Anzeige

Anzeige

VERANSTALTUNGEN

Software Quality Days 2019
15.01.19 - 18.01.19
In Wien

CloudFest 2019
23.03.19 - 29.03.19
In Europa-Park, Rust

Blockchain Summit
25.03.19 - 26.03.19
In Frankfurt, Kap Europa

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

Anzeige

Anzeige

Anzeige

DevOps

DevOps- und Security-Verantwortliche wissen oft nicht, in welchen Bereichen sich in der IT-Infrastruktur privilegierte Accounts und Zugangsdaten befinden. Zudem verfügen die meisten Unternehmen über keine Sicherheitsstrategie für DevOps-Umgebungen. So lauten zentrale Ergebnisse einer aktuellen CyberArk-Untersuchung.

CyberArk hat die globale Umfrage "Advanced Threat Landscape" in diesem Jahr zum elften Mal durchgeführt. Insgesamt wurden mehr als 1.000 IT-Security-Entscheider, Verantwortliche für DevOps und Applikationsentwicklung sowie Geschäftsbereichsleiter befragt, darunter 200 aus Deutschland. Ein Untersuchungsschwerpunkt war das Thema "Privileged Account Security" in DevOps-Umgebungen und -Prozessen. Dabei hat sich gezeigt, dass eine große Unkenntnis vorherrscht.

Auf die Frage "In welchen Bereichen sind privilegierte Accounts beziehungsweise Zugangsdaten vorhanden?" antworteten von den deutschen Teilnehmern an der Untersuchung:

  • nur 10 % in Source-Code-Repositories wie GitHub
  • lediglich 14 % in Microservices
  • 25 % in Cloud-Umgebungen
  • 27 % in CI/CD-Tools, die von DevOps-Teams genutzt werden
  • 31 % in Containern.

Faktisch befinden sich privilegierte Accounts und Zugangsdaten aber in allen genannten und für DevOps-Umgebungen relevanten Bereichen.

Die Untersuchung hat aber nicht nur diese Unkenntnis aufgedeckt, sondern auch gezeigt, dass die deutliche Mehrheit (77 %) der deutschen Unternehmen keine dedizierte "Privileged Account Security"-Strategie für DevOps verfolgt.

"Wenn Unternehmen DevOps-Modelle nutzen, werden mehr privilegierte Accounts und Zugangsdaten generiert und über vernetzte Business-Ökosysteme hinweg geteilt", erklärt Michael Kleist, Regional Director DACH bei CyberArk in Düsseldorf. "In der Hand eines externen Angreifers oder böswilligen Insiders stellen diese privilegierten vertraulichen Zugangsdaten eine erhebliche Gefahr dar, da sie eine vollständige Kontrolle über die gesamte IT-Infrastruktur eines Unternehmens ermöglichen. Deshalb ist es besorgniserregend, dass nur das Erreichen von IT- und Business-Vorteilen mittels DevOps im Vordergrund steht und die erweiterte Angriffsfläche durch die Nutzung von vertraulichen Zugangsdaten in DevOps-Umgebungen unberücksichtigt bleibt."

Erhöht wird das Sicherheitsrisiko für Unternehmen noch durch die zunehmende Nutzung von Cloud-Orchestrierungs- und Automationstools in DevOps-Projekten. 54 % der befragten deutschen Unternehmen nutzen solche Tools für die interne Entwicklung und 72 % vertrauen dabei auf die Sicherheitsmaßnahmen des Cloud-Anbieters. Das heißt, in diesen Fällen wird die Privileged Account Security für die Cloud-Umgebung nicht vollständig mit den eigenen DevOps-Prozessen integriert – somit besteht ein weiteres Sicherheitsrisiko. Bei der Nutzung von Cloud-Angeboten ist die Security-Verantwortung immer eine gemeinsam wahrzunehmende Verantwortung von Anbieter und Nutzer.

Die CyberArk-Untersuchung hat nicht zuletzt ergeben, dass DevOps- und Security-Teams oft getrennt voneinander arbeiten; in Deutschland bestätigten dies 59 %. Kleist bemerkt dazu: "Von Jenkins über Puppet bis zu Chef gibt es keine gemeinsamen Standards, sodass für jedes Tool individuelle, spezifische Sicherheitsmaßnahmen zu implementieren sind. DevOps benötigt einen eigenen Security-Stack und Security-Teams sind hier gefordert. Sie können mit einer systematischen Vorgehensweise DevOps-Teams dabei unterstützen, eine hohe Sicherheit zu realisieren. DevOps- und Security-Tools und Practices müssen miteinander integriert werden, um einen effizienten Schutz für privilegierte Daten zu etablieren. Die enge Zusammenarbeit von DevOps- und Security-Teams ist deshalb der erste Schritt für den erfolgreichen Aufbau einer skalierbaren Sicherheitsplattform.”

Weitere Informationen:

Der erste Teil des CyberArk Advanced Threat Landscape 2018 Report steht zum Download unter https://www.cyberark.com/resource/cyberark-global-advanced-threat-landscape-survey-2018-focus-devops/ zur Verfügung.

Über den Report "CyberArk Advanced Threat Landscape 2018":

Im Auftrag von CyberArk hat das Marktforschungsunternehmen Vanson Bourne für den weltweiten Report "Advanced Threat Landscape" im September und Oktober 2017 mehr als 1.000 IT-Security-Entscheider, Verantwortliche für DevOps und Applikationsentwicklung sowie Geschäftsbereichsleiter in Deutschland, Frankreich, Großbritannien, Israel, den USA, Australien und Singapur zu Themen rund um die Cyber-Sicherheit befragt. Die Untersuchung wird in drei Teilen veröffentlicht; im ersten Teil geht es um die Einbindung von Privileged Account Security in DevOps-Prozesse.
 

GRID LIST
Tb W190 H80 Crop Int 35b153ef0c8e6e8c63064b7b719a1ecd

Rolle des CIOs wird strategischer

CIOs übernehmen zunehmend strategische Aufgaben in Unternehmen und treiben mehr und mehr…
Digitalisierung Frau

Digitale Geschäftsmodelle erfordern neue Art der Unternehmenssteuerung

Zwei Drittel der Unternehmensentscheider sind laut einer aktuellen Studie der…
digitale Transformation

Die Schere der digitalen Transformation geht weiter auseinander

In der Studie bewerten Entscheider die Auswirkungen von KI, IoT, Predictive Analytics und…
Fachkräftemangel

82.000 freie Jobs: IT-Fachkräftemangel spitzt sich zu

Der Mangel an IT-Fachkräften hat einen neuen Höchststand erreicht. In Deutschland gibt es…
Mac-Malware

Mac-Malware ist im Kommen

WatchGuard Technologies hat seinen Internet Security Report für das dritte Quartal 2018…
DSGVO Datentunnel

DSGVO wird Treiber für die sichere E-Mail

Die neuen gesetzlichen Datenschutzvorgaben haben die IT- und Business-Entscheider in…
Smarte News aus der IT-Welt