In ihrem Bemühen, auf sich verändernde Kundenbedürfnisse zu reagieren und hybrides Arbeiten für die Mitarbeiter zu ermöglichen, haben Unternehmen in den letzten Jahren eine hohe Geschwindigkeit in der Anwendungsentwicklung priorisiert. Doch dieses Tempo ging auf Kosten der Sicherheit. Und genau das erweist sich nun als Problem, denn es kommen nun mehrere Faktoren zusammen, die die Anwendungssicherheit gefährden.
Welche dies sind und was Unternehmen dagegen tun können, verrät Tommy Ziegler, FSO Leader, Sales Engineering Germany bei Cisco AppDynamics.
Die massive Zunahme von Sicherheitsvorfällen in modernen Anwendungsumgebungen setzt Sicherheitsteam unter erheblichen und unablässigen Druck. So hat beispielsweise eine Studie von Red Hat ergeben, dass es in 93 Prozent der befragten Unternehmen in den vorausgegangenen zwölf Monaten zu Sicherheitsvorfällen in ihren Kubernetes-Umgebungen gekommen war und knapp ein Drittel (31 Prozent) dabei finanzielle Verluste erlitten hat.
Die Gründe, warum die Sicherheit von Anwendungen in modernen IT-Umgebungen gefährdet ist, sind mannigfaltig und bedrohen letztendlich das gesamte Geschäft eines Unternehmens:
1. Die sich ständig weiterentwickelnde und immer bedrohlichere Risikolandschaft
Früher mussten Unternehmen vor allem dafür Sorge tragen, dass niemand in ihre On-Premises-Infrastruktur eindringt. Durch die breite Akzeptanz der Cloud und mit ihr die zunehmende Veröffentlichung von Anwendungen, die über mehrere Systeme in der Cloud und lokal hinweg laufen, haben sich die Angriffsflächen jedoch dramatisch vergrößert. Cyberkriminelle wissen zudem, welche Schwachstellen es gibt und nutzen diese zum Beispiel in Kubernetes-Klustern aus, von denen viele offen zugänglich und ungeschützt sind.
2. Fehlende Transparenz und Erkenntnisse, um Schwachstellen zu erkennen
Sicherheitsteams verfügen häufig nicht über die Tools und Erkenntnisse, um diesen wachsenden Bedrohungen zu begegnen. Insbesondere in Kubernetes-Umgebungen bestehen große Lücken in der Transparenz der Anwendungslandschaft. Es wird zunehmend unmöglich zu verstehen, woher neue Bedrohungen in einer sich ausbreitenden Topologie von Anwendungen kommen und welche davon das größte Geschäftsrisiko bergen und priorisiert werden müssten. Zudem funktionieren herkömmliche Monitoring-Tools nur schlecht in Kombination miteinander, selbst wenn sie isoliert ihren Zweck erfüllen. Auch dies erschwert IT-Experten einen gesamtheitlichen Blick auf die IT-Landschaft.
3. Keine gemeinsame Vision und Zusammenarbeit innerhalb der IT-Abteilung
Ein Teil des Problems ist auch, dass die Sicherheit in IT-Abteilungen oft unabhängig von anderen Teams, die für Entwicklung und Betrieb zuständig sind, betrachtet wird. Fragmentierte Strukturen und Arbeitspraktiken führen dazu, dass ITOps und Sicherheitsteams erst dann zusammenarbeiten, wenn ein potenzielles Problem erkannt wurde – also, wenn das Kind schon in den Brunnen gefallen ist. Sicherheitsteams werden außerdem erst ganz am Ende der Anwendungspipeline hinzugezogen, aus Sorge, dass Sicherheitstests die Geschwindigkeit der Veröffentlichung verlangsamen könnten.
Sicherheit als integralen Teil von Anwendungen verstehen
Unternehmen dürfen keine Zeit verlieren, wenn sie diesen perfekten Sturm verschiedener Herausforderungen überstehen wollen. Dafür brauchen ihre Sicherheitsteams zum einen umfassende Einblicke in die Sicherheitsprobleme ihrer Anwendungen sowie detaillierte Informationen darüber, wo und wie sich Sicherheitslücken in kritischen Bereichen der Anwendungen auswirken.
Zum anderen ist es in den Augen von 93 Prozent der in einer Studie von Cisco AppDynamics befragten Technologen aber auch wichtig, Sicherheitsdaten und -warnungen in einen geschäftlichen Kontext zu stellen. Denn nur dann sind sie in der Lage, Risiken schnell zu lokalisieren, zu bewerten und auf Grundlage ihrer möglichen geschäftlichen Auswirkungen zu priorisieren.
Notwendig ist dafür eine Observability-Plattform, die Daten zur Verfügbarkeit, Performance und Sicherheit von Anwendungen zentral zur Verfügung stellt. Als Single Source of Truth fördert sie zudem eine engere Zusammenarbeit zwischen den verschiedenen IT-Teams. Sie ebnet dabei auch den Weg für ein DevSecOps-Modell, bei dem die Anwendungssicherheit als gemeinsame Verantwortung aller Teams verstanden wird und Sicherheit in jede Phase des Anwendungslebenszyklus integriert wird. Das Ergebnis sind sicherere Anwendungen und ein einfacheres Sicherheitsmanagement vor, während und nach der Veröffentlichung.