette werden über ihren kompletten Lebenszyklus vor Schwachstellen und potenziellen Bedrohungen wie Malware geschützt.
Container-Sicherheit hat die Absicherung containerisierter Anwendungen und ihrer Infrastruktur zum Ziel.
Container-Sicherheit ist ein Begriff aus dem Bereich der Anwendungsentwicklung und des Anwendungsbetriebs. Er bezieht sich auf containerisierte Anwendungen, das heißt auf Anwendungen, die in Software-Containern laufen. Unter Container-Sicherheit versteht man den Prozess und die Praxis der Absicherung solcher Anwendungen und ihrer zur Ausführung benötigten Infrastruktur. Sie sollen vor Schwachstellen und potenziellen Bedrohungen wie Malware oder Cyberangriffen geschützt werden. Die Sicherheitsmaßnahmen umfassen den kompletten Lebenszyklus der containerisierten Anwendungen inklusive ihrer Bereitstellungsinfrastruktur, der Softwarelieferketten, der Laufzeitumgebungen und aller weiteren für die Ausführung der Container-Anwendungen relevanten Komponenten und Bereiche. Bei der Container-Sicherheit handelt es sich um einen kontinuierlichen Prozess, der eng mit den Entwicklungs-, Bereitstellungs- und Betriebsprozessen für containerisierte Anwendungen verknüpft ist. Der Prozess umfasst sowohl technische Kontrollen und Verfahren als auch Richtlinien und organisatorische Abläufe. Zur Unterstützung der Herstellung der Container-Sicherheit und der Umsetzung der Sicherheitsrichtlinien existieren verschiedene Arten von Softwaretools und Container-Überwachungslösungen wie Container-Sicherheitsscanner, Container-Runtime-Sicherheitstools oder Container-Netzwerk-Sicherheitstools. Darüber hinaus bietet die Container-Orchestrierungsplattform Kubernetes integrierte Funktionen zur Verbesserung der Container-Sicherheit.
Microservice-basierte, containerisierte Anwendungsarchitekturen erfreuen sich hoher Beliebtheit und bieten gegenüber herkömmlichen monolithischen Anwendungen zahlreiche Vorteile. Viele Unternehmen nutzen mittlerweile Container-Technologien und Container-Plattformen wie Docker oder Kubernetes, um von den Vorteilen containerisierter Anwendungen und Services zu profitieren. Container bestehen aus Softwareprogrammen mit all ihren Abhängigkeiten. Sie trennen die Anwendungen von den zugrundeliegenden Betriebssystemen, bieten vollständige und gleichzeitig leichtgewichtige Laufzeitumgebungen und ermöglichen ein einfaches Verschieben von Anwendungen zwischen verschiedenen Computing-Umgebungen. Anwendungen können dank der Container-Technologie flexibel und effizient bereitgestellt und betrieben werden. Mit der zunehmenden Beliebtheit der Container-Technologie gewinnt aber auch die Container-Sicherheit an Bedeutung. Denn containerisierte Anwendungsarchitekturen bringen zwar viele Vorteile mit sich, sind aber hinsichtlich der Anwendungssicherheit mit einigen Herausforderungen verbunden. Container-Infrastrukturen eröffnen neue Angriffsflächen, beispielsweise durch die gemeinsame Nutzung von Ressourcen, die Kurzlebigkeit der Container, die Komplexität der Container-Umgebungen und die dynamischen Deployments. Auch bei der Konfiguration der Container-Umgebungen oder dem Bezug von Container-Images über Repositories können sich Fehler und Schwachstellen einschleichen, die unter Umständen von Angreifern ausnutzbar sind. Ohne ausreichende Sicherheitsmaßnahmen kann es in produktiven Umgebungen schnell zu Bedrohungen mit enormem Schadenspotenzial kommen. Container-Sicherheit ist daher unverzichtbar, um Container und die darin enthaltenen Anwendungen und Daten zu schützen und die Geschäftskontinuität aufrechtzuerhalten. Sie minimiert das Risiko von Sicherheitsverletzungen, unbefugten Zugriffen, Datenlecks und anderen Sicherheitsbedrohungen.
Typische Bedrohungen und Schwachstellen der Container-Sicherheit
Typische Bedrohungen und Schwachstellen der Container-Sicherheit sind zum Beispiel:
unsichere oder kompromittierte Container-Images mit nicht aktueller Software, veralteten Abhängigkeiten, Schwachstellen, Malware oder Backdoors
unsichere oder kompromittierte Build- und Deployment-Pipelines
Lieferkettenangriffe beispielsweise durch den Bezug von Container-Images aus nicht vertrauenswürdigen oder nicht geschützten Repositories
mangelhafte Isolation der Container
fehlende Laufzeitüberwachung
fehlende Zugriffskontrollen und falsch konfigurierte Zugriffsberechtigungen für Benutzer und Dienste
exponierte Secrets oder Umgebungsvariablen
Ausbruch von Anwendungen aus dem Container und unbefugter Zugriff auf Host-Ressourcen
unerwünschte oder unkontrollierte Container-Prozesse
Schwachstellen durch Fehlkonfigurationen der Container und der Container-Umgebung
Distributed-Denial-of-Service-Angriffe auf containerisierte Anwendungsumgebungen
Welche Bereiche umfasst die Container-Sicherheit und was sind mögliche Sicherheitsmaßnahmen?
Container-Sicherheit erfordert einen mehrschichtigen Ansatz, der alle Komponenten und den kompletten Lebenszyklus containerisierter Anwendungen von der Entwicklung bis zum Betrieb umfasst. Die Sicherheitsrichtlinien und Maßnahmen der Container-Sicherheit beziehen sich dementsprechend auf verschiedene Bereiche. Zu den Schlüsselbereichen der Container-Sicherheit zählen:
der Schutz der Container-Images und Container-Repositories
Für jeden Bereich sind spezielle Sicherheitsrichtlinien zu definieren und Maßnahmen umzusetzen, um den Schutz der containerisierten Anwendungen und ihrer Umgebungen sicherzustellen.
Der Schutz der Container-Images beinhaltet beispielsweise die Anwendung von Sicherheitsrichtlinien bei der Image-Erstellung, das Signieren von Images oder die Prüfung beziehungsweise das Scannen von Images auf Schwachstellen oder Manipulationen. Die Sicherheitsmaßnahmen schließen die komplette Softwarelieferkette und die Container-Repositories mit ein. Es ist auf die Verwendung von verifizierten Images aus vertrauenswürdigen und sicheren Quellen zu achten. Regelmäßige, automatisierte Sicherheitskontrollen und Sicherheitsscans können direkt in die CI/CD-Pipeline integriert werden.
Zu den Maßnahmen zum Schutz der Container-Laufzeitumgebungen zählen beispielsweise die Anwendung von Zugriffskontrollen, die Erfassung aller in Containern ablaufenden Aktivitäten und Ereignisse, das Monitoring der genutzten Computing-, Speicher- und Netzwerkressourcen und die Überwachung auf abnormale, unerwünschte oder schädliche Verhaltensweisen mit einer entsprechenden Reaktion auf erkannte Vorfälle.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Der Schutz der Container-Infrastruktur umfasst alle zugrundeliegenden Systeme, die zur Ausführung der Container benötigt werden, wie die Hosts, Container-Plattformen, Container-Deployment-Umgebungen, Container-Orchestratoren und Netzwerke. Maßnahmen in diesem Bereich sind beispielsweise das Absichern der Container-Hosts und das Beschränken des Container-Zugriffs auf Host-Ressourcen, regelmäßiges Patchen und Aktualisieren der Software und Betriebssysteme, Validierung der Container-Umgebungskonfigurationen, die Sicherstellung der Isolation der Host-Betriebssysteme von der Container-Runtime, das Durchsetzen einer starken Authentifizierung und wirkungsvollen Zugriffssteuerung auf Container- und deren Orchestrierungsplattformen, die Netzwerksegmentierung und Durchsetzung von Zero-Trust-Richtlinien und Least-Privilege-Prinzipien im Netzwerkverkehr. Auch die Sicherung der außerhalb von Containern gespeicherten zustandsbehafteten Daten und ihrer Storage-Plattformen zählt zu den Schutzmaßnahmen der Container-Infrastruktur.
Kubernetes, auch als K8s bezeichnet, ist eine Open-Source-Plattform zur Orchestrierung und Verwaltung der technischen Infrastruktur von Container-Anwendungen. Sie automatisiert deren Bereitstellung, Skalierung und Verwaltung. Kubernetes ist weit verbreitet und hat sich für die Container-Orchestrierung in der Private und Public Cloud zu einer Art De-facto-Standard entwickelt. Da Kubernetes neben der Automatisierung des Deployments und der Verwaltung von Containern auch integrierte Sicherheitsfunktionen bereitstellt, spielt die Orchestrierungsplattform eine wichtige Rolle für die Container-Sicherheit. Zu den Sicherheitsfeatures von Kubernetes zählen beispielsweise Kubernetes-Netzwerkrichtlinien zur Steuerung der Pod-to-Pod-Kommunikation, starke Authentifizierungsmechanismen, rollenbasierte Zugriffskontrollen (RBAC), Schreibschutz für Dateisysteme von Containern, Sandboxing für eine optimierte Prozessisolierung, Definition und Durchsetzung spezifischer Regeln für die Workload-Einstellungen und vieles mehr.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/dc/71/dc7138daf405312b032a9d3e801769a2/0102203660.jpeg "Docker-Container „von der Stange“ sind eine Einladung zu Raubüberfällen. Zum Glück geht es auch anders: mit bewährten Best-Practices zum sicheren „Ein-Docken“ von Arbeitslasten. (©nespix - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/84/598498753f3e6e49fad03dece4cbf9c9/0121170072v2.jpeg "Backup in flüchtigen Container-Umgebungen muss gelernt sein. (Bild: Annika - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7f/7f/7f7f78d591941d6139f432d0ec96d185/0121877075v1.jpeg "Containerisierung erfreut sich immer größerer Beliebtheit. Doch warum lauern genau hier Gefahren? (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/67/a9/67a9054d200229b6586805a8744250f5/0113234141.jpeg "Eine robuste Plattform für die Bereitstellung und Verwaltung von Kubernetes-Clustern kann für Unternehmen der richtige Ansatz sein, um ihre Kubernetes-Workloads zu optimieren und zugleich die Container-Sicherheit zu gewährleisten. (Bild: Sasint - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dc/2f/dc2f3a6dc7780c7c16b929feab46c4f4/0125079729v2.jpeg "Open-Source-Cloud-Sicherheitstools bieten Firmen und Institutionen, die ihre Cloud-nativen Umgebungen schützen möchten, einen enormen Mehrwert. (Bild: © ShpilbergStudios - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/36/3036cc4341d97f6199ebf92562a18782/0127561631v2.jpeg "Mit Tools wie Clair, Syft, Grype und Docker Bench for Security lassen sich Container-Images, Abhängigkeiten und Hostsysteme durchgängig auf Schwachstellen prüfen. (Bild: © Sergey Novikov - stock.adobe.com)")