„Security by Design“: Aufbau eines sichereren Frameworks

Eine neue Umfrage unter IT-Experten aus aller Welt, die wir in den kommenden Wochen vorstellen werden, unterstreicht einmal mehr, wie wichtig Cybersicherheit für Unternehmen heute ist. Das Thema wurde nicht nur als wichtigstes Anliegen der Geschäftsführung genannt, es wird auch deutlich, dass mehr denn je in Programme zur Bekämpfung von Cyber-Bedrohungen investiert wird.  

Die Gründe hierfür liegen auf der Hand. Wir sind heute mit einer Vielzahl von Angriffsvektoren konfrontiert, die ständig zunehmen. Man kann heute schon für 5 Dollar Hacker-Software kaufen und damit von überall auf der Welt Schaden anrichten. Open Redirect, das kürzlich für Schlagzeilen sorgte, ist nur einer der zahlreichen, immer ausgeklügelteren Betrugsversuche, die die Sicherheitsteams auf Trab halten.  

Nach der jüngsten Ausgabe des „2022 Cybersecurity Almanac“ von Cisco/Cybersecurity Ventures werden die Kosten für Cyberkriminalität bis 2025 voraussichtlich 10,5 Bio. Dollar betragen. Den Unternehmen ist inzwischen klar, dass höhere Investitionen nicht nur ratsam, sondern für ihr Überleben geradezu unerlässlich sind. Mehr denn je ist eine umfassende Sicherheitsstrategie für den Erfolg eines jeden Unternehmens von entscheidender Bedeutung. Dabei geht es jedoch nicht nur um Geld – sondern auch um Menschen. 

Jeder Tastendruck ist gesichert 

Neben dem verstärkten Augenmerk auf die Cybersicherheit und den höheren Investitionen in entsprechende Abwehrmaßnahmen hat eine weitere wichtige Veränderung im Unternehmen stattgefunden. Waren die Sicherheitsexperten in vielen IT-Unternehmen früher eine isolierte, abgeschottete Gruppe, so sind sie heute zwangsläufig fester Bestandteil der Produktentwicklung und arbeiten in integrierten DevOps-Teams nahtlos mit anderen zusammen.  

Als Unternehmen noch ausschließlich auf Bürobasis arbeiteten, konnten die Sicherheitsteams die Entwickler einer Reihe von Tests unterziehen, um ein Mindestmaß an Sicherheit zu gewährleisten: Wurden die vorgegebenen Muster eingehalten? Wurden alle gesicherten Datenbankverbindungen genutzt? Mit dem fortschreitenden Verschwinden der Rechenzentren und der Aufhebung der Netzwerkgrenzen bestehen die meisten Anwendungen heute jedoch aus einer Kombination aus Originalcode und sonstigen Diensten. Hinzu kommt, dass die Benutzer – unabhängig davon, ob es sich um Mitarbeiter handelt oder nicht – über den ganzen Globus verteilt sind, wodurch bösartigen Akteuren viel zu viele Angriffspunkte geboten werden. Das Ergebnis ist, dass die zusätzliche Komplexität bei der Bereitstellung der IT-Infrastruktur in den Unternehmen zusätzliche Schwachstellen geschaffen hat.  

Diese neuartigen Schwachstellen haben eine Reihe von Fragen aufgeworfen, mit denen sich die Unternehmen nun auseinandersetzen müssen, wie zum Beispiel: Wie wird sich die Sicherheit auf das Design und die Architektur auswirken? Inwiefern folgen die Entwickler den vorgegebenen Mustern zur Gewährleistung der Sicherheit?  Wie überwachen wir mögliche Schwachstellen in der Cloud oder bei Drittanbieter-Services? 

Die Erkenntnis, dass Sicherheit nicht einfach nachträglich eingebaut werden kann, hat in den meisten Unternehmen zu einer „Security by Design“-Mentalität geführt. Wurden Sicherheitsexperten früher als potenzielle Überbringer schlechter Nachrichten gesehen, so werden sie heute von ihren Kollegen weniger als Gegner, sondern vielmehr als wichtige Verbündete betrachtet, die dazu beitragen, dass Qualität und Ausfallsicherheit schnell und ohne kostspielige Fehltritte gewährleistet werden. Während die Sicherheitskontrolle früher schrittweise durchgeführt wurde, wenn Unternehmen die verschiedenen „Phasen“ im Entwicklungsprozess einer Anwendung durchliefen, ist sie jetzt Teil jedes einzelnen Tastendrucks.  

Sofort einsatzbereite Cloud-Sicherheit  

Es gibt glücklicherweise auch zahlreiche ausgezeichnete, sofort einsatzbereite Tools, mit denen Sicherheitsexperten sich und ihren Teams das Leben erleichtern können. Mit Unternehmen wie unserem Partner Oak 9 können Sie die Cloud-native Sicherheit über alle DevOps-Prozesse hinweg automatisieren – vom Entwurf bis zur Produktion. Indem Sie Sicherheit bereits vor dem Echtbetrieb von Anwendungen in der Cloud-Umgebung berücksichtigen, können Sicherheits- und Compliance-Lücken in Echtzeit behoben werden, ohne dass zusätzliche Kosten oder personelle Ressourcen für die Entwicklung von neuen Lösungen anfallen.  

Im Zuge der weiteren Umstellung auf die Cloud wird die Sicherheit für Unternehmen auch weiterhin ein zentrales Thema sein, denn die Angreifer lassen so schnell nicht locker. Doch indem sie bei jedem Arbeitsschritt an die Sicherheit denken, Silos immer weiter abbauen und klären, wie Drittanbieter und Fertiglösungen bei der Umstellung helfen, können App-Entwicklungsteams sich das Leben sehr viel leichter machen. 

Join the Conversation: Find Solve on Twitter and LinkedIn, or follow along via RSS.

Stay on top of what's next in technology

Learn about tech trends, innovations and how technologists are working today.