Hannover Messer 2018
23.04.18 - 27.04.18
In Hannover

Rethink! IT Security D/A/CH
25.04.18 - 27.04.18
In Hotel Atlantic Kempinski Hamburg

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

DevOps

DevOps- und Security-Verantwortliche wissen oft nicht, in welchen Bereichen sich in der IT-Infrastruktur privilegierte Accounts und Zugangsdaten befinden. Zudem verfügen die meisten Unternehmen über keine Sicherheitsstrategie für DevOps-Umgebungen. So lauten zentrale Ergebnisse einer aktuellen CyberArk-Untersuchung.

CyberArk hat die globale Umfrage "Advanced Threat Landscape" in diesem Jahr zum elften Mal durchgeführt. Insgesamt wurden mehr als 1.000 IT-Security-Entscheider, Verantwortliche für DevOps und Applikationsentwicklung sowie Geschäftsbereichsleiter befragt, darunter 200 aus Deutschland. Ein Untersuchungsschwerpunkt war das Thema "Privileged Account Security" in DevOps-Umgebungen und -Prozessen. Dabei hat sich gezeigt, dass eine große Unkenntnis vorherrscht.

Auf die Frage "In welchen Bereichen sind privilegierte Accounts beziehungsweise Zugangsdaten vorhanden?" antworteten von den deutschen Teilnehmern an der Untersuchung:

  • nur 10 % in Source-Code-Repositories wie GitHub
  • lediglich 14 % in Microservices
  • 25 % in Cloud-Umgebungen
  • 27 % in CI/CD-Tools, die von DevOps-Teams genutzt werden
  • 31 % in Containern.

Faktisch befinden sich privilegierte Accounts und Zugangsdaten aber in allen genannten und für DevOps-Umgebungen relevanten Bereichen.

Die Untersuchung hat aber nicht nur diese Unkenntnis aufgedeckt, sondern auch gezeigt, dass die deutliche Mehrheit (77 %) der deutschen Unternehmen keine dedizierte "Privileged Account Security"-Strategie für DevOps verfolgt.

"Wenn Unternehmen DevOps-Modelle nutzen, werden mehr privilegierte Accounts und Zugangsdaten generiert und über vernetzte Business-Ökosysteme hinweg geteilt", erklärt Michael Kleist, Regional Director DACH bei CyberArk in Düsseldorf. "In der Hand eines externen Angreifers oder böswilligen Insiders stellen diese privilegierten vertraulichen Zugangsdaten eine erhebliche Gefahr dar, da sie eine vollständige Kontrolle über die gesamte IT-Infrastruktur eines Unternehmens ermöglichen. Deshalb ist es besorgniserregend, dass nur das Erreichen von IT- und Business-Vorteilen mittels DevOps im Vordergrund steht und die erweiterte Angriffsfläche durch die Nutzung von vertraulichen Zugangsdaten in DevOps-Umgebungen unberücksichtigt bleibt."

Erhöht wird das Sicherheitsrisiko für Unternehmen noch durch die zunehmende Nutzung von Cloud-Orchestrierungs- und Automationstools in DevOps-Projekten. 54 % der befragten deutschen Unternehmen nutzen solche Tools für die interne Entwicklung und 72 % vertrauen dabei auf die Sicherheitsmaßnahmen des Cloud-Anbieters. Das heißt, in diesen Fällen wird die Privileged Account Security für die Cloud-Umgebung nicht vollständig mit den eigenen DevOps-Prozessen integriert – somit besteht ein weiteres Sicherheitsrisiko. Bei der Nutzung von Cloud-Angeboten ist die Security-Verantwortung immer eine gemeinsam wahrzunehmende Verantwortung von Anbieter und Nutzer.

Die CyberArk-Untersuchung hat nicht zuletzt ergeben, dass DevOps- und Security-Teams oft getrennt voneinander arbeiten; in Deutschland bestätigten dies 59 %. Kleist bemerkt dazu: "Von Jenkins über Puppet bis zu Chef gibt es keine gemeinsamen Standards, sodass für jedes Tool individuelle, spezifische Sicherheitsmaßnahmen zu implementieren sind. DevOps benötigt einen eigenen Security-Stack und Security-Teams sind hier gefordert. Sie können mit einer systematischen Vorgehensweise DevOps-Teams dabei unterstützen, eine hohe Sicherheit zu realisieren. DevOps- und Security-Tools und Practices müssen miteinander integriert werden, um einen effizienten Schutz für privilegierte Daten zu etablieren. Die enge Zusammenarbeit von DevOps- und Security-Teams ist deshalb der erste Schritt für den erfolgreichen Aufbau einer skalierbaren Sicherheitsplattform.”

Weitere Informationen:

Der erste Teil des CyberArk Advanced Threat Landscape 2018 Report steht zum Download unter https://www.cyberark.com/resource/cyberark-global-advanced-threat-landscape-survey-2018-focus-devops/ zur Verfügung.

Über den Report "CyberArk Advanced Threat Landscape 2018":

Im Auftrag von CyberArk hat das Marktforschungsunternehmen Vanson Bourne für den weltweiten Report "Advanced Threat Landscape" im September und Oktober 2017 mehr als 1.000 IT-Security-Entscheider, Verantwortliche für DevOps und Applikationsentwicklung sowie Geschäftsbereichsleiter in Deutschland, Frankreich, Großbritannien, Israel, den USA, Australien und Singapur zu Themen rund um die Cyber-Sicherheit befragt. Die Untersuchung wird in drei Teilen veröffentlicht; im ersten Teil geht es um die Einbindung von Privileged Account Security in DevOps-Prozesse.
 

GRID LIST
Tb W190 H80 Crop Int 28368b180998f1512b5931a882eb9094

KI kann das Geschäft von Banken deutlich verbessern

Der Einsatz von künstlicher Intelligenz (KI) und maschinellem Lernen (ML) in der…
Schlüssel auf Tablet

Weiterbildung ist der Schlüssel zur digitalen Arbeitswelt

Die Arbeitswelt in einem digitalen Umfeld eröffnet sowohl Arbeitgebern als auch…
Tb W190 H80 Crop Int Eb73c7205a5efea7be708fb476ec99bb

E-Commerce-Payment wird vielfältiger

Die Digitalisierung wird zunehmend Einfluss auf den Bezahlverkehr im Online-Handel…
Tb W190 H80 Crop Int 5c06f911e180f95ffe0afc7d598cbb8d

Umfrage sieht Industrie 4.0 mit Luft nach oben

Künstliche Intelligenz, Internet of Things und Smarte Fabrik – gerade im Vorlauf der…
Tb W190 H80 Crop Int A98dba70cf6b2408fcb746a2e3260c4e

Vertrauen in Cloud-Computing wächst

McAfee veröffentlicht seinen dritten alljährlichen Cloud-Report „Navigating a Cloudy Sky:…
Tb W190 H80 Crop Int 6a7fc0d1e0ad9b16720c514c5930bc48

Internet of Things kommt 2018 in den Fabriken an

2018 könnte zum Jahr des endgültigen IoT-Durchbruchs in Deutschland werden. Diese…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security