VERANSTALTUNGEN

Developer Week 2018
25.06.18 - 28.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

IT kessel.18
11.07.18 - 11.07.18
In Reithaus Ludwigsburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

DevOps

DevOps- und Security-Verantwortliche wissen oft nicht, in welchen Bereichen sich in der IT-Infrastruktur privilegierte Accounts und Zugangsdaten befinden. Zudem verfügen die meisten Unternehmen über keine Sicherheitsstrategie für DevOps-Umgebungen. So lauten zentrale Ergebnisse einer aktuellen CyberArk-Untersuchung.

CyberArk hat die globale Umfrage "Advanced Threat Landscape" in diesem Jahr zum elften Mal durchgeführt. Insgesamt wurden mehr als 1.000 IT-Security-Entscheider, Verantwortliche für DevOps und Applikationsentwicklung sowie Geschäftsbereichsleiter befragt, darunter 200 aus Deutschland. Ein Untersuchungsschwerpunkt war das Thema "Privileged Account Security" in DevOps-Umgebungen und -Prozessen. Dabei hat sich gezeigt, dass eine große Unkenntnis vorherrscht.

Auf die Frage "In welchen Bereichen sind privilegierte Accounts beziehungsweise Zugangsdaten vorhanden?" antworteten von den deutschen Teilnehmern an der Untersuchung:

  • nur 10 % in Source-Code-Repositories wie GitHub
  • lediglich 14 % in Microservices
  • 25 % in Cloud-Umgebungen
  • 27 % in CI/CD-Tools, die von DevOps-Teams genutzt werden
  • 31 % in Containern.

Faktisch befinden sich privilegierte Accounts und Zugangsdaten aber in allen genannten und für DevOps-Umgebungen relevanten Bereichen.

Die Untersuchung hat aber nicht nur diese Unkenntnis aufgedeckt, sondern auch gezeigt, dass die deutliche Mehrheit (77 %) der deutschen Unternehmen keine dedizierte "Privileged Account Security"-Strategie für DevOps verfolgt.

"Wenn Unternehmen DevOps-Modelle nutzen, werden mehr privilegierte Accounts und Zugangsdaten generiert und über vernetzte Business-Ökosysteme hinweg geteilt", erklärt Michael Kleist, Regional Director DACH bei CyberArk in Düsseldorf. "In der Hand eines externen Angreifers oder böswilligen Insiders stellen diese privilegierten vertraulichen Zugangsdaten eine erhebliche Gefahr dar, da sie eine vollständige Kontrolle über die gesamte IT-Infrastruktur eines Unternehmens ermöglichen. Deshalb ist es besorgniserregend, dass nur das Erreichen von IT- und Business-Vorteilen mittels DevOps im Vordergrund steht und die erweiterte Angriffsfläche durch die Nutzung von vertraulichen Zugangsdaten in DevOps-Umgebungen unberücksichtigt bleibt."

Erhöht wird das Sicherheitsrisiko für Unternehmen noch durch die zunehmende Nutzung von Cloud-Orchestrierungs- und Automationstools in DevOps-Projekten. 54 % der befragten deutschen Unternehmen nutzen solche Tools für die interne Entwicklung und 72 % vertrauen dabei auf die Sicherheitsmaßnahmen des Cloud-Anbieters. Das heißt, in diesen Fällen wird die Privileged Account Security für die Cloud-Umgebung nicht vollständig mit den eigenen DevOps-Prozessen integriert – somit besteht ein weiteres Sicherheitsrisiko. Bei der Nutzung von Cloud-Angeboten ist die Security-Verantwortung immer eine gemeinsam wahrzunehmende Verantwortung von Anbieter und Nutzer.

Die CyberArk-Untersuchung hat nicht zuletzt ergeben, dass DevOps- und Security-Teams oft getrennt voneinander arbeiten; in Deutschland bestätigten dies 59 %. Kleist bemerkt dazu: "Von Jenkins über Puppet bis zu Chef gibt es keine gemeinsamen Standards, sodass für jedes Tool individuelle, spezifische Sicherheitsmaßnahmen zu implementieren sind. DevOps benötigt einen eigenen Security-Stack und Security-Teams sind hier gefordert. Sie können mit einer systematischen Vorgehensweise DevOps-Teams dabei unterstützen, eine hohe Sicherheit zu realisieren. DevOps- und Security-Tools und Practices müssen miteinander integriert werden, um einen effizienten Schutz für privilegierte Daten zu etablieren. Die enge Zusammenarbeit von DevOps- und Security-Teams ist deshalb der erste Schritt für den erfolgreichen Aufbau einer skalierbaren Sicherheitsplattform.”

Weitere Informationen:

Der erste Teil des CyberArk Advanced Threat Landscape 2018 Report steht zum Download unter https://www.cyberark.com/resource/cyberark-global-advanced-threat-landscape-survey-2018-focus-devops/ zur Verfügung.

Über den Report "CyberArk Advanced Threat Landscape 2018":

Im Auftrag von CyberArk hat das Marktforschungsunternehmen Vanson Bourne für den weltweiten Report "Advanced Threat Landscape" im September und Oktober 2017 mehr als 1.000 IT-Security-Entscheider, Verantwortliche für DevOps und Applikationsentwicklung sowie Geschäftsbereichsleiter in Deutschland, Frankreich, Großbritannien, Israel, den USA, Australien und Singapur zu Themen rund um die Cyber-Sicherheit befragt. Die Untersuchung wird in drei Teilen veröffentlicht; im ersten Teil geht es um die Einbindung von Privileged Account Security in DevOps-Prozesse.
 

GRID LIST
Roboter an Laptops

Roboter erobern die Dienstleistungen

„Nach der Produktionswelt werden Roboter nun die Prozesse im Dienstleistungsbereich stark…
Cryptomining Bitcoin

Gefahr durch Cryptomining-Malware wird unterschätzt

Laut einer aktuellen Umfrage von Avast haben etwa zwei von fünf (43 Prozent) der…
Tb W190 H80 Crop Int 49bc2d1e3fea30eb742364959e4bb18f

Jeder Dritte verfolgt Sportevents live im Netz

Mitfiebern am Stream und Toralarm per App: Jeder dritte Internetnutzer (30 Prozent)…
Tb W190 H80 Crop Int 3a988af9db55745d38b6e22a10247529

Wie die DataOps-Technologie Firmen schnell nach vorne bringt

Ob die 300 Geschäftsführer, Vorstände und Führungskräfte durch Entscheidungsfreude…
Tb W190 H80 Crop Int E346e5e8126c84e60b5d7f9a41d66707

Der physische Arbeitsplatz ist wichtiger denn je

Eine neue Studie von Cognizant zeigt, dass trotz der Zunahme von virtuellen Tätigkeiten…
Tb W190 H80 Crop Int 61a687e8d473cfbea30165e643e300fd

Unternehmen unterschätzten rechtliche Konsequenzen von Cyberattacken

Schadenersatzansprüche, Haftungsfragen und Meldepflichten bei Cyberangriffen werden von…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security