Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

DevOps

DevOps- und Security-Verantwortliche wissen oft nicht, in welchen Bereichen sich in der IT-Infrastruktur privilegierte Accounts und Zugangsdaten befinden. Zudem verfügen die meisten Unternehmen über keine Sicherheitsstrategie für DevOps-Umgebungen. So lauten zentrale Ergebnisse einer aktuellen CyberArk-Untersuchung.

CyberArk hat die globale Umfrage "Advanced Threat Landscape" in diesem Jahr zum elften Mal durchgeführt. Insgesamt wurden mehr als 1.000 IT-Security-Entscheider, Verantwortliche für DevOps und Applikationsentwicklung sowie Geschäftsbereichsleiter befragt, darunter 200 aus Deutschland. Ein Untersuchungsschwerpunkt war das Thema "Privileged Account Security" in DevOps-Umgebungen und -Prozessen. Dabei hat sich gezeigt, dass eine große Unkenntnis vorherrscht.

Auf die Frage "In welchen Bereichen sind privilegierte Accounts beziehungsweise Zugangsdaten vorhanden?" antworteten von den deutschen Teilnehmern an der Untersuchung:

  • nur 10 % in Source-Code-Repositories wie GitHub
  • lediglich 14 % in Microservices
  • 25 % in Cloud-Umgebungen
  • 27 % in CI/CD-Tools, die von DevOps-Teams genutzt werden
  • 31 % in Containern.

Faktisch befinden sich privilegierte Accounts und Zugangsdaten aber in allen genannten und für DevOps-Umgebungen relevanten Bereichen.

Die Untersuchung hat aber nicht nur diese Unkenntnis aufgedeckt, sondern auch gezeigt, dass die deutliche Mehrheit (77 %) der deutschen Unternehmen keine dedizierte "Privileged Account Security"-Strategie für DevOps verfolgt.

"Wenn Unternehmen DevOps-Modelle nutzen, werden mehr privilegierte Accounts und Zugangsdaten generiert und über vernetzte Business-Ökosysteme hinweg geteilt", erklärt Michael Kleist, Regional Director DACH bei CyberArk in Düsseldorf. "In der Hand eines externen Angreifers oder böswilligen Insiders stellen diese privilegierten vertraulichen Zugangsdaten eine erhebliche Gefahr dar, da sie eine vollständige Kontrolle über die gesamte IT-Infrastruktur eines Unternehmens ermöglichen. Deshalb ist es besorgniserregend, dass nur das Erreichen von IT- und Business-Vorteilen mittels DevOps im Vordergrund steht und die erweiterte Angriffsfläche durch die Nutzung von vertraulichen Zugangsdaten in DevOps-Umgebungen unberücksichtigt bleibt."

Erhöht wird das Sicherheitsrisiko für Unternehmen noch durch die zunehmende Nutzung von Cloud-Orchestrierungs- und Automationstools in DevOps-Projekten. 54 % der befragten deutschen Unternehmen nutzen solche Tools für die interne Entwicklung und 72 % vertrauen dabei auf die Sicherheitsmaßnahmen des Cloud-Anbieters. Das heißt, in diesen Fällen wird die Privileged Account Security für die Cloud-Umgebung nicht vollständig mit den eigenen DevOps-Prozessen integriert – somit besteht ein weiteres Sicherheitsrisiko. Bei der Nutzung von Cloud-Angeboten ist die Security-Verantwortung immer eine gemeinsam wahrzunehmende Verantwortung von Anbieter und Nutzer.

Die CyberArk-Untersuchung hat nicht zuletzt ergeben, dass DevOps- und Security-Teams oft getrennt voneinander arbeiten; in Deutschland bestätigten dies 59 %. Kleist bemerkt dazu: "Von Jenkins über Puppet bis zu Chef gibt es keine gemeinsamen Standards, sodass für jedes Tool individuelle, spezifische Sicherheitsmaßnahmen zu implementieren sind. DevOps benötigt einen eigenen Security-Stack und Security-Teams sind hier gefordert. Sie können mit einer systematischen Vorgehensweise DevOps-Teams dabei unterstützen, eine hohe Sicherheit zu realisieren. DevOps- und Security-Tools und Practices müssen miteinander integriert werden, um einen effizienten Schutz für privilegierte Daten zu etablieren. Die enge Zusammenarbeit von DevOps- und Security-Teams ist deshalb der erste Schritt für den erfolgreichen Aufbau einer skalierbaren Sicherheitsplattform.”

Weitere Informationen:

Der erste Teil des CyberArk Advanced Threat Landscape 2018 Report steht zum Download unter https://www.cyberark.com/resource/cyberark-global-advanced-threat-landscape-survey-2018-focus-devops/ zur Verfügung.

Über den Report "CyberArk Advanced Threat Landscape 2018":

Im Auftrag von CyberArk hat das Marktforschungsunternehmen Vanson Bourne für den weltweiten Report "Advanced Threat Landscape" im September und Oktober 2017 mehr als 1.000 IT-Security-Entscheider, Verantwortliche für DevOps und Applikationsentwicklung sowie Geschäftsbereichsleiter in Deutschland, Frankreich, Großbritannien, Israel, den USA, Australien und Singapur zu Themen rund um die Cyber-Sicherheit befragt. Die Untersuchung wird in drei Teilen veröffentlicht; im ersten Teil geht es um die Einbindung von Privileged Account Security in DevOps-Prozesse.
 

GRID LIST
Lupe

Kaspersky Lab entdeckt täglich 360.000 neue schädliche Dateien

Im Jahr 2017 wurden täglich weltweit durchschnittlich 360.000 schädliche Dateien von den…
Frustriert

IT-Security verhindert Innovationen und frustriert Nutzer

Herkömmliche IT-Sicherheitslösungen beeinträchtigen die Produktivität, verhindern…
Tb W190 H80 Crop Int Cf667a315eb3f838ca50d8e0bf37697e

Mobile Programmatic Advertising: Ad Fraud ist das größte Bedenken

Die unabhängige, transparente Media Buying Plattform iotec hebt mit den Erhebungen aus…
Tb W190 H80 Crop Int 8123c9c22eba00f10b2f22b9ae52352d

Cloud-Sicherheitsvorfälle kosten bis zu 1.2 Millionen US-Dollar

Obwohl 75 Prozent der Unternehmen künftig weitere Anwendungen in die Cloud verschieben…
mobile Security

Jeder dritte Smartphone-Nutzer hatte Sicherheitsprobleme

E-Mails, Kontaktdaten, die Online-Banking-App oder Fotos: Auf dem Smartphone befinden…
Tb W190 H80 Crop Int 09dfa399a4a7e8c6b7042604b55c67a8

Zögerliche Umsetzung industrieller Cyber Security Maßnahmen

Honeywell veröffentlichte eine neue Studie, nach der industrielle Unternehmen nur…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security