Anwendungen in der Cloud immer schneller entwickeln und deployen: Das
ist das Ziel agiler Entwicklungsansätze und zunehmender Automatisierung in
Unternehmen. Dafür beschäftigen Unternehmen zahlreiche Entwickler:innen sowie
Dienstleister und nutzen vielerlei Tools, wie etwa Source Code Libraries,
Container-Lösungen und Softwareentwicklungsumgebungen. Für all diese
Anwendungen und Umgebungen sind sensible Zugangsdaten und zahlreiche
Authentifizierungsvorgänge erforderlich. Verlieren Unternehmen dabei den
Überblick, können diese Daten in die falschen Hände geraten – ein erhebliches
Risiko für die IT-Sicherheit. So sorgten etwa Cyberattacken auf zwei
US-amerikanische IT-Service-Anbieter in den vergangenen Jahren für Aufsehen. In
beiden Fällen hatte ein in die Wartungsprozesse eingeschleuster Schadcode bei
den Softwareprovidern großen Schaden angerichtet, indem er jeweils tausende
Systeme verschlüsselte.
Um solche Schwachstellen zu vermeiden, müssen Firmen die Zugriffe von Entwicklern und Tools im DevOps-Prozess aktiv managen – sowohl auf organisatorischer als auch auf technischer Ebene. Eine zentrale Rolle spielen dabei Identity- und Access Management-Prozesse sowie Lösungen, die Unternehmen die Kontrolle über die Cloud ermöglichen.
Unzählige Geheimnisse
Secrets ist der Überbegriff für alle Arten von digitalen Authentifizierungsnachweisen. Dazu zählen Passwörter von Benutzer:innen, Anwendungs- und Datenbankpasswörter, Credentials, API-Schnittstellen, Anwendungsschlüssel, SSH-Keys, Autorisierungs-Token oder private Zertifikate (wie etwa TLS, SSL). Jeder Secret-Typ erfüllt dabei einen bestimmten Zweck, sei es die Speicherung, Verarbeitung oder Übertragung von sensiblen Informationen oder die Gewährung des Zugriffs auf sensible, geschäftskritische IT-Ressourcen. Zudem gibt es Unterschiede zwischen Zugriffsrechten für Personen und technischen Berechtigungen für Maschinenkommunikation. Mit der Anzahl an Services und Anwendungen steigt auch die Anzahl der „Geheimnisse“ und Zugriffsrechte in kaum überschaubare Dimensionen.
In Unternehmen, die kein Secrets Management betreiben, geschehen
häufig zwei Dinge: Entweder berauben sich diese Firmen ihrer Flexibilität und
Handlungsfähigkeit, indem sie Zugriffsrechte nur einem sehr kleinen
Personenkreis vorbehalten. Oder aber die Unternehmen gefährden die Sicherheit,
indem sie die Zugriffsrechte nicht kontrollieren und darauf hoffen, dass schon
nichts passieren wird. Die Folge: Weder haben die Unternehmen einen Überblick
über die Anzahl ihrer Secrets noch die Kontrolle darüber. Ein erhebliches
Risiko in Zeiten, in denen ein einziger erfolgreicher Cyberangriff ein
Unternehmen zwei- bis dreistellige Millionenerträge kosten kann.
Identity- und Access-Management: Die letzte verbliebene
Cloud-Governance
Gerade in der Cloud gilt aber: Die Verwaltung der Secrets und Zugriffsrechte ist eines der letzten Handlungsfelder, über das Unternehmen überhaupt noch verfügen können, um zu steuern, wer auf Daten, Applikationen und Dienste in der Cloud Zugriff hat. Und viele Cloud-Transformationsprojekte behandeln das Thema mit niedriger Priorität oder haben es gar nicht im Fokus. So haben die Unternehmen weder einen Überblick über die Anzahl ihrer Secrets noch die Kontrolle darüber.
Gutes Secrets-Management hingegen gibt Entscheider:innen die Kontrolle
zurück. Konkret bedeutet das: Für jede Applikation und jedes Entwickler:innen-Tool
in der Cloud, sei es Ansible, Docker oder GitHub, aber auch für Produktiv- und
Testumgebungen, muss ein Unternehmen die Secrets erfassen und
Zugriffsberechtigungen aktiv verwalten. Wer hat welche Berechtigungen? Wer darf
wie, mit welchen Daten arbeiten? Das umschließt die eigenen Entwickler:innen genauso
wie das Personal von Zulieferern und Dienstleistern, die auf die Cloud Zugriff
haben und Tools und Applikationen nutzen. Zudem sollten Unternehmen die
Zugriffsrechte und Schnittstellen nicht nur für einzelne Tools festgeschrieben,
sondern sie mithilfe einer Lösung zentral managen.
Zero Trust als Grundannahme
Unternehmen sollten demnach die letzte Gestaltungshoheit, die ihnen in der Cloud noch bleibt, ernst nehmen, um den Überblick zu behalten. Zudem sollten sie den DevOps-Prozess absichern, über den Änderungen in die Cloud gelangen. Nur wer Digitale Identitäten, Secrets und Zugriffe aktiv managt, kann am Ende sicher sein, dass Deployments in die Cloud sicher sind für Mitarbeitende, Kund:innen und Lieferketten. Denn auch im Softwareentwicklungsprozess gilt für Geräte, Dienste und Entwickler:innen die Zero-Trust-Devise: Never trust, always verify!
Sven Schreyer ist Director Cyber Security & Privacy bei der Unternehmensberatung PricewaterhouseCoopers Deutschland.
