Anzeige

Apps geschützt durch Schoss

Obwohl Security-Technologien ständig aktualisiert und erweitert werden, steigen die Gefahren durch Cyberkriminelle. Denn viele Unternehmen verlassen sich auf herkömmliche Ansätze zum Schutz digitalisierter Anwendungen. Doch heute sind neue Maßnahmen nötig.

Die Welt wird immer digitaler. Heute nutzen selbst traditionelle Unternehmen Websites und Apps für ihre Geschäftstätigkeiten. Anwendungen bilden die Basis für quasi alles – von Telefonen über Thermostate und Autos bis hin zu Stromnetzen.

Diese Apps stellen, gemeinsam mit der von ihnen unterstützten Geschäftslogik und den genutzten Daten, ein Ziel für Cyberkriminelle dar. Doch warum – fragen sich viele Firmen – sind deren Angriffe weiterhin so erfolgreich, obwohl die Sicherheitsprozesse und -technologien immer weiter ausgebaut werden?

Höhere Komplexität

Zum einen ist eine App nicht mehr nur eine App. Zur Anwendungsumgebung gehören viele Komponenten wie Proxy, App-Server, Web-Server, Ingress-Controller für die Containerumgebung, SDK auf der Client-Seite und so weiter.

Zum anderen ändert sich ständig die Art und Weise, wie Anwendungen erstellt werden. Neben schnellen Releases durch Agile- und DevOps-Ansätze kommen immer wieder neue APIs, Sprachen und Geräte hinzu. Dies erhöht die Komplexität.

Veränderte Geschäftsprozesse

Hinzu kommt eine veränderte Geschäftslogik. Vor Computer und Internet waren die Prozesse manuell und offline. Abteilungen wie HR und Finanzen führten papierbasierte Dokumente und Tabellen, die in Aktenschränken aufbewahrt wurden. Mit den heutigen SaaS-basierten Geschäftsanwendungen sind diese Daten und Prozesse online – und damit anfällig für Manipulationen.

Zum Beispiel verbindet Facebook nicht nur Freunde, sondern ist auch eine Direktmarketing-Anwendung. Es bietet Unternehmen und anderen Organisationen die Möglichkeit, Tausende von Menschen sofort zu erreichen. Bisher war dies mit deutlich höherem Aufwand verbunden: über Postversand, Haustürbesuche, Anzeigen oder Werbetafeln.

Steigende Gefahren

Diese digitalisierten Geschäftsprozesse führen aber dazu, dass Unmengen an persönlichen Daten nicht nur von dazu berechtigten Unternehmen genutzt, sondern auch von bösartigen Angreifern gestohlen werden können. Soziale Medien bilden hier nur ein bekanntes Beispiel. In den kommenden Jahren dürften im Zuge von digitalisierten Autos, Stromnetzen oder Häusern noch viele weitere hinzukommen.

Bei der Digitalisierung von Geschäftsprozessen werden Fehler auftreten, die sie manipulierbar machen. Denn Menschen bedenken nicht immer die möglichen Konsequenzen für die Sicherheit bei der Umwandlung dieser Prozesse in Anwendungen.

Welche Exploits könnte es für HR-as-a-Service geben? Wie könnte KI manipuliert werden? Wie lässt sich ein industrielles Steuerungssystem stören? Neben den Schwachstellen in der eigentlichen Anwendungsinfrastruktur müssen sich Sicherheitsprofis solchen Fragen widmen.

Mehr Vorfälle

Durch höhere Komplexität und digitalisierte Geschäftsprozesse wird es in Zukunft zu mehr Sicherheitsvorfällen kommen. Dies liegt nicht daran, dass die Sicherheitsbranche nachlässig wäre, sondern die Bedrohungen für Anwendungen ständig steigen. Denn mit der zunehmenden Attraktivität der in den Systemen gespeicherten Daten erhöhen sich auch die Raffinesse, Kreativität und Hartnäckigkeit von Hackern.

Doch Unternehmen müssen deswegen nicht auf ihre digitale Transformation und die dadurch bedingten neuen Geschäftsmöglichkeiten verzichten. Wenn sie an der Entwicklung einer neuen App oder eines neuen Dienstes arbeiten, sollten Sie aber davon ausgehen, dass es bei der Absicherung heute um mehr geht als nur um Schwachstellen im Code. Jede neue, digitale Geschäftslogik ist manipulierbar – mit Hilfe von KI in kürzester Zeit.

Neue Sicherheitsmaßnahmen

Daher sollten Unternehmen neue Security-Ansätze verfolgen. Dazu gehört etwa ChatOps, eine Art gesprächsbasiertes DevOps. Diese Methode gründet sich darauf, dass viele Interessengruppen Daten austauschen und alle Mitglieder des funktionsübergreifenden Teams auf dem gleichen Stand sein sollten. So lassen sich Herausforderungen vorhersehen und diese in den breiteren Entwicklungsprozess einbeziehen.

Der Ansatz verwendet Chat-Clients, Chat-Bots und Echtzeit-Kommunikationstools, um DevSecOps zu erleichtern. In der ChatOps-Umgebung dient der Chat-Client als primärer Kommunikationskanal für alle Beteiligten und bietet Transparenz über die richtigen Informationen zur richtigen Zeit. Damit lassen sich schnell Entscheidungen treffen und Probleme lösen, wo auch immer diese auftreten.

Chat-basierte Security

Der Aufbau dieser Umgebung erfordert ein Tool wie Slack oder Microsoft Teams mit flexibel anpassungsfähigen Kanälen und App-Plug-Ins. Die bereits von Entwicklern verwendeten Tools sind in die Umgebung integriert, um die Ticketverfolgung und die Reaktionszeiten zu verbessern.

Die gesamte Kommunikation in eine Umgebung zu bringen, ermöglicht die Integration von Erkenntnissen aus Anwendung, Netzwerk, Sicherheit oder jeder anderen Infrastruktur, wie DNS und TLS. Damit erhalten Entwickler und Security-Experten alle Informationen, die sie zur Erstellung sicherer Anwendungen und Prozesse benötigen, übersichtlich in einer Anwendung. Zudem können sie ihre Anforderungen und Perspektiven miteinander austauschen, um die optimale Lösung zu finden und keine wichtigen Punkte zu übersehen.

Ralf Sydekum, Technical Manager DACH
Ralf Sydekum
Technical Manager DACH, F5 Networks

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Code Weltkarte
Okt 27, 2019

Steigende "Sicherheitsverschuldung" durch DevSecOps reduzieren

Veracode hat seinen State of Software Security (SoSS) Report Volume 10 veröffentlicht.…
Okt 09, 2019

Sicherheitsrisiko Slack

Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen…

Weitere Artikel

Weihnachten Kalender

Der Adventskalender für mehr IT-Sicherheit

Die Weihnachtszeit naht und für Viele ist das Öffnen von 24 Adventskalender-Türchen eines der am meisten geschätzten Dezember-Rituale. Passend dazu startet zum zweiten Mal die Aktion “Sicher im Advent”
Business Continuity Management

Business Continuity Management: Überlebenswichtig in Corona-Zeiten

Die Corona-Pandemie stellt zahlreiche Unternehmen auf eine harte Probe. In dieser unsicheren Wirtschaftslage können Systemausfälle oder Ähnliches nicht nur Zeit, Geld und die Reputation kosten, sondern auch die Existenz.
E-Mails

E-Mail-Kommunikation mittels Blockchain: totemomail Verified

Die E-Mail ist gerade im Geschäftsleben nach wie vor das universelle Kommunikationsmittel, obwohl ihren Vorteilen auch Nachteile wie Phishing-Risiken oder die fehlende Revisionssicherheit gegenüberstehen.
Netzwerk-Sicherheit

Das Netzwerk sichern wie den Firmen-Komplex

Ransomware-Angriffe nehmen mehr und mehr zu, nicht zuletzt begünstigt durch die fortschreitende Digitalisierung, Cloudmigration und breit angelegte Tele-Arbeit. Nun gilt es, die Strategie für Netzwerksicherheit ebenfalls zu adaptieren. Mehr Homeoffice. Mehr…
Endpoint Security Baum

Welche Strategie schützt den Endpunkt?

In einer perfekten Welt wäre Software vollkommen sicher und Angriffe wären unmöglich. Sie ist jedoch zu komplex, um perfekt entworfen oder programmiert werden zu können, jedenfalls, wenn Menschen im Spiel sind. Selbst die sichersten Anwendungen haben Fehler.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!