Suchen

Anwendungssicherheit stärker adressieren DevOps sicher gestalten – von Anfang an

Autor / Redakteur: Daniel Wolf * / Stephan Augsten

In vielen Unternehmen wird DevOps im Zuge der Anwendungsentwicklung immer beliebter. Das Thema Application Security wird bei der Etablierung des neuen Ansatzes allerdings noch immer vernachlässigt.

Firmen zum Thema

Viele Unternehmen lassen die Entwickler unbescholten ihr Ding durchziehen und ziehen kein Sicherheitsteam hinzu, obwihl beim Start der Projekte durchaus Risiken identifiziert werden.
Viele Unternehmen lassen die Entwickler unbescholten ihr Ding durchziehen und ziehen kein Sicherheitsteam hinzu, obwihl beim Start der Projekte durchaus Risiken identifiziert werden.
(Bild: Marvin Meyer / Unsplash)

Das Ziel von DevOps ist – neben der möglichst schnellen Umsetzung stabiler und hochwertiger Software – auch ein besseres Miteinander der beteiligten Mitarbeiter und Teams. Bei der Anwendungssicherheit aber besteht altes Silo-Denken nach wie vor und führt zu erheblichen Risiken bei Unternehmen, die mit sensiblen Kundendaten arbeiten, etwa Versicherungen, eCommerce-Treibenden oder auch Behörden.

Reports wie der AppSec Intelligence Report zeigen mehr als deutlich, dass Cross-Site Scripting (XSS), SQL Injections als auch Path Traversals hochaktuelle Gefahren insbesondere für Web-Applikationen darstellen. Wer DevOps also bereits umsetzt oder die Einführung plant, für den ist es höchste Zeit, die Verteidigung der eigenen Anwendungen und Daten vor böswilligen Angriffen auf die Agenda zu setzen.

Hierzu gehört es auch, eine grundlegende Awareness im Unternehmen zu schaffen und konkrete Verhaltensmaßnahmen und Tool-Integrationen möglichst früh im DevOps-Prozess zu verankern. Wird Sicherheit von Anfang an mitgedacht, lässt sich DevOps erfolgreich zu DevSecOps machen.

Zeit- und Budgetdruck als Nährboden für Schwachstellen

Die besondere Herausforderung im Alltag für die Entwicklung sowie den Software-Betrieb hinsichtlich der Anwendungssicherheit liegt im immensen Zeitdruck, denn Softwareprojekte werden heute mit einer zunehmend steigenden Geschwindigkeit umgesetzt. Ein Trend in diesem Bereich ist die Verbreitung von DevOps als Prozessverbesserungsansatz für Entwicklung und Betrieb von Software.

Das Risiko für Fehler in Form unsicheren Codes und der Einführung von Schwachstellen steigt durch den erhöhten Zeit- und Budgetdruck. Zusätzlich wächst damit auch die Gefahr, dass keine ausreichenden Security-Tests stattfinden können oder Schwachstellen vor der Inbetriebnahme einer Applikation nicht rechtzeitig beseitigt werden. Um DevOps ausreichend abzusichern, sollten Unternehmen folgende Strategien implementieren.

1. Frühe Automatisierung als Schlüssel sicherer Anwendungen

Der Grundsatz „Shift Left“ konzentriert sich darauf, die Anwendungssicherheit bereits im früheren Lebenszyklus der Softwareentwicklung (Development) zu erhöhen und Sicherheitsmechanismen präventiv in die Anwendungsebene zu integrieren. Dafür ist es sinnvoll, Security Tests automatisiert und in einer engen Integration zur bestehenden Toolwelt einzuführen.

Dabei stehen neue Technologien wie das Interactive Application Security Testing (IAST) zur Verfügung, die Sicherheitslücken in Echtzeit aufdecken ohne Mehraufwand für automatisierte Continuous-Integration- und Continuous-Delivery-Prozesse (CI/CD) zu erzeugen. Der Vorteil gegenüber gängigen Testverfahren wie Static Application Security Testing (SAST) ist die Reduzierung von falsch-positiven Ergebnissen, was sich in der Praxis in einem enorm großen Zeitvorteil niederschlägt.

2. Operations absichern: Anwendungen zur Laufzeit schützen

Für den laufenden Anwendungsbetrieb sollten Web Application Firewalls (WAFs) durch den Einsatz von Runtime Application Self Protection (RASP) Technologie ergänzt werden. Applikationen werden durch RASP zur produktiven Laufzeit auf Schwachstellen geprüft. Anders als mit einer WAF erfolgt die Erkennung nicht von außen, sondern aus der Applikation heraus.

Das sorgt für weniger Fehlalarme im laufenden Betrieb und vermeidet eine sogenannte „Alarm Fatigue“ bei den Mitarbeitern. Denn die Folgen einer Desensibilisierung auf ständige Alarmmeldungen kann verheerende Folgen haben: Die Überflutung der Mitarbeiter führt zu Frustration und Fehlverhalten. Dann wird im entscheidenden Moment eine Gefahr nicht als solche erkannt und dem Unternehmen entsteht ein finanzieller Verlust oder gar ein Reputationsschaden.

3. Kontinuierliches Lernen durch intelligentes Tool-Feedback

Das dritte Prinzip betrifft die Erstellung von engmaschigen Feedbackschleifen zur Anwendungssicherheit. Für den Bereich Sicherheit funktioniert unmittelbares und frühes Feedback im Sinne einer besseren Informationslage und Risikobegrenzung am besten. Daher müssen Unternehmen Technologien einsetzen, die akkurates Feedback in Echtzeit liefern.

Intelligente Tools schlagen Entwicklern durch Live-Feedback für konkrete Schwachstellen konkrete Handlungsempfehlungen vor. Damit wird die Awareness für Anwendungssicherheit in die tägliche Arbeitsroutine integriert.

DevSecOps – Verbreitung in Deutschland ausbaufähig

DevSecOps steht trotz wachsender Anerkennung und Bekanntheit bei Entwicklern und Sicherheitsteams bei Unternehmen in Deutschland noch ziemlich am Anfang. Zwar hat laut einer DevSecOps-Studie das Thema DevOps 82 Prozent mehr Relevanz als noch vor einem Jahr. Dennoch wird bei vier von zehn befragten Unternehmen kein Sicherheitsteam mit hinzugezogen, obwohl jedoch 92 Prozent der Befragten angaben, dass bei Projekten durchaus Sicherheitsrisiken gesehen werden.

Damit ein Bewusstsein für Anwendungssicherheit beim einzelnen Mitarbeiter, bei den Teams und in teamübergreifenden Strukturen wachsen kann, muss auf oberer Entscheidungsebene – sei es durch den CIO oder einen anderen Treiber der digitalen Transformation im Unternehmen – der Blick auf den Anfang des Entwicklungszyklus gerichtet werden. Nicht jeder Entwickler ist ausreichend mit der Sicherheitsproblematik im Detail vertraut, eventuell nicht richtig geschult oder bekommt schlichtweg nicht die Zeit eingeräumt, sich mit dem Thema Anwendungssicherheit zu beschäftigen.

Daniel Wolf
Daniel Wolf
(Bild: Contrast Security)

Wenn Unternehmen das Thema DevOps in ihre Prozesse aufnehmen wollen, dann führt kein Weg an einer zeitigen und kontinuierlichen Integration von Anwendungssicherheit sowohl auf organisatorischer als auch auf technische Ebene vorbei. Je besser diese Prozesse und verwendeten Tools aufeinander abgestimmt sind, desto qualitativ hochwertiger und schneller kann das Thema Applikationssicherheit in der Praxis umgesetzt werden.

* Daniel Wolf ist als Regional Director DACH für den Ausbau der Geschäftstätigkeiten von Contrast Security sowie die Betreuung bestehender Kunden und Partner in Deutschland, Österreich und Schweiz zuständig. Am Standort in München leitet Wolf das Vertriebsteam und den Channelpartner-Ausbau.

(ID:46314794)