Missmanagement und menschliches Versagen Agieren, bevor die IT-Sicherheit gefährdet ist

Ein Gastbeitrag von Elmar Albinger* Lesedauer: 4 min |

Anbieter zum Thema

Die Nutzung von SaaS-Anwendungen hat in den letzten Jahren exponentiell zugenommen. Unternehmen stoßen bei der Verwaltung der Sicherheit und des Risikos von Anwendungskonnektivität auf zahlreiche Probleme. Die Anwendungssicherheit ist zu einem integralen Bestandteil der Sicherheitsstrategien vieler Unternehmen geworden.

DevOps-Prozesse in Unternehmen sollten nie ohne solide Sicherheitsstrategie aufgesetzt werden.
DevOps-Prozesse in Unternehmen sollten nie ohne solide Sicherheitsstrategie aufgesetzt werden.
(Bild: ZinetroN - stock.adobe.com)

Wie können wir also die Herausforderungen für die Anwendungskonnektivität in einer komplexen Cloud-Umgebung am besten bewältigen? Eine aktuelle Studie der Cloud Security Alliance (CSA) in Zusammenarbeit mit AlgoSec gibt Einblick in die Kenntnisse, Einstellungen und Meinungen der Branche in Bezug auf die Sicherheit von Anwendungskonnektivität in der Cloud.

Schwachstellen aufspüren

Das Risikomanagement für Anwendungskonnektivität ist keine einfache Aufgabe und Unternehmen nutzen viele verschiedene Tools, um das Risiko zu bewerten. 53 Prozent der Unternehmen nutzen den Bewertungsdienst eines Cloud-Anbieters, die Hälfte verwendet ein reines Cloud-Tool von Drittanbietern, weitere 45 Prozent nutzen ein allgemeines Tool zur Risiko- oder Schwachstellenbewertung und etwa ein Drittel ein Tool zur hybriden Netzwerksicherheit eines Drittanbieters.

Zum Teil ist dies auf die komplexen SaaS-Umgebungen zurückzuführen, in denen die Unternehmen arbeiten, zum Teil aber auch auf die Unzufriedenheit mit einem einzigen Tool. Unternehmen versuchen, mehrere Methoden zu verwenden, um ähnliche Informationen zu erhalten. Das kann leicht zu Verwirrung führen, aber es scheint kein unfehlbares Werkzeug zu geben, mit dem die Teams arbeiten können.

Verantwortlichkeiten klären

Die Komplexität der Risikoverwaltung hört nicht bei den Tools auf, sondern wird noch komplizierter durch die Frage, wer die Risiken der Anwendungskonnektivität verwaltet. Traditionelle Sicherheitsteams sind für die Identifizierung und Abschwächung von Risiken verantwortlich, was immer noch auf 42 Prozent der Unternehmen zutrifft.

Es findet jedoch eine Verschiebung statt: Zweiunddreißig Prozent der Unternehmen nutzen Infrastructure-as-Code (IaC) mit eingebetteten Sicherheitsprüfungen, was darauf hindeutet, dass die Unternehmen beginnen, den Prozess stärker zu automatisieren und weniger Raum für menschliche Fehler zu lassen. Weitere 26 Prozent binden ihre Entwickler ein, indem sie entweder DevOps mit einer Reihe von Sicherheits-KPIs beauftragen oder die Entwickler mit Anweisungen des Sicherheitsteams die Risiken beseitigen lassen. Dies deutet darauf hin, dass die Unternehmen beginnen, einen DevSecOps- oder Shift-Left-Ansatz zu übernehmen.

Anwendungen in der Public Cloud

Teams für Anwendungssicherheit sind häufig in Sicherheitsteams eingebettet und damit am häufigsten für die Sicherung der Anwendungskonnektivität in der Public Cloud verantwortlich. Diese Teams sind auch meist für die allgemeine Sicherheit der Public Cloud verantwortlich, sodass Anwendungen in der Public Cloud eine natürliche Erweiterung ihrer Aufgaben darstellen. Eine weitere Gruppe, die oft für die Sicherheit verantwortlich gemacht wird, sind auch hier mit 20 Prozent die DevOps-Teams.

Die größten Bedenken der Unternehmen in Bezug auf Anwendungen in der Public Cloud beziehen sich auf unbefugten Zugriff von außen und von innen. Ein weiteres Hauptanliegen ist Malware, was nicht überrascht, da insbesondere Ransomware eine der größten Bedrohungen darstellt. Malware kann auch zu unbefugtem externem Zugriff und Datenverlust führen.

Interessanterweise steht der Verlust sensibler Daten weit unten auf der Liste, was wohl daran liegt, dass dieses Szenario immer mit irgendeiner Form des unbefugten Zugriffs verbunden ist. Auch Fehlkonfigurationen bei der Anwendungskonnektivität wurden niedriger eingestuft, was wahrscheinlich darauf zurückzuführen ist, dass sich die Unternehmen am meisten um das Ergebnis sorgen – sprich den autorisierten Zugriff.

Lange Anwendungsausfallzeiten durch menschliches Versagen

Fast 75 Prozent der Unternehmen haben in den letzten zwölf Monaten einen Anwendungsausfall erlebt, und bei mehr als der Hälfte (52 Prozent) der Ausfälle war menschliches Versagen und Missmanagement die Ursache. Das ist angesichts der Qualifikationslücke, die die Informationssicherheitsbranche plagt, nicht überraschend.

63 Prozent der betroffenen Unternehmen waren länger als eine Stunde von Störungen betroffen. Laut Gartner belaufen sich die durchschnittlichen Kosten für Ausfallzeiten auf 5.600 US-Dollar pro Minute und etwa 300.000 US-Dollar pro Stunde. Diese Ausfälle haben Auswirkungen auf den Gewinn der Unternehmen. 52 Prozent der Unternehmen hatten Cloud-Vorfälle, die zu Betriebsausfällen von mehr als einer Stunde führten, was auf eine allgemeine Zunahme der Auswirkungen dieser Vorfälle hindeutet. Die Suche nach den Ursachen dieser Vorfälle kann Unternehmen dabei helfen, die Kontrolle zu übernehmen und die Ausfälle direkt zu bekämpfen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Cloud Computing

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Es liegt auf der Hand, dass ein Mangel an fachkundigem Personal zu Fehlern führen kann. Dieses Qualifikationsdefizit kann jedoch auch dazu führen, dass sachkundige Fachleute gestresst und überlastet werden, da immer weniger Menschen die Arbeitslast tragen, was ebenfalls zu Fehlern führt. Um durch menschliches Versagen verursachte Ausfälle zu vermeiden, müssen Unternehmen ihr Personal mit Hilfsmitteln wie der Automatisierung unterstützen. Durch den Einsatz von Automatisierung wird die Arbeitsbelastung der Mitarbeiter verringert, sodass sie sich weniger auf monotone und mehr auf komplexere Aufgaben konzentrieren können.

Sicherheit in DevOps-Prozesse integrieren

Cloud-native Geschäftsanwendungen sind ein entscheidender Treiber für die Innovationskraft und Transformation von Unternehmen. Deshalb ist es dringend notwendig, die Sicherheit in den DevOps-Prozess zu integrieren. Umständliche Sicherheitsprozesse und mangelnde Transparenz verlangsamen aber die Markteinführungszeit von Anwendungen und gefährden die Sicherheit in diesem neuen Muster. Die CSA-Studie unterstreicht, wie wichtig es ist, Risiken frühzeitig im DevOps-Prozess zu erkennen und alle Beteiligten von Anfang an auf Risiko- und Compliance-Lücken einzustellen.


* Der Autor Elmar Albinger ist Regional Sales Director bei AlgoSec.

Bildquelle: AlgoSec

(ID:49582808)