Cloud : Cloud-Transformation: Vertraue nie, überprüfe immer!

Anwendungen in der Cloud immer schneller entwickeln und deployen: Das ist das Ziel agiler Entwicklungsansätze und zunehmender Automatisierung in Unternehmen. Dafür beschäftigen Unternehmen zahlreiche Entwickler:innen sowie Dienstleister und nutzen vielerlei Tools, wie etwa Source Code Libraries, Container-Lösungen und Softwareentwicklungsumgebungen. Für all diese Anwendungen und Umgebungen sind sensible Zugangsdaten und zahlreiche Authentifizierungsvorgänge erforderlich. Verlieren Unternehmen dabei den Überblick, können diese Daten in die falschen Hände geraten – ein erhebliches Risiko für die IT-Sicherheit. So sorgten etwa Cyberattacken auf zwei US-amerikanische IT-Service-Anbieter in den vergangenen Jahren für Aufsehen. In beiden Fällen hatte ein in die Wartungsprozesse eingeschleuster Schadcode bei den Softwareprovidern großen Schaden angerichtet, indem er jeweils tausende Systeme verschlüsselte.

Um solche Schwachstellen zu vermeiden, müssen Firmen die Zugriffe von Entwicklern und Tools im DevOps-Prozess aktiv managen – sowohl auf organisatorischer als auch auf technischer Ebene. Eine zentrale Rolle spielen dabei Identity- und Access Management-Prozesse sowie Lösungen, die Unternehmen die Kontrolle über die Cloud ermöglichen.

Unzählige Geheimnisse

Secrets ist der Überbegriff für alle Arten von digitalen Authentifizierungsnachweisen. Dazu zählen Passwörter von Benutzer:innen, Anwendungs- und Datenbankpasswörter, Credentials, API-Schnittstellen, Anwendungsschlüssel, SSH-Keys, Autorisierungs-Token oder private Zertifikate (wie etwa TLS, SSL). Jeder Secret-Typ erfüllt dabei einen bestimmten Zweck, sei es die Speicherung, Verarbeitung oder Übertragung von sensiblen Informationen oder die Gewährung des Zugriffs auf sensible, geschäftskritische IT-Ressourcen. Zudem gibt es Unterschiede zwischen Zugriffsrechten für Personen und technischen Berechtigungen für Maschinenkommunikation. Mit der Anzahl an Services und Anwendungen steigt auch die Anzahl der „Geheimnisse“ und Zugriffsrechte in kaum überschaubare Dimensionen.

In Unternehmen, die kein Secrets Management betreiben, geschehen häufig zwei Dinge: Entweder berauben sich diese Firmen ihrer Flexibilität und Handlungsfähigkeit, indem sie Zugriffsrechte nur einem sehr kleinen Personenkreis vorbehalten. Oder aber die Unternehmen gefährden die Sicherheit, indem sie die Zugriffsrechte nicht kontrollieren und darauf hoffen, dass schon nichts passieren wird. Die Folge: Weder haben die Unternehmen einen Überblick über die Anzahl ihrer Secrets noch die Kontrolle darüber. Ein erhebliches Risiko in Zeiten, in denen ein einziger erfolgreicher Cyberangriff ein Unternehmen zwei- bis dreistellige Millionenerträge kosten kann.

Identity- und Access-Management: Die letzte verbliebene Cloud-Governance

Gerade in der Cloud gilt aber: Die Verwaltung der Secrets und Zugriffsrechte ist eines der letzten Handlungsfelder, über das Unternehmen überhaupt noch verfügen können, um zu steuern, wer auf Daten, Applikationen und Dienste in der Cloud Zugriff hat. Und viele Cloud-Transformationsprojekte behandeln das Thema mit niedriger Priorität oder haben es gar nicht im Fokus. So haben die Unternehmen weder einen Überblick über die Anzahl ihrer Secrets noch die Kontrolle darüber.

Gutes Secrets-Management hingegen gibt Entscheider:innen die Kontrolle zurück. Konkret bedeutet das: Für jede Applikation und jedes Entwickler:innen-Tool in der Cloud, sei es Ansible, Docker oder GitHub, aber auch für Produktiv- und Testumgebungen, muss ein Unternehmen die Secrets erfassen und Zugriffsberechtigungen aktiv verwalten. Wer hat welche Berechtigungen? Wer darf wie, mit welchen Daten arbeiten? Das umschließt die eigenen Entwickler:innen genauso wie das Personal von Zulieferern und Dienstleistern, die auf die Cloud Zugriff haben und Tools und Applikationen nutzen. Zudem sollten Unternehmen die Zugriffsrechte und Schnittstellen nicht nur für einzelne Tools festgeschrieben, sondern sie mithilfe einer Lösung zentral managen.

Zero Trust als Grundannahme

Unternehmen sollten demnach die letzte Gestaltungshoheit, die ihnen in der Cloud noch bleibt, ernst nehmen, um den Überblick zu behalten. Zudem sollten sie den DevOps-Prozess absichern, über den Änderungen in die Cloud gelangen. Nur wer Digitale Identitäten, Secrets und Zugriffe aktiv managt, kann am Ende sicher sein, dass Deployments in die Cloud sicher sind für Mitarbeitende, Kund:innen und Lieferketten. Denn auch im Softwareentwicklungsprozess gilt für Geräte, Dienste und Entwickler:innen die Zero-Trust-Devise: Never trust, always verify!

Sven Schreyer ist Director Cyber Security & Privacy bei der Unternehmensberatung PricewaterhouseCoopers Deutschland.