Cyberbedrohungen
AWS Summit: Schnell und flexibel statt „Einheitsbrei“
Auf dem AWS Summit im Mai ging es vorrangig um die Cloud, doch ohne Sicherheit funktioniert es nicht. Es zeigt sich, dass hier Spezialisierung gefragt ist, statt „One Size Fits All“, aber auch Lösungen für Zeit- und Know-how-Probleme im DevOps-Prozess.
Der Reiz der Cloud besteht vor allem in den neue Chancen für Unternehmen, sei es bei der Optimierung bestehender Konzepte oder dem Erschließen neuer Geschäftszweige. Auf Veranstaltungen wie dem AWS Summit 2022 stehen diese Themen ganz oben auf der Prioritätenliste und viele Vorträge und Gespräche sind auf einen diesbezüglichen Erfahrungs- und Ideenaustausch ausgerichtet. Daneben gibt es natürlich viele Gelegenheiten zum „Netzwerken“ oder „Probleme lösen“. Das Thema Security spielt bei diesen Events noch eine untergeordnete Rolle-- selbstverständlich ist Sicherheit als grundsätzlicher Faktor sehr wohl vorhanden, das versteht sich von selbst. Dabei lautet die Fragestellung jedoch eher, wie Sicherheit organisiert und umgesetzt wird. Als IT-Sicherheitshersteller waren wir auf dem AWS-Summit präsent, um mit Kunden über diese Herausforderungen zu sprechen. Wir konnten den Eindruck gewinnen, dass Spezialisierung gefragt ist, statt „One Size Fits All“. Aber Unternehmen stehen auch vor Zeit- und Know-how-Problemen im DevOps-Prozess.
Spezialisierung und Kompetenzen
…oder die Frage, was kann der Fachhandel leisten? Vor dem eigentlichen AWS Summit hatte sich der Channel getroffen, um ebenfalls Erfahrungen auszutauschen. Noch viel mehr als bei klassischen Unternehmen geht es hier auch um die Bewerbung der eigenen Möglichkeiten. Denn eines hat die Veranstaltung klar gemacht: In der Cloud ist Spezialisierung gefragt. Erfolgreiche Fachhandelspartner fokussieren ihre Geschäftstätigkeiten darauf, ihren Kunden tiefgehendes Know-how zu bieten. Cloud-Kunden wissen in der Regel, was sie erreichen wollen, und brauchen Partner, die ihnen bei der Erfüllung ihrer Ziele helfen können.
Diese Tendenz ist natürlich nicht nur für die Cloud spezifisch, sondern gilt in allen Bereichen, wo Dynamik und häufige technologische Anpassungen vorherrschen. Es zeigt sich auch, dass IT-Sicherheit nur eine der Branchen ist, wo sich zunehmend das „Doing“ an den Fachhandel im so genannten Managed Service-Konzept verlagert. Dies führt automatisch zu Spezialisierungen, die auf den Kompetenzen der einzelnen Mitarbeiter beruhen. Die Ausbildung und vor allem die Bewahrung dieser Skills werden somit zunehmend zu einem Eckpfeiler vernünftiger Geschäftsstrategien und zu einem Muss für Bereiche mit schnellen Anpassungen. Und gerade in der IT-Security kommt noch ein damit zusammenhängendes Problem hinzu -- der Fachkräftemangel. Nicht zuletzt deshalb sind Partner gefragt, die das nötige Know-how liefern, um im Bereich Sicherheit beratend zur Seite zu stehen und die erfolgreiche Umsetzung zu begleiten.
“One Size Fits All” ist out
Keine Cloud Veranstaltung ohne das Thema Softwareentwicklung. Ein Großteil der Agilität, die für den Geschäftserfolg unabdingbar ist, richtet sich danach aus, wie schnell ein Unternehmen in der Lage ist, die Bedürfnisse seiner Kunden zu erfüllen. „Time To Market“ ist hier das Stichwort, mit dem auch der „One Size Fits All“-Ansatz früherer Tage begraben wird. Immer mehr Unternehmen bauen eigene Apps, die vor allem auf Geschäftsziele ausgerichtet sind – und die schnell erfüllen müssen. Im Zweifelsfall muss binnen Stunden angepasst werden.
Softwareentwicklung im DevOps-Verfahren, bei dem Applikationen in einer Art Endlosschleife beständig zwischen Betrieb und Aktualisierung pendeln, gehören heute zum Standard in Unternehmen. Geschwindigkeit ist dabei die eine Säule, Sicherheit die andere. Denn wenn etwas schnell sein muss, passieren Fehler. Der Bereich Sicherheit ist deswegen sehr stark bereits in die Entwicklung involviert, und Projektverantwortliche müssen oft genug auch die Verantwortung übernehmen.
„Security by Design“ nennt sich dieses Konzept, und was in der Theorie bestens funktioniert, ist in der Praxis von zwei primären Herausforderungen geprägt. Zum einen sollen Entwickler Security einbauen, und das sehen diese eher als Ablenkung von ihrer eigentlichen Tätigkeit. Zum anderen gibt es immer wieder die Forderung, die sicherheitsrelevanten Erkenntnisse auch entsprechend zu teilen – z.B. mit Auditoren oder auch mit der eigenen IT Sicherheitsabteilung. Da spielen dann oft veraltete Compliance-Fragen eine Rolle sowie Rechercheaufgaben, weil Log-Interpretationsverfahren nicht automatisiert übermittelt werden.
Technologie ist nicht das Problem
Um die IT-Security in Neuentwicklungen einzubauen, stehen DevOps-Teams eine Fülle an Technologien zur Verfügung. Von Open Source- bis kommerzielle Hersteller … je nach Anforderung gibt es nicht nur eine Option. Gefordert ist die einfache Integration, denn auch wenn Entwickler mit der Aufgabe betraut sind, Sicherheit einzubauen, so darf dies nicht viel Zeit kosten.
Der letzte Schrei ist „Security as Code“ – Programmzeilen, die einfach implementiert werden, ohne dass der eigentliche Code verändert wird. Die tatsächlichen Sicherheitsaufgaben werden dann über eine Security-Bibliothek durchgeführt, die der Code lediglich aufrufen muss. Spannend ist dagegen die Frage, wer diese Informationen ausliest. Für die meisten Sicherheitsaufgaben sind das die Entwickler selbst. Eine Anpassung wegen einer neu entdeckten Sicherheitslücke oder ähnliche Aufgaben müssen dann schnellstmöglich umgesetzt werden. Das ist sollte Teil des DevOps Prozesses sein. Fakt ist aber, dass in den meisten Teams/Projekten genau diese Verantwortlichkeit nicht besetzt, bzw. ist weder die Expertise noch die Zeit für solche Aufgaben vorhanden.
Aber es gibt Situationen, die eben nicht einfach sind. Tritt eine Sicherheitslücke wie z.B. Log4Shell auf, müssen Unternehmen ihr Risikoprofil analysieren. Dies betrifft alle Bereiche der Organisation und ist deshalb Aufgabe der IT-Sicherheitsabteilung. Das Gleiche gilt für Audits oder tatsächliche Security-Ernstfälle, in denen die Dimension eines gerade stattfindenden Angriffs beurteilt werden soll. In einem solchen Fall müssen vorhandene Informationen geteilt und in Kontext gebracht werden. Sind diese Prozesse nicht automatisiert, kommt es je nach Situation zu Eskalationen.
An einem Strang ziehen
Der größte Vorteil moderner Infrastrukturen und Technologien ist, dass sie es ermöglichen, Aufgaben zu automatisieren. Entwickler aber auch Betreiber brauchen die Flexibilität, Änderungen anhand von Geschäftsentscheidungen durchzuführen. Die IT-Security muss diese Entscheidungen unterstützen. Voraussetzung dafür ist die Absicherung der Tätigkeiten der Geschäftsbereiche bei gleichzeitiger Compliance und Einsatz von Best Practice-Sicherheit.
Die Aufgabe wird aber schwieriger, weil mehrere Abteilungen (wie z.B. Entwicklung, Cloud Operations und IT-Security) eigene Anforderungen haben, die zum Teil nicht verhandelbar sind. Durch externe Entwicklungen können zudem jederzeit Veränderungen auftreten, die einen mühsam gefundenen Kompromiss wieder zunichtemachen. Diese Herausforderung zu lösen ist Aufgabe von IT-Security-Spezialisten im Fachhandel und bei Herstellern.