IT Security Summit: Hallo Roman! Sicherheit ist in der Welt der IT schon immer ein Thema. Kannst du vielleicht kurz umreißen, wie sich die Sicherheitslage in den letzten Jahren verändert hat?
Roman Borovits: Wie man deutlich an den immer häufiger vorkommenden IT-Sicherheitsvorfällen sehen kann, hat sich durch die Digitalisierung und durch das Vernetzen von Dingen aller Art das Spektrum für Hacker und Angreifer wesentlich vergrößert.
So hat sich zum Beispiel die Anzahl der vernetzten Geräte, der verfügbaren Apps und Webseiten, der Datenaustausch zwischen Clients und Systemen aber auch zwischen Systemen und Systemen enorm verändert und vergrößert, wobei die erforderlichen Sicherheitsmaßnahmen oder Systeme sowie auch die Erkenntnis und Awareness der einzelnen User und Verantwortlichen nicht gleichermaßen mitgewachsen sind.
Die Bedrohungen sind im Wesentlichen die gleichen wie früher, es ist alles einfach nur massiver und intensiver möglich, und insbesondere die Auswirkungen von erfolgreichen Cyber-Angriffen sind wesentlich höher und weitreichender.
DevSecOps – Security und DevOps
IT Security Summit: Im DevOps-Bereich gibt es viele Ansätze, Anwendungen und deren Deployment sicherer zu machen: Das Stichwort hier heißt “DevSecOps”. Kannst du uns zu dessen Definition vielleicht ein paar Worte sagen?
Roman Borovits: Bei DevSecOps geht es im Prinzip darum, Security im Bewusstsein aller Akteure im DevOps-Modell zu verankern. Jeder ist dafür verantwortlich. Entwicklungsprozesse, die Security außen vor lassen, sind nicht mehr zeitgemäß – denn es ist kaum möglich, Security für ein Produkt zu gewährleisten, wenn dieses bereits fertiggestellt wurde und nun sicher gemacht werden soll. Daher spricht man in diesem Zusammenhang auch von “Shifting Left” – das heißt Security bereits ganz früh in die Entwicklungs-Prozesse zu integrieren, nicht erst kurz vor Deployment der App.
IT Security Summit: Wie genau sichert man eine CI/CD Pipeline am besten ab? Irgendwelche Best Practices?
Roman Borovits: Das Wichtigste ist, dass man keinen Trade-Off zwischen Security und Geschwindigkeit eingeht. CI/CD Pipelines sind eine fantastische Sache, weil im Prinzip alles automatisiert werden und ohne manuelle Intervention ablaufen kann. Aber genau in diesen Vorteilen verbergen sich auch die Gefahren. CI/CDs managen den kompletten Life Cycle von Applications und sind daher natürlich ein attraktives Ziel für Angreifer.
Diese Pipe möglichst sicher zu machen, umfasst sehr viele Aspekte. Viel davon kennen wir schon, wie zum Beispiel nur die geringst notwendigen Privilege Levels zu verwenden, keine Credentials in Scripts zu speichern, größtmögliche Einschränkung des Nutzerkreises, Implementierung von Access Controls sowie die Einführung von Reviews und eines Security-Monitoring-Systems. Schwachstellen werden schneller erkannt und unerlaubte Zugreifer ausgesperrt.
Cloud Computing & Machine Learning
IT Security Summit: Die Cloud ist für viele Unternehmen ein Segen, müssen sie doch nicht mehr selbst Hand anlegen, was die Server und die Konfiguration angeht. Dennoch gibt es, da alles irgendwo halb-öffentlich in der Cloud lagert, ganz andere Sicherheitsprobleme. Wie sichert man Cloud-basierten Anwendungen richtig ab?
Roman Borovits: Ich persönlich unterscheide hier zwischen folgenden Begriffen: “Cloud Security” und “Security in der Cloud”. Cloud Security ist nicht unabhängig von der Cloud-Infrastruktur, die man verwendet. Je nach Anbieter können die Architektur, Zuständigkeiten etc. variieren, und Security-Modelle müssen entsprechend angepasst werden.
Gleiches gilt für Standorte und den damit verbundenen Rechtsraum, in dem man sich bewegt, denn jede Region der Welt hat ihre eigenen Auflagen und Bedürfnisse, Stichwort GDPR in der EU, Safe Harbor für USA. Was man bei Cloud Security auf alle Fälle bedenken muss, ist, wo bei meinem Cloud Provider die Zuständigkeit für Security endet. Ist es die Server-Infrastruktur oder das Netzwerk, etc.? Dementsprechend sollten die Maßnahmen angepasst werden.
Bei “Security in der Cloud” gilt es aus meiner Sicht Maßnahmen zu treffen, die unabhängig von der Infrastruktur sind. Dazu gehört etwa die Verwendung von Web Application Firewalls für Apps mit sensitiven Daten. Eine Web Application Firewall ist in diesem Zusammenhang immer eine gute Idee, egal wo die App betrieben wird.
IT Security Summit: Auch das maschinelle Lernen oder Machine Learning ist in den letzten Jahren ordentlich vorangeschritten. Wie wirkt sich das auf die Sicherheit von Anwendungen aus? Immerhin können solche Technologien auch zum Knacken von Passwörtern und Firewalls genutzt werden.
Roman Borovits: Das Machine Learning ermöglicht uns viel feinere Ansätze bei der Bekämpfung von Cyber-Angriffen oder gar bei der Erkennung von möglichen Bedrohungen. Im Grunde geht es hierbei um das Erkennen und Bewerten von verhaltensbasierten Anomalien, also Abweichungen vom Normalfall, wobei man davon ausgeht, dass sich ein möglicher Angreifer eben anders verhält als ein normaler Benutzer.
Ein solches System kann also zum Beispiel situationsbedingt und im jeweiligen Kontext der Applikation Anomalien erkennen und damit frühzeitige Gegenmaßnahmen ermöglichen. Ein „normales“ Sicherheitssystem, ohne AI oder Machine Learning, muss idealerweise passend vorkonfiguriert und möglichst auf alle Eventualitäten eingestellt werden. Letzteres kann je nach System einen hohen Aufwand bedeuten und birgt auch eine wesentlich höhere Gefahr für sogenannte „false positives“, also Fehlalarme, die den Zugriff auf oder den Betrieb der jeweiligen Applikation stören können. Machine Learning lässt sich in vielen Bereichen einsetzen und kann natürlich auch für Cyber-Angriffe genutzt werden, aber das gilt für viele andere Dinge auch.
Security Trends
IT Security Summit: Was ist deine Sicherheitsprognose für die kommenden Monate und Jahre – welche Entwicklungen wird es in Sachen Anwendungssicherheit geben?
Roman Borovits: Ich glaube, der aktuelle Trend wird sich weiter fortsetzen und noch wesentlich verstärken. Durch die Digitalisierung werden immer mehr Dienste und Daten „online“ bzw. eben digital ausgetauscht, so dass Themen wie Zugriffskontrolle bzw. Steuerung noch wichtiger werden als sie heute schon sind.
Auch im Hinblick auf die zunehmende Dezentralisierung von Diensten und Services, insbesondere durch die Nutzung von weltweit verteilten Cloud-Infrastrukturen, wird der gewohnte Perimeterschutz immer schwieriger anwendbar bzw. durchsetzbar. Die Authentifizierung, bzw. die Identität des einzelnen Benutzers und der Kontext, in dem er sich gerade befindet oder was er denn tun möchte, werden als neue Perimeter etabliert. Darauf basierend können Entscheidungen getroffen werden.
Geschrieben von: Domonik Mohilo
Dominik Mohilo studierte Germanistik und Soziologie an der Goethe-Universität in Frankfurt. Seit 2015 ist er Redakteur bei S&S-Media.