blog

4
Apr

Die Wahrheit über DevSecOps

Die moderne IT-Welt ist ein gefährliches Pflaster. Von der Entwicklung über das Deployment bis hin zur Nutzung fertiger Anwendungen gibt es an jeder Ecke potenzielle Angriffsziele. Kein Wunder also, dass Security ein zentraler Bereich der Softwareentwicklung ist. Wir haben drei Experten über die aktuelle Sicherheitslage und die Rolle von DevSecOps in der IT befragt.

IT Security Summit: Security war in der Welt der IT schon immer ein Thema. Doch wie hat sich die Sicherheitslage in den letzten Jahren verändert?

Dr. Klaus Gheri: Mit den Entwicklungen im Bereich IoT, Digitalisierung oder Vernetzung hat sich auch der Fokus der Angreifer geändert. Waren früher fast immer Betriebssysteme, Browser und JavaScript-Programme Ziel von Angriffen, werden mittlerweile auch Prozessoren, Überwachungskameras, E-Mail-Verschlüsselungen und Smart Devices attackiert. Die IT-Sicherheit aufrecht zu erhalten, ist also immer schwieriger geworden. Die Technologieumgebungen der Unternehmen werden zudem immer komplexer. Sie verwalten weiterhin Legacy-Systeme und traditionelle Rechenzentren.

Auf der anderen Seite steigt die Nutzung von Public-Cloud-Services wie Microsoft Azure und AWS weiter. Und SaaS-Geschäftsanwendungen nehmen weiter zu, etwa Office 365 für E-Mails. Das hat Auswirkungen sowohl auf die Sicherheitsteams als auch auf die Mitarbeiter:innen. Es wird für Sicherheitsverantwortliche immer wichtiger werden, sich darauf zu konzentrieren, wie sie Sicherheit in die Unternehmenskultur integrieren können, damit jeder in der Organisation versteht, welche Rolle sie bei der Aufrechterhaltung der Unternehmenssicherheit spielen.

Ganz aktuell ist eine der größten Herausforderungen für Unternehmen die Sicherheit von Homeoffice aufgrund der Coronasituation zu gewährleisten. Die meisten Problem gibt es dabei, sicheren Zugang zu den Unternehmensservices bereitzustellen. Ein ähnlich gelagertes Problem haben Firmen, deren Geschäftsmodell nach wie vor auf traditionellen Servicekonzepten beruht. Die Bewegungseinschränkungen für typische Servicefahrten durch Mitarbeiter:innen könnten häufig über sichere Fernwartung erledigt werden, aber nur, wenn hier bereits vorausschauend in sichere Kommunikationsanbindung der Geräte über VPN investiert wurde.

Bogdan Botezatu: Die Bedrohungslandschaft ändert sich sehr schnell und wirkt sich vertikal unterschiedlich aus. Ransomware ist beispielsweise zu einer der wichtigsten Bedrohungen in Windows- und Linux-Umgebungen geworden. Die Angriffe sind so profitabel geworden, dass Cyberkriminelle, die wissen, wie man sie schreibt und bedient, sie sogar als Dienstleistung für Andere zur Verfügung gestellt haben. Auch der Cyberkrieg zwischen Staaten verschärft sich und es ist schwieriger geworden, Angriffe aufzudecken und einem Staat zuzuordnen. Zu guter Letzt sind auch IoT Botnets zu einer größeren Sache geworden. Neue IoT-Botnetze sind im Entstehen, und Cyberkriminelle stehen im Wettbewerb darum, wer sich die meisten Geräte schnappt.

Elmar Eperiesi-Beck: Die Sicherheitslage hat sich mit den Technologien in den letzten Jahren verändert. Wo früher die Absicherung der Unternehmensgrenzen (Perimeter) mit Firewalls etc. ausreichte, sind heute neue komplexe Angriffe möglich. Das hängt u. a. mit dem Einsatz von Public-Cloud-Services, Homeoffice, Outsourcing, weltweiten Unternehmensverbünden, komplexeren IT-Systemen und immer schnellerer Time to Market neuer Anwendungen zusammen.

Laut Gartner sind 2021 IaaS-Dienste, Netzwerksegmente, Anwendungen oder APIs bei 50 Prozent der Unternehmen unwissentlich und fälschlicherweise direkt über das öffentliche Internet zugänglich. Der Anteil betrug 2018 noch 25 Prozent. Gleichzeit steigen die gesetzlichen Anforderungen zum Datenschutz, wie beispielweise die Europäische Datenschutz-Grundverordnung (EU-DSGVO) zeigt. Zudem hat IT-Sicherheit einen wichtigen Platz im Bewusstsein der Kunden und Partner erobert. Das belegt auch die zunehmende Anzahl von CISOs und Datenschützern in Unternehmen. Insgesamt hat die rapide steigende Komplexität der IT-Systeme zu einer nicht mehr beherrschbaren Sicherheitslage geführt. Das spiegelt sich nicht zuletzt in dem „Hase und Igel“-Rennen zwischen Angreifern und IT-Schutzmaßnahmen wider.

Aufgrund all dieser Entwicklungen hat sich in den letzten Jahren eine datenzentrische Sichtweise auf den Schutz von Informationen durchgesetzt. Anstatt den Schutz der (komplexer werdenden) IT-Systeme in den Vordergrund zu stellen, konzentrieren sich die Verantwortlichen auf den Schutz der Daten. Das bedeutet bespielweise, dass Unternehmen ihre Daten verschlüsseln, bevor sie sie in die Cloud übertragen. So erfüllen sie auch die Anforderungen der DSGVO. Verschlüsselung von Daten schützt Unternehmen auch vor dem den Zugriff durch Regierungen und Geheimdienste, weil korrekt verschlüsselte Daten für diese nutzlos sind. Unternehmen wollen zunehmend die Kontrolle über ihre Daten behalten und nicht Fremden vertrauen müssen.

Unsere Experten:

Dr. Klaus Gheri Vice ist President und General Manager Network Security bei Barracuda Networks

Bogdan Botezatu ist Director of Threat Research and Reporting bei Bitdefender

Geschäftsführer & Gründer der eperi GmbH, einem Anbieter von Cloud-Data-Protection-Lösungen

IT Security Summit: Im DevOps-Bereich gibt es viele Ansätze, Anwendungen und deren Deployment sicherer zu machen: Das Stichwort hier heißt DevSecOps. Worum geht es dabei im Kern?

Gheri: DevSecOps ist der Ansatz, kontinuierliche Sicherheit bei der Entwicklung von Software zu gewährleisten. Damit wollen sich Entwickler gegen mögliche Angriffe schützen. Da die Netzwerke immer verteilter sind und immer mehr Remotebenutzer und Cloud-basierte Anwendungen umfassen, ist die Sicherheit aber weitaus komplexer geworden. Dieser traditionelle Ansatz, sich auf Anwendungsentwickler zu verlassen, um mit Sicherheitsbedenken auf Anwendungsebene umzugehen, führt zu verschiedenen Problemen, die ein Unternehmen anfällig für Cyberangriffe und Datenverluste machen können.

In der heutigen Umgebung ständig wachsender und sich entwickelnder Bedrohungen müssen sich Organisationen eine umfassende DevSecOps-Strategie aneignen und Technologien einsetzen, die diese Strategien umsetzen können.

DevSecOps bedingt auch, dass Sicherheitsprodukte den Konzepten von SecOps genügen. Das heißt zum Beispiel, dass ganze Anwendungsumgebungen inklusive der integrierten Securityprodukte via Scripts erzeugt und entsprechend getestet werden können, bevor sie in den Produktivbetrieb gehen dürfen.

Botezatu: Die Integration der Sicherheitskultur in DevOps bzw. der Weg zu DevSecOps ist ein fortlaufendes Unterfangen, das von allen Seiten große Anstrengungen benötigt, um erfolgreich zu sein. Das Einbringen von Sicherheit in DevOps erfordert dabei nicht nur die richtigen Tools, sondern genau wie bei DevOps auch eine passende Kultur. Diese beginnt ganz oben im Management und benötigt eine Veränderung des individuellen Verhaltens und eine Änderung der Gesamtkultur.

Die eigentliche Idee von DevSecOps besteht im Prinzip darin, Sicherheit in alle DevOps-Prozesse zu integrieren, sodass Software per Design bei der Entwicklung und im Einsatz sicher ist. Das stimmt ziemlich genau mit dem überein, was die DSGVO als Anforderungen für Datenschutz und Sicherheit per Design stellt.

DevSecOps basiert auf vorhandenen Sicherheitsprozessen und -kontrollen, die über die automatisierten Tests des Sicherheitscodes hinausgehen. Es berücksichtigt aber auch die Modellierung neuer Anwendungen, Dienste und Fähigkeiten im Hinblick auf Bedrohungen, während sie entworfen werden. Und es sucht nach Wegen zur Verbesserung der Sicherheit in allen Bereichen, wie z. B. gesicherte, gemeinsam nutzbare Bibliotheken sowie wiederverwendbare Komponenten, die entwickelt und den Teams zur Verfügung gestellt werden.

Eperiesi-Beck: Die Integration von IT-Sicherheit in den DevOps-Prozess erfordert veränderte Denkweisen, Workflows und Technologien. Mitarbeiter:innen im Sicherheits- und Risikomanagement müssen sich an die kollaborative, verteilte und agile Natur von DevOps halten, damit Sicherheit nahtlos in die Entwicklung einfließen kann, wodurch das „Sec“ in DevSecOps transparent wird.

Einige kurze Empfehlungen für das Sicherheits- und Risikomanagement:

  • Sicherheits- und Compliance-Tests nahtlos in DevSecOps integrieren, sodass Entwickler ihre Umgebungen für Continuous Integration und Continuous Deployment nie verlassen müssen
  • Alle Open-Source- und Drittanbieterkomponenten auf bekannte Schwachstellen und Fehlkonfigurationen hin scannen; im Idealfall eine vollständige Liste mit Hilfe der Softwarekompositionsanalyse erstellen
  • Offenheit für den Einsatz neuer Arten von Werkzeugen und Ansätzen zur Minimierung von Reibungsverlusten für Entwickler (z. B. interaktive Sicherheitstests für Anwendungen); diese sollten herkömmliche statische und dynamische Tests ersetzen
  • Skalieren der Informationssicherheitsteams in Dev-Ops durch Verwendung eines Sicherheits-Champion-/Coach-Modells
  • Erweitern der DevOps-Philosophie „You Code It, You Own It“ auf Sicherheitslücken
  • Anpassung der Sicherheitstestwerkzeuge und -prozesse an die Entwickler, nicht umgekehrt
  • Ausbildung aller Entwickler in den Grundlagen der sicheren Programmierung, ohne zu erwarten, dass sie zu Sicherheitsexperten werden

Es ist wichtig, alle Aspekte eines DevSecOps-Prozesses zu beachten! Dies gilt u. a. für den Einsatz von Testdaten, hier dürfen unter keinen Umständen originale Kundendaten eingesetzt werden. Es gibt spezielle Tools zur Erzeugung von validen, anonymisierten Testdaten, die auch komplexesten Anforderungen genügen und sich nahtlos in die Entwickler-Toolchain integrieren lassen.

IT Security Summit: Wie genau sichert man eine CI/CD Pipeline am besten ab?

Gheri: Eine moderne Web Application Firewall (WAF) bietet mehrere Möglichkeiten zur Automatisierung der Bereitstellung und Konfiguration, um ein CI/CD-Modell der Entwicklung zu unterstützen. Mittels eines robusten API lässt sich die Firewall leicht in jede beliebige Automatisierungstoolkette integrieren. Darüber hinaus ist die Integration eines Cloud-gehosteten Schwachstellenscanners in die WAF zum automatischen Scannen und Importieren virtueller Patches hilfreich. Diese virtuellen Patches können dann dazu verwendet werden, die WAF viel früher im Entwicklungszyklus automatisch zu konfigurieren, wodurch die Bereitstellung von Anwendungen beschleunigt wird.

Botezatu
: Die DevOps-Teams beginnen bereits damit, die Anwendungssicherheit in ihre CI/CD-Workflows zu integrieren, da der Druck zur Verbesserung der Softwarequalität, Compliance und Risikovermeidung zunimmt. CI/CD Pipelines bestehen jedoch aus einer Vielzahl von Komponenten, wie Code- und Image-Repositorys, Build-Servern, virtualisierten Instanzen oder Containern und einer Vielzahl anderer Tools von Drittanbietern. Je komplexer das Ökosystem, desto komplexer ist es, dieses zu sichern. Es ist jedoch wichtig, dass das DevOps-Team die Bedrohungssituation für ihre Branche einschätzt und die Angriffsfläche gründlich evaluiert.

Der erste Schritt zur Sicherung einer solchen Pipeline besteht darin, Server abzusichern und den Zugang zu kontrollieren. Die DevOps-Teams sollten den Zugang zur CI/CD Pipeline nach dem Grundsatz „Kenntnis nur, wenn nötig“ beschränken und die Identität und Authentifizierung über Zertifikate und SSH-Schlüssel validieren. Als Nächstes sollte die gesamte Pipeline auf Anomalien überwacht und Vorfälle auf SOC-Ebene protokolliert, abgebildet und im größeren Zusammenhang zusammengefasst werden. Insbesondere sollte die Protokollierung auf unveränderliche Weise durchgesetzt werden (d. h., die Protokolle sollten nicht zum Schreiben oder Löschen zur Verfügung stehen), sodass ein potenzieller Angreifer nach dem Eindringen nicht in der Lage sein wird, alles zu löschen.

Das CI/CD-Ökosystem basiert auf einem hohen Maß an Vertrauen zwischen beweglichen Teilen und das ist eine der Schwachstellen, die ein Angreifer ausnutzen würde. Es ist wichtig, dass Repositorys, Konfigurationsmanager und Build-Server keinen anonymen oder gemeinsamen Zugriff erlauben. Wenn sie die Möglichkeit dazu haben, nutzen Cyberkriminelle die Vertrauensbeziehung zwischen Coderepositorys und Servern aus, um Änderungen am Code vorzunehmen und sie an den Master zu übergeben – eine Technik, die in der Sicherheitswelt als Angriff auf die Lieferkette bezeichnet wird.

Apropos Tools von Drittanbietern, die im Bauprozess verwendet werden: Die sollten einschließlich vorgefertigter Container-Images von Zeit zu Zeit überprüft werden, um sicherzustellen, dass sie wie erwartet funktionieren und dass ihre Funktionalität nicht durch Dritte beeinträchtigt wurde.

Eperiesi-Beck: Viele Firmen führen DevOps-Prozesse ein, um eine schnellere Entwicklung und Flexibilität zu erreichen. Bei vielen DevOps-Implementierungen sind die Sicherheitsteams jedoch von der der Continuous-Integration/Continuous-Delivery-Umgebung isoliert. Infolgedessen neigen Entwickler und I&O-Teams dazu, Sicherheit als ein Problem zu betrachten, das später behoben werden muss, und nicht als einen Schwerpunkt der Entwicklung. Darüber hinaus beruhen traditionelle Sicherheitstests auf schwergewichtigen, umfangreichen Tests, die die Agilität einschränken. Tipps hierzu:

  • Sicherheit zu einer gemeinsamen Verantwortung der Entwickler- und Sicherheitsteams machen
  • Etablierung eines Sicherheits-Coaching-Programms
  • Von Anfang an Sicherheits- und Risikobewertungstools in DevOps-Workflows integrieren
  • Automatisierung so vieler Sicherheitsprüfungen wie möglich
  • Sicherheit in der Entwicklung durch KPIs transparent machen; was sind die Ziele und wie können sie erreicht werden?
  • Einsatz guter und valider Testdaten, die allerdings keine Originaldaten sein dürfen

IT Security Summit: Wie sichert man Cloud-basierte Anwendungen richtig ab?

Gheri: Angriffe konzentrieren sich nicht nur auf den Diebstahl sensibler Daten, sondern können auch unternehmenskritische Dienste massiv beeinträchtigen. Sicherlich sind WAFs keine Wunderwaffe. Aber als Teil eines mehrschichtigen Securityansatzes sind sie ein wichtiges Verteidigungswerkzeug im fortwährenden Kampf gegen Sicherheitsrisiken aus dem Web.

Dabei sollte Folgendes beachtet werden:

Sicherstellen, dass sämtliche Apps durch WAFs geschützt sind; jede Applikation kann als Angriffsvektor dienen, auch wenn sie scheinbar kein externes Besucherverhalten aufweist; einmal entdeckt, werden Angreifer alle gefundenen Schwachstellen nutzen, um Zugang zum Netzwerk zu erhalten.

Web-App-Security ist nicht die Aufgabe des Entwicklerteams, denn Entwickler sind in der Regel keine Sicherheitsexperten.

Implementierung einer Cloud-Security-Posture-Management-(CSPM-)Lösung für automatisierte Cloud-Sicherheit, um unabsichtliche Konfigurationsveränderungen durch Anwender zu vermeiden und jederzeit Compliancevorgaben einhalten zu können – wie z. B. PCI-DSS.

Botezatu: Die Public-Cloud ist bei CI/CD Pipelines äußerst beliebt geworden, da sie zur Kostensenkung und bei Bedarf zur nahtlosen Skalierung beiträgt. Anstatt selbst zu hosten, setzen Unternehmen SaaS-Plattformen ein, die wiederum nach hinten losgehen können, wenn Sicherheitsrichtlinien oder Best Practices nicht befolgt werden. Eine SaaS-Plattform ist oft von außerhalb des Unternehmensnetzwerks verfügbar, was bedeutet, dass sie von Natur aus auch für Bösewichte zugänglich ist. Für Unternehmen ist es wichtig, Konten zu kontrollieren und bei Bedarf zu sperren.

Gekündigte Mitarbeiter oder böswillige Insider können ansonsten schlechten Code einschleusen oder das Repository beschädigen. Da Code oft als geistiges Eigentum angesehen wird, ist es auch wichtig, dass der Zugang auf ein Minimum beschränkt und durch eine Zwei-Faktor-Authentifizierung gesichert wird.

Eperiesi-Beck: Das zentrale Element zur Sicherung von Anwendungen in der Cloud ist die Datenverschlüsselung. Es geht nicht nur um die Sicherheit der Anwendung, sondern in der Regel um den Schutz der darin befindlichen Daten. Das geschieht am besten so, dass selbst der Betreiber der Anwendungsumgebung keinen Zugriff auf die kritischen Daten hat. IT-Sicherheitsexperten stimmen darin überein, dass es nicht fraglich ist, ob eine Anwendung gehackt wird, sondern nur, wann das passiert. Darum ist es entscheidend, sensible Daten in der Anwendung zu verschlüsseln, bevor sie das Unternehmen in Richtung Cloud verlassen. Verschlüsselung hat einen wesentlichen Vorteil gegenüber anderen IT-Sicherheitstechniken: Selbst wenn eine Anwendung gehackt und die Daten gestohlen werden, sind diese für Cyberkrimininelle nutzlos, weil sie nicht lesbar und somit auch nicht (kommerziell) nutzbar sind.

IT Security Summit: Auch das maschinelle Lernen ist in den letzten Jahren vorangeschritten. Wie wirkt sich das auf die Sicherheit von Anwendungen aus? Immerhin können solche Technologien auch zum Knacken von Passwörtern und Firewalls genutzt werden.

Gheri: Die meisten Angriffe passieren über E-Mail. Künstliche Intelligenz ist mittlerweile eine der größten Hoffnungen, um hochentwickelte personalisierte Angriffe auszuschalten. Durch das Erlernen und Analysieren der einzigartigen Kommunikationsmuster eines Unternehmens kann eine KI Engine Inkonsistenzen in Echtzeit aufspüren und Angriffsversuche in eine Quarantäne verschieben. Durch DMARC-Authentifizierungen ermöglicht es eine KI-unterstützte Lösung, einen betrügerischen Angriff zu erkennen und zu verhindern. Mit DMARC können Unternehmen von der eigenen Domain verschickte E-Mails überwachen, einen legitimierten E-Mail-Verkehr sicherstellen und das Versenden nicht autorisierter Nachrichten verhindern.

Da die künstliche Intelligenz innerhalb einer Organisation „heranreift“, wird sie durch die Analyse der unternehmensspezifischen Metadaten kontinuierlich effektiver. Der Ehrgeiz der Cyberkriminellen und die Plausibilität gefälschter E-Mails werden zunehmend raffinierter. Indem aber gleichsam eine Flut an Informationen tagein tagaus auf jeden einzelnen Mitarbeiter hereinbricht, braucht es neben aktueller Sicherheitstechnologie gleichsam eine kontinuierliche Sensibilisierung der Mitarbeiter. Diese sollten regelmäßig geschult und getestet werden, um ihr Sicherheitsbewusstsein für die Vielfalt gezielter Angriffe zu schärfen. Eine äußerst effektive Methode zur Prävention ist zudem die Inszenierung simulierter Angriffe zu Trainingszwecken.

Botezatu: Generative Adversarial Networks sind algorithmische Architekturen, die zwei neuronale Netze verwenden, wobei eines gegen das andere ausgespielt wird. Ihr Nutzen bei der Durchführung von Angriffen ist jedoch noch relativ begrenzt. Es gibt aber schon mehrere Toolkits, die maschinelles Lernen nutzen, um die zugrunde liegende Infrastruktur zu entdecken und Angriffe entsprechend anzupassen. Ich würde also sagen, dass maschinelles Lernen eingesetzt werden kann, um proaktiv Schwachstellen in Anwendungen zu entdecken. Auf der Gegenseite wird Machine Learning aber auch bereits eingesetzt, um einen Angriff zu erkennen und abzuwehren, bevor er erfolgreich ist.

Letzteres ist eine Technik, die in modernen Cybersicherheitslösungen weit verbreitet ist, um ein bisher unbekanntes Angriffsmuster zu erkennen und zu verhindern.

IT Security Summit: Was ist eure Sicherheitsprognose für die kommenden Monate und Jahre – welche Entwicklungen wird es in Sachen Anwendungssicherheit geben?

Gheri: Wir werden künftig die größten Sicherheitsbedrohungen durch die anhaltende Netzwerkverbreitung, die große Anzahl an weniger gut gesicherten Heimarbeitsplätzen, die Migration in die Cloud sowie die Zunahme kritischer Infrastrukturen und industrieller Kontrollsysteme sehen. Zudem ermöglicht es die 5G-Technologie Kriminellen, Daten aus kompromittierten Geräten mit einer bisher nicht vorstellbaren Geschwindigkeit abzugreifen. All das wird die Unternehmen in puncto Cybersicherheit vor große Herausforderungen stellen. Um die Wirtschaftlichkeit weiterhin gewährleisten zu können, muss diese Problematik gelöst werden.

Zudem haben wir in der jüngeren Vergangenheit weltweit ein gezieltes Auskundschaften und darauf unmittelbar folgende Angriffe auf Energieanlagen erlebt. Dies geschah mittels Ransomware, die für normale signaturbasierte Anti-Malware- und IPS-Systeme nicht erkennbar ist. Bislang können nur ganzheitliche Securitylösungen mit Advanced-Threat-Detection-Fähigkeiten so eine Verteidigungstechnologie bieten. Angriffe, die darauf abzielen, Zugang zu Anmeldeinformationen für industrielle Steuerungssysteme (IKS) sowie Überwachungs- und Datenerfassungssysteme (SCADA) anzugreifen, können ernsthafte Konsequenzen, wie etwa die Manipulationen der Energieversorgung, zur Folge haben.

Die größte Bedrohung, die wir im Laufe des nächsten Jahres erwarten, ist aber eine völlig neue. Ein Nebeneffekt bei der Migration in die Public-Cloud ist, dass immer mehr Unternehmen serverlose Plattformen nutzen, um Cloud-Anwendungen einzubinden und Kosten zu senken. Die Serverlosigkeit löst nicht automatisch die Sicherheitsprobleme. Wir hören oft von unseren Kunden, dass die Verwendung veralteter Bibliotheken und insbesondere fehlerhafter Konfigurationen durch Mitarbeiter eine große Bedrohung für Cloud-Deployments darstellt. Um diese Probleme künftig zu vermeiden, erwarten wir eine erhöhte Cloud-Automatisierung etwa zur Behebung ungenügender Sicherheitseinstellungen. Die Unternehmen brauchen künftig einen umfassenderen Einblick in die Sicherheitslage von Public-Cloud-Workloads.

Botezatu: Seit 2018 konzentriert sich die Forschungswelt auf die Identifizierung von Schwachstellen in handelsüblicher Hardware in Servern. Die Meltdown- und Spectre-Angriffe haben neue Formen von Cyberangriffen hervorgebracht, bei denen der Prozessor des Computers kompromittiert wird, um den Inhalt des Speichers offenzulegen oder den Anwendungsfluss vollständig zu verändern. Die Zahl solcher Angriffe hat in den letzten zwei Jahren stetig zugenommen und selbst wenn sie in realen Cyberangriffen nicht verwendet werden, erfordert ihre Existenz als Proof of Concept neue Abwehrmechanismen.

Eperiesi-Beck: Eine große Gefahr für die Sicherheit von Daten entsteht in absehbarer Zeit durch Quantencomputer. Diese werden tatsächlich in der Lage seine, viele bewährte Sicherheitstechniken zu überwinden. Asymmetrische Verschlüsselungsalgorithmen beispielsweise bieten keine Sicherheit gegen Attacken mit einem Quantenrechner. Unternehmen sollten sich rechtzeitig hierauf vorbereiten und sich mit den Entwicklungen sogenannter „Postquantenkryptografie“ und Algorithmen wie XMSS, TESLA, LARA und KINDI auseinandersetzen.

Die Rechtsprechung der letzten Jahre hat immer wieder deutlich gemacht, dass der Schutz der (personenbezogenen) Daten eine nicht-delegierbare Verantwortung der Unternehmen ist. Damit wird Datensicherheit zu mehr als einem Hygienefaktor: Sie wird zum Wettbewerbsvorteil. Es reicht nicht mehr, einfach nur ein „Kreuzchen“ bei Verschlüsselung als Feature zu machen. Kunden hinterfragen, wer Zugriff auf die unverschlüsselten Daten hat, und warum sie nicht selbst die vollständige Kontrolle über ihre Daten haben können. Zahlreiche gesetzliche Vorschriften zwingen die Kunden zu diesen Fragen.

Gerade Dev(Sec)Ops steht vor neuen Herausforderungen. Bisher interne (daher häufig geheim gehaltene) Informationen zu Schwachstellenscans, Sicherheitskonzepten und Entwicklungsmodellen werden zunehmend von potenziellen Kunden hinterfragt und müssen offengelegt werden. Externe Tests und Prüfungen gehören zum Alltag und stellen damit neue Anforderungen an die Entwicklung. Die Integration von Sicherheit in den DevOps-Prozess ist unabdingbar. Schließlich gilt: Wer von Anfang an die richtigen Antworten hat und auf offene Kommunikation setzt, liegt in den Kundenentscheidungen vor dem Mitbewerber:innen.

Alle News zum IT Security Summit