:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c7/9ac7c7e8a3b32a83049dfc945e67b476/0113571100.jpeg "Der Angriff auf Wale mit einer solchen eisernen Harpune ist brutal und sehr blutig; ein Phishing-Angriff mithilfe von Ki ist hinterhältig und gnadenlos - nur nicht so blutig. (Bild: frei lizenziert: FotoArt-Treu)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/93/4a/934ad835e86c1eea66869d7d9a59f1f1/0113980249.jpeg ""Integrierte Sicherheit gegen wachsende Cyberbedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Frank Kuypers von Intel Corporation. (Bild: Vogel IT-Medien / Intel / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/13/56/1356472468aa93a42551824e15bc86d1/0114006798.jpeg "Mit dem richtigen Löschkonzept schaffen es auch KMU, personenbezogene Daten strukturiert und sicher zu löschen. (Bild: Mego-studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/e4/67e44f84835d9f919003ad8dbf03d436/0114086650.jpeg "Mitarbeitende und Unternehmen in Deutschland nehmen ihre Verantwortung bei der IT-Sicherheit nicht im geforderten Ausmaß ernst. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Einer für alle und alle für einen Maximierung von Sicherheit und Effizienz durch Zusammenarbeit
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
Cloud-Architektur und optimierte Software-Lebenszyklen haben in vielen Unternehmen die Spielregeln verändert und neue Impulse gesetzt. So konnte die Bereitstellung von digitalen Produkten und Dienstleistungen beschleunigt, die Kundenzufriedenheit verbessert und der Umsatz gesteigert werden. Doch der Fokus auf eine schnelle Bereitstellung kann auch auf Kosten der Sicherheit gehen und zu einer Zunahme von Schwachstellen und Fehlern in der Produktivumgebung führen.
Diese Entwicklung bestätigen auch die Ergebnisse einer aktuellen DevSecOps-Umfrage von GitLab. Demnach haben nahezu drei Viertel der Befragten bereits eine DevOps-Plattform eingeführt oder planen dies im Laufe des Jahres. Ziel ist es, die steigenden Erwartungen der Branche in Bezug auf Sicherheit, Compliance, Toolchain-Konsolidierung und schnellere Softwarebereitstellung zu erfüllen.
Doch der Fokus auf eine schnelle Bereitstellung kann auch auf Kosten der Sicherheit gehen und zu einer Zunahme von Schwachstellen und Fehlern in der Produktivumgebung führen. Deshalb gilt es Sorge zu tragen, dass Effizienz und IT-Security im Kern des Prozesses gleichrangig behandelt werden. Die Zusammenarbeit zwischen Entwicklungs- und Sicherheitsteams steht dabei im Mittelpunkt dieser Bemühungen.
Achillesferse Anwendungen
Anwendungen sind der bevorzugte Angriffspunkt für erfahrene Cyberkriminelle. Sie wissen, dass dort reichlich Software-Schwachstellen existieren. So waren 2021 DDoS-Angriffe (Distributed Denial of Service) auf Anwendungsebene in der Fertigungsindustrie am weitesten verbreitet. Dieser Sektor verzeichnete laut Cloudflare zwischen dem 3. und 4. Quartal einen Anstieg der Angriffe um 641 Prozent.
Um den Entwicklungsprozess sicherer zu machen, ohne dabei die Effizienz zu beeinträchtigen, müssen die Entwicklungsteams Sicherheitsprotokolle mithilfe von Tools und sicheren Programmiertechniken in ihre Arbeitsabläufe integrieren. Die Mehrheit der im oben erwähnten DevSecOps-Bericht befragten Entwickler (60 Prozent) geben ihren Code zwar schneller frei als früher. Der Wildwuchs an Toolchains wirkt sich jedoch auf ihre Geschwindigkeit und Produktivität aus und raubt ihnen wertvolle Zeit. Gleichzeitig müssen die Entwickler während des gesamten Prozesses mit den Security-Teams zusammenarbeiten. Beide Seiten sollten dafür verantwortlich gemacht werden, dass Cloud-native-Anwendungen frei von Softwarefehlern und Schwachstellen bleiben.
Methoden für die Entwicklung und Bereitstellung der Cloud erfordern einen durchgehenden Ansatz in Hinblick auf die Anwendungssicherheit. Es ist von entscheidender Bedeutung, dass Unternehmen ihre Security-Methoden kontinuierlich evaluieren und ihre Investitionen entsprechend erhöhen. Dass Sicherheit für Unternehmen die höchste Priorität bei Neuinvestitionen hat, belegt auch der DevSecOps-Bericht. Nur so können Organisationen ihre eigene Sicherheit sowie die Sicherheit ihres Netzwerks, einschließlich der Kunden und Partner, gewährleisten.
Klare und transparente Prozesse entwickeln
Da der Entwicklungszyklus viele verschiedene Phasen umfasst, ist es wichtig, dass Teams eine DevSecOps-Strategie anwenden. Dies impliziert, dass von Anfang an und bei jedem Schritt das Thema Security berücksichtigt wird. Schließlich ist es viel einfacher, Softwarefehler zu verhindern, bevor sie in die Produktivumgebung gehen. Je früher im Software-Lebenszyklus Fehler oder Schwachstellen erkannt werden, desto besser.
Das Fehlerrisiko in den Anwendungen kann gesenkt werden, indem ein ausführlicher und umfangreicher, kontinuierlicher Test-, Überwachungs- und Feedback-Prozess eingeführt wird. Dabei ist es auch wichtig, genaue Zeitpläne in den Entwicklungsprozess mit einzubeziehen, um alle funktionsübergreifenden Teams mit im Boot zu haben. Die Einhaltung dieser sorgfältigen Zeitpläne gewährleistet, dass alle Beteiligten die nötige Zeit haben, um auf Schwachstellen zu reagieren und diese zu beheben.
Tools richtig einsetzen
Oft ist es den Security-Teams unmöglich, auf jede einzelne Bedrohung zu reagieren. Deshalb sind Tools für die Automatisierung so wichtig. Diese Werkzeuge können Teams dabei helfen, umfangreiche Probleme zu erkennen, eine Ausgangslage zu definieren und Anomalien zu identifizieren. Dabei ist klar – diese Tools können und sollen keine menschlichen Sicherheitsexperten ersetzen. Vielmehr sollten sie als Ergänzung zu den Fachkräften betrachtet werden. IT-Experten können einen differenzierteren Blick auf Angriffsflächen werfen, proaktive Maßnahmen ergreifen und versteckte Schwachstellen identifizieren, die ein Tool möglicherweise nicht aufspürt. Erst durch die Kombination von Mensch und Technologie wird das bestmögliche Ergebnis erzielt.
Zusammenarbeit fördern
Eine gute Zusammenarbeit ist entscheidend, um zu gewährleisten, dass sich die Produktpipeline effizient fortsetzt, ohne die Security zu vernachlässigen. DevSecOps bedeutet, alle Teams sind gemeinsam dafür verantwortlich, den Code und das Produkt sicher zu halten.
Die Entwickler sollten während des gesamten Prozesses der Softwareentwicklung kontinuierlich Feedback von den Security-Teams einholen. Dadurch können Schwachstellen in Echtzeit erkannt und beseitigt werden, so dass alle Produkte von vornherein frei von Mängeln sind. Die Zusammenarbeit zwischen den Teams sorgt für Transparenz sowie für eine Feedback-Kultur und trägt damit zu einer höheren Sicherheit und Effizienz bei.
Die Zukunft der Anwendungssicherheit
Bereits 2021 explodierte die Zahl der Cyberangriffe und es ist kein Ende in Sicht. Deshalb ist es von entscheidender Bedeutung, dass Unternehmen einen proaktiven Ansatz für die Anwendungssicherheit wählen und sich auf die Prävention konzentrieren, nicht nur auf die Fehlerbehebung. Die Einführung einer DevSecOps-Strategie erfordert einen kompletten Kulturwandel und eine neue Priorisierung von Security innerhalb eines Unternehmens.
Sicherheitsbewertungen proaktiv einbeziehen und Schutz und Zuverlässigkeit von Anfang an in den Entwicklungsprozess zu integrieren führt dazu, dass Produkte frei von Schwachstellen bleiben, ohne die Effizienz zu beeinträchtigen. Cybersecurity liegt in der Verantwortung aller, nicht nur in der Verantwortung des Sicherheitsteams.
Über den Autor: Jörn Schneeweisz ist Staff Security Engineer im GitLab Security Research Team. Sein Werdegang in der IT Sicherheit ist greprägt von mehr als einer Dekade technischem Security Consulting. Durch den Wechsel aus dem Beratungsbereich zu GitLab sammelte er in den letzten Jahren tiefergehende Erfahrungen im Bereich Produkt- und Organistionssicherheit, weiterhin immer auf der Suche nach Lücken, die es zu beheben gilt.
(ID:48768340)
:quality(80)/images.vogel.de/vogelonline/bdb/1951800/1951819/original.jpg "Julian Totzek-Hallhuber erläutert, was seiner Ansicht nach künftig auf der Agenda von Development-Teams stehen sollte. (Veracode)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945940/original.jpg "Snyk weitet seine Sicherheitsstrategie auf End-to-End-Containerschutz und Cloud-Sicherheit aus. (Snyk)")