VERANSTALTUNGEN

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

abas Global Conference
20.09.18 - 21.09.18
In Karlsruhe

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

DevOps

DevOps- und Security-Verantwortliche wissen oft nicht, in welchen Bereichen sich in der IT-Infrastruktur privilegierte Accounts und Zugangsdaten befinden. Zudem verfügen die meisten Unternehmen über keine Sicherheitsstrategie für DevOps-Umgebungen. So lauten zentrale Ergebnisse einer aktuellen CyberArk-Untersuchung.

CyberArk hat die globale Umfrage "Advanced Threat Landscape" in diesem Jahr zum elften Mal durchgeführt. Insgesamt wurden mehr als 1.000 IT-Security-Entscheider, Verantwortliche für DevOps und Applikationsentwicklung sowie Geschäftsbereichsleiter befragt, darunter 200 aus Deutschland. Ein Untersuchungsschwerpunkt war das Thema "Privileged Account Security" in DevOps-Umgebungen und -Prozessen. Dabei hat sich gezeigt, dass eine große Unkenntnis vorherrscht.

Auf die Frage "In welchen Bereichen sind privilegierte Accounts beziehungsweise Zugangsdaten vorhanden?" antworteten von den deutschen Teilnehmern an der Untersuchung:

  • nur 10 % in Source-Code-Repositories wie GitHub
  • lediglich 14 % in Microservices
  • 25 % in Cloud-Umgebungen
  • 27 % in CI/CD-Tools, die von DevOps-Teams genutzt werden
  • 31 % in Containern.

Faktisch befinden sich privilegierte Accounts und Zugangsdaten aber in allen genannten und für DevOps-Umgebungen relevanten Bereichen.

Die Untersuchung hat aber nicht nur diese Unkenntnis aufgedeckt, sondern auch gezeigt, dass die deutliche Mehrheit (77 %) der deutschen Unternehmen keine dedizierte "Privileged Account Security"-Strategie für DevOps verfolgt.

"Wenn Unternehmen DevOps-Modelle nutzen, werden mehr privilegierte Accounts und Zugangsdaten generiert und über vernetzte Business-Ökosysteme hinweg geteilt", erklärt Michael Kleist, Regional Director DACH bei CyberArk in Düsseldorf. "In der Hand eines externen Angreifers oder böswilligen Insiders stellen diese privilegierten vertraulichen Zugangsdaten eine erhebliche Gefahr dar, da sie eine vollständige Kontrolle über die gesamte IT-Infrastruktur eines Unternehmens ermöglichen. Deshalb ist es besorgniserregend, dass nur das Erreichen von IT- und Business-Vorteilen mittels DevOps im Vordergrund steht und die erweiterte Angriffsfläche durch die Nutzung von vertraulichen Zugangsdaten in DevOps-Umgebungen unberücksichtigt bleibt."

Erhöht wird das Sicherheitsrisiko für Unternehmen noch durch die zunehmende Nutzung von Cloud-Orchestrierungs- und Automationstools in DevOps-Projekten. 54 % der befragten deutschen Unternehmen nutzen solche Tools für die interne Entwicklung und 72 % vertrauen dabei auf die Sicherheitsmaßnahmen des Cloud-Anbieters. Das heißt, in diesen Fällen wird die Privileged Account Security für die Cloud-Umgebung nicht vollständig mit den eigenen DevOps-Prozessen integriert – somit besteht ein weiteres Sicherheitsrisiko. Bei der Nutzung von Cloud-Angeboten ist die Security-Verantwortung immer eine gemeinsam wahrzunehmende Verantwortung von Anbieter und Nutzer.

Die CyberArk-Untersuchung hat nicht zuletzt ergeben, dass DevOps- und Security-Teams oft getrennt voneinander arbeiten; in Deutschland bestätigten dies 59 %. Kleist bemerkt dazu: "Von Jenkins über Puppet bis zu Chef gibt es keine gemeinsamen Standards, sodass für jedes Tool individuelle, spezifische Sicherheitsmaßnahmen zu implementieren sind. DevOps benötigt einen eigenen Security-Stack und Security-Teams sind hier gefordert. Sie können mit einer systematischen Vorgehensweise DevOps-Teams dabei unterstützen, eine hohe Sicherheit zu realisieren. DevOps- und Security-Tools und Practices müssen miteinander integriert werden, um einen effizienten Schutz für privilegierte Daten zu etablieren. Die enge Zusammenarbeit von DevOps- und Security-Teams ist deshalb der erste Schritt für den erfolgreichen Aufbau einer skalierbaren Sicherheitsplattform.”

Weitere Informationen:

Der erste Teil des CyberArk Advanced Threat Landscape 2018 Report steht zum Download unter https://www.cyberark.com/resource/cyberark-global-advanced-threat-landscape-survey-2018-focus-devops/ zur Verfügung.

Über den Report "CyberArk Advanced Threat Landscape 2018":

Im Auftrag von CyberArk hat das Marktforschungsunternehmen Vanson Bourne für den weltweiten Report "Advanced Threat Landscape" im September und Oktober 2017 mehr als 1.000 IT-Security-Entscheider, Verantwortliche für DevOps und Applikationsentwicklung sowie Geschäftsbereichsleiter in Deutschland, Frankreich, Großbritannien, Israel, den USA, Australien und Singapur zu Themen rund um die Cyber-Sicherheit befragt. Die Untersuchung wird in drei Teilen veröffentlicht; im ersten Teil geht es um die Einbindung von Privileged Account Security in DevOps-Prozesse.
 

GRID LIST
Penetrationstest

Penetrationstests offenbaren gefährliches Tor in Unternehmensnetzwerke

Ob Schwachstellen in Webanwendungen oder öffentlich verfügbare Verwaltungsschnittstellen…
Startup

Wie zufrieden sind Startups mit dem Standort Deutschland?

Der Standort Deutschland ist für Startups viel besser als sein Ruf. Ob…
Insurance

Digitalisierung der Versicherungsbranche steckt in den Kinderschuhen

Einen Schaden online melden oder eine Leistungsabrechnung digital bearbeiten: Was für die…
Hacking detected

Neueste Entwicklungen bei von Hackern entdeckten Sicherheitslücken

HackerOne, eine Plattform für Bug-Bounties und Cybersecurity, gab heute die Ergebnisse…
Investment

Digitale Kompetenzen: Knapp sechs von zehn Unternehmen investieren

Um in der Arbeitswelt 4.0 zu bestehen, sind digitale Kompetenzen unabdingbar. Allerdings…
Business Intelligence

Unternehmen bringen Daten-PS fachlich nicht auf die Straße

Unternehmen in Deutschland, Österreich und der Schweiz (DACH) erarbeiten sich zu wenige…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security