:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/d0/52/d05265b738654350e7d819867affca43/0109507650.jpeg "Die Minimierung der Speichernutzung von Smart Contracts kann zu massiven Einsparungen führen. (Bild: <a href=https://pixabay.com/users/jievani-21902109/>Jievani Weerasinghe</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/89/8089a443255acb4adc657bb0e64a0d69/0111553974.jpeg "Erster Blick auf Parasoft Jtest 2023.1. (Bild: Parasoft)")
:quality(80)/p7i.vogel.de/wcms/ff/f8/fff8d58054f9546032349bcfd610f977/0110367136.jpeg "Agile Softwareentwicklung lebt unter anderem vom ständigen Austausch aller Beteiligten. (Bild: <a href=https://unsplash.com/de/@jasongoodman_youxventures>Jason Goodman</a>)")
:quality(80)/p7i.vogel.de/wcms/3e/61/3e61a6ad22070f1d8239744aa90462ad/0111352868.jpeg "Der sogenannte „Renovate Bot“ aktualisiert nicht selbst, sondern stellt Merge-Requests an das Development Team. (Bild: <a href=https://pixabay.com/de/users/mohamed_hassan-5229782/>Mohamed Hassan</a>)")
:quality(80)/p7i.vogel.de/wcms/ce/99/ce994c9dce9fac6c16e96a2871e6c3be/0110414706.jpeg "Nur im Zuge einer umfangreichen Security-Strategie lässt sich ein heterogenes Endpoint-Universum vor Bedrohungen zu schützen. (Bild: <a href=https://pixabay.com/users/coolvid-shows-18646168/>CoolVid-Shows</a>)")
:quality(80)/p7i.vogel.de/wcms/dd/8b/dd8bdf45a5452802972c54a0c54d85d6/0111382050.jpeg "Für DevOps-Teams stellt der Übergang zu modernen, Cloud-basierten Anwendungsumgebungen eine große Herausforderung dar. (Bild: <a href=https://pixabay.com/users/williamscreativity-17210051/>WilliamsCreativity</a>)")
:quality(80)/p7i.vogel.de/wcms/85/49/854932edf414b2f888be89bd3ddf447c/0111835486.jpeg "Cloud Native Rockstars on stage (oben, v.l.): Thomas Hartinger, Phil Korte, Alina Schneider, Nadège Jakob, Tobias Renk, Sebastian Kister, Volker Zöpfel und Linda Früh, daneben die Juroren Dr. Jens Eckhard und Dr. Nils Kaufmann mit Vorjahres-Preisträgerin Emma Wehrwein. In der unteren Reihe (v.l.) Erik Schubert, Moderatorin Lydia Hundsdörfer und Stephan Augsten von den Vogel IT-Medien, Stefan Jacobs, Juror und Keynote-Speaker Maximilian Hille sowie Preisträger Tim Urlaub. (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/7b/19/7b19253be9adc79579f0725469c0776a/0111556272.jpeg "Eine Cloud-Migration harmoniert gut mit den DevOps-Prinzipien, die dadurch ein Revival erleben könnten- (Bild: <a href=https://pixabay.com/users/bearinthenorth-2960032/>Anastasia Borisova</a>)")
:quality(80)/p7i.vogel.de/wcms/55/dd/55ddac3b4e6f52d4b2584f77a72db2ee/0111768534.jpeg "MariaDB hat die Observability-Funktionen von SkySQL weiter ausgebaut. (Bild: Mohamed Hassan)")
:quality(80)/p7i.vogel.de/wcms/b8/bf/b8bfcf221961042a9d80a661969868af/0111108621.jpeg "Der Abbau von technischen Schulden bindet Ressourcen, die für aktuelle Projekte dringend benötigt werden. (Bild: © – profit_image – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a1/2b/a12b814d8d4e1d5ae4d9817d12f5a2d5/0110227353.jpeg "BPMN ist ein intuitives Tool, das sich zu einem Standardverfahren für die Visualisierung von Geschäftsprozess-Workflows entwickelt hat. (© NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/d3/13d37d2a255166d3b801341d81ff0cff/0111621162.jpeg "Automobilarchitekturen wandeln sich zu zonalen, zentralen Rechenzentren und schließlich zu Software Defined Vehicles. (Bild: © – vegefox.com – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/53/3253e183359754bee5c1b52b1fc0aff6/0111206462.jpeg "Die Datenbankevolution treibt KI, ML und Deep Learning, was die Art und Weise des menschlichen Wissenserwerbs widerspiegeln soll, weiter an. (Bild: Dimitrios - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ec/92/ec9271497f9a497ec5c149833911b065/0111435523.jpeg "In den Fachabteilungen wissen die Angestellten genau, welche Tools sie benötigen – warum unkomplizierte Anwendungen nicht selbst bauen lassen? (Bild: <a href=https://pixabay.com/de/users/mohamed_hassan-5229782/>Mohamed Hassan</a>)")
:quality(80)/p7i.vogel.de/wcms/19/1d/191d69675e71d858a172728556fcbafb/0111041367.jpeg "OVHcloud hat mit AI Deploy einen neuen Service für KI-Anwendungen veröffentlicht. (Bild: OVHcloud)")
:quality(80)/p7i.vogel.de/wcms/50/1e/501e67c0fb83d75fc4e0959b137e349b/0111403157.jpeg "Large Language Models verstehen natürliche Sprache, können übersetzen, auf Basis ihrer Daten neuen Text generieren und vieles mehr. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/19/31/1931878346987d5f61c5ed1b967599ae/0104711006.jpeg "Datenstrukturen werden in der Regel auf die Verarbeitung durch Algorithmen hin optimiert. (Bild: Kittiphat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/67/e96797cf34887ed47068092a4289a884/0111209876.jpeg "Effizienten Code zu schreiben, ist eine große Herausforderung, der sich etliche Unternehmen gerade stellen. (Bild: <a href=https://pixabay.com/de/users/insspirito-1851261/>Garik Barseghyan</a>)")
:quality(80)/p7i.vogel.de/wcms/3f/9c/3f9cf4dfd209864515495e8e95c93d4f/0111156776.jpeg "Je nach Editor oder IDE kann die Code Completion recht mächtig sein. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
Cyber-Angriffe auf Rekordhoch Schwachstellen in 46 Prozent aller Datenbanken
Trotz steigender Ausgaben für Cybersecurity nehmen Angriffe und kompromittierte Datensätze weiter zu, obwohl Unternehmen mit allen Mitteln versuchen den Schaden zu minimieren.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
Wie eine aktuelle Studie von Bitkom zeigt, waren neun von zehn Unternehmen in den Jahren 2019 und 2020 Opfer von Hacker-Attacken. Der Schaden für deutsche Unternehmen beläuft sich auf mehr als 220 Milliarden Euro pro Jahr. Mit Erpressung, Systemausfälle und Betriebsstörungen sorgen die kriminellen Attacken erneut für Rekordschäden – ein Zuwachs von 358 Prozent. Bereits jedes zehnte Unternehmen sieht seine geschäftliche Existenz bedroht.
Schwachstellen in fast jeder zweiten Datenbank
Besonders kritisch sieht die Situation bei On-Premise Datenbanken aus – und gerade hier werden häufig besonders sensible Daten abgelegt. Imperva hat jüngst eine Studie mit erschreckenden Ergebnissen zur Sicherheit von Datenbanken veröffentlicht: Weltweit sind 46 Prozent aller On-Premise Datenbanken anfällig für Angriffe, mit durchschnittlich 26 Schwachstellen pro Datenbank. Die Längsschnittstudie scannte dafür über fünf Jahre hinweg fast 27.000 Datenbanken.
Mehr als die Hälfte (56 Prozent) der gefundenen Schwachstellen wurde gemäß den Richtlinien des National Institute of Standards and Technology (NIST) als „hoch“ oder „kritisch“ eingestuft, Die Studienergebnisse deuten darauf hin, dass viele Unternehmen der Sicherheit ihrer Daten eine geringe Priorität einräumen und routinemäßiges Patching vernachlässigen. Einige der CVEs (Common Vulnerabilities and Exposures) blieben laut den Cybersecurity-Experten drei oder mehr Jahre auf den lokalen Datenbanken unerkannt.
Die regionale Analyse zeigt dabei erhebliche Unterschiede zwischen den einzelnen Ländern: Die Anzahl an gefährdeten Datenbanken ist in Deutschland mit 19 Prozent deutlich geringer als in Ländern wie Frankreich (84 Prozent), Australien (65 Prozent) oder Singapur (64 Prozent). Hinsichtlich der Anzahl an Schwachstellen pro Datenbank im Durchschnitt besetzen deutsche Datenbanken mit 64 Schwachstellen jedoch die oberen Ränge. Nur Frankreich (72), China (74) oder Mexiko (70) weisen im Durchschnitt mehr Schwachstellen pro Datenbank auf.
Die noch nie dagewesene Anzahl von Schwachstellen in Datenbanken bietet Angreifern ein weites Feld an Möglichkeiten. Bereits Anfang dieses Jahres belegte eine weitere Studie des Imperva Forschungsteams, dass die Zahl der Datenschutzverletzungen jährlich um 30 Prozent steigt, während die Zahl der kompromittierten Datensätze um durchschnittlich 224 Prozent zunimmt.
Web-Anwendungen als Einfallstor für Attacken auf Datenbanken
Trotz steigender Ausgaben für Cybersecurity nehmen Angriffe und kompromittierte Datensätze weiter zu, obwohl Unternehmen mit allen Mitteln versuchen den Schaden zu minimieren. Warum also steigt die Anzahl an erfolgreichen Angriffen, obwohl mehr Schutzmaßnahmen ergriffen werden?
Angreifer entwickeln immer raffiniertere Taktiken, um herkömmliche Perimeter- oder Endpunktlösungen zu umgehen und gelangen so an sensible Daten. Das Forschungsteam hat herausgefunden, dass in den letzten Jahren fast 50 Prozent der Datensicherheitsverletzungen ihren Ursprung in der Web-Anwendungsschicht hatten. Obwohl dies kein neuer Trend ist, schaffen es Angreifer weiterhin, mit SQL-Injection (SQLi) oder Remote Code Execution (RCE), Schwachstellen in Webanwendungen auszunutzen, die mit den Datenspeichern eines Unternehmens verbunden sind.
Unternehmen müssen daher ihr Sicherheitskonzept und die Tools in ihrem Tech-Stack überdenken. Der Schutz der Web-Anwendungsschicht ist seit Jahren ein Schwerpunkt der Sicherheitsbranche und dennoch finden Angreifer immer wieder Wege hinein. Das liegt zum Teil an einem operativen Problem, das es zu lösen gilt: Wenn Anwendungs- und Datensicherheit separat verwaltet werden, entstehen Lücken, die versierte Angreifer ausnutzen können.
Sicherheitsteams sollten sich deshalb auf ein beunruhigendes und noch nie dagewesenes Jahr einstellen. Das Imperva Forschungszentrum prognostiziert bis Ende 2021 rund 40 Milliarden kompromittierte Datensätze – das sind mehr als doppelt so viele wie im letzten Jahr.
Echtzeit-Ergebnisse und verbesserte Benutzerfunktionen auf Kosten der Sicherheit
Was Entscheider tun können, um sich zu wappnen? Sich der Risiken bewusstwerden, Cybersicherheit zur Chefsache machen und die Mitarbeitenden ins Boot holen.
Danach gilt es einen Blick auf die sich stark veränderte Art der Anwendungsentwicklung und IT-Infrastruktur zu werfen. Monolithische Anwendungen haben sich in einem Meer von APIs, Microservices und serverlosen Funktionen aufgelöst. Für Endbenutzer bedeuten moderne DevOps eine schnellere Entwicklung und damit innovativere, digitale Services.
Jedoch führt die verbesserte Benutzererfahrung und effizientere Anwendung zu einer neuen und komplexen Bedrohungslandschaft. Jeder Teil des Lebenszyklus der Softwareentwicklung interagiert mit einer Vielzahl von Datenspeichern, um Echtzeit-Ergebnisse und bessere Benutzerfunktionen zu ermöglichen – besonders hier ist die Datensicherheit in Gefahr.
Sicherheitsteams müssen herausfinden, wie sie die besonders schwer zu überwachenden, ephemeren Workloads in Echtzeit beobachten können. Darüber hinaus vervielfacht sich die Anzahl der APIs von Erst- und Drittanbietern sekündlich, was ein zusätzliches Risiko darstellt. Tatsächlich ist die Zahl von neuen API-Schwachstellen im Jahr 2020 um vier Prozent gestiegen.
Sensible Daten waren dabei am häufigsten betroffen. Somit erklärt sich auch der wachsende Trend von Datensicherheitsverletzungen in der Web-Anwendungsschicht: Wie können Unternehmen ohne effektive Sicherheitsebene über alle Pfade hinweg bösartige Aktivitäten überwachen oder blockieren – vom Edge über Anwendung, API bis hin zum Datenspeicher?
Traditioneller Sicherheitsansatz greift zu kurz
Da Webanwendungsumgebungen immer komplexer werden, lauern in jedem System potenzielle Sicherheitslücken, sowohl für externe Angreifer als auch für Insider. Mit nur einem Ziel: Zugriff auf sensible Daten.
Um gespeicherte Daten zu schützen, mag es als ausreichend erscheinen, vollständig gepatchte Datenbanken und Berechtigungslisten zu pflegen sowie native Sicherheitsfunktionen (Datenverschlüsselung, definierte Benutzer) einzuführen. Das ist zwar ein guter Anfang, aber diese Kontrollen werden nicht ausreichen, um anspruchsvolle Angriffe abzuwehren. SQLi-Angriffe sind in der Lage, Abwehrmechanismen zu umgehen und dann den Zugriff zu kontrollieren oder Datensätze in den zugrunde liegenden Datenbanken zu ändern und zu löschen. In einigen Fällen kann sogar auf die Betriebssysteme der Server zugegriffen werden, die von Datenbankdiensten gehostet werden.
Unabhängig von der Zusammensetzung und Struktur von sensiblen Daten, sind Angreifer immer motiviert auf diese zuzugreifen. Aus diesem Grund müssen Unternehmen die Sicherheit auf alle Datenspeicher implementieren; wobei der Schwerpunkt auf dem Schutz der Daten selbst liegt und nicht nur auf den Anwendungen und Netzwerken, die sie umgeben und mit ihnen interagieren.
Ob für die proaktive, präventive Sicherheit oder für die Reaktion nach einem Vorfall oder beides: Es ist wichtig zu verstehen, wo die Daten gespeichert, ob sie klassifiziert, ob die richtigen Zugriffskontrollen vorhanden und ob starke Tools für Auditing und Anomalieerkennung vorhanden sind.
Wenn all die genannten Aspekte berücksichtigt werden, ist schnell klar, dass ein traditioneller Sicherheitsansatz nicht funktionieren kann. Während eines Cyber-Kill-Chain benötigen Unternehmen vollständige Transparenz über die gesamte Webanwendungsumgebung. Nur mit einem Ansatz, der die Sicherheit der Daten selbst priorisiert, können Unternehmen negative Schlagzeilen vermeiden.
* Kai Zobel ist Area Vice President EMEA Central bei Imperva. Zobel war zuletzt bei Fortinet und Thales eSecurity mit dem Aufbau von Vertriebsteams und der Partnerlandschaft betraut. Frühere Stationen seiner Laufbahn waren die Stelle als Bereichsleiter Security für Zentraleuropa bei Verizon Business, bei Cisco Systems und Utimaco. 2003 verantwortete er als Channel-Manager Central Europe die Rückkehr von Rainbow, einem Anbieter von USB-Sicherheitstoken, auf den deutschen Markt. Ab 2012 baute er als Regional Director für die DACH-Region für Skybox Security den zweistufigen indirekten Vertriebskanal und das deutschsprachige Team auf.
(ID:47999553)
:quality(80)/images.vogel.de/vogelonline/bdb/1952200/1952282/original.jpg "Who is who: Bei einer Zero-Trust-Richtlinie gilt es, vor einem Zugriff jeden Benutzer bzw. jede Transaktion zu überprüfen. (Delphix)")
:quality(80)/images.vogel.de/vogelonline/bdb/1924500/1924587/original.jpg "Gerade im Open-Source-Umfeld suchen Cyber-Kriminelle gerne nach Angriffspunkten in der Software-Lieferkette (artinspiring – stock.adobe.com)")