:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/7e/5b/7e5b4bed22568661f357f4a0dcd9a739/0114219395.jpeg "Das Ergebnis ist ein schmucker Blindtext-Generator per Shortcode, der praktisch aber wenig sinnvoll ist. (Bild: Rentrop)")
:quality(80)/p7i.vogel.de/wcms/0a/96/0a96a5466d57862cf0bc9c8f96ec187e/0114288251.jpeg "In der EMEA-Region sind Software-Schwachstellen offenbar häufiger und kritischer als in anderen Regionen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/63/d2/63d2f4e43c55e2140ec3bd9b96d19d5c/0114247757.jpeg "Zumindest in der jetzigen Form wird künstliche Intelligenz keine Jobs vernichten, sondern vielmehr ergänzen. (Bild: <a href=https://pixabay.com/de/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/2e/25/2e255287e57b5c4fd0deade8cd8e58b7/0114431948.jpeg "Wie weit Unternehmen bei der DevOps-Automatisierung vorangeschritten sind, hat Dynatrace genauer untersucht. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/4c/c64c6a3dba991b444c94fd5d178865c1/0114305357.jpeg "Die europäische Ausgabe der Progress ChefConf gastiert dieses Jahr in München. (Bild: Progress)")
:quality(80)/p7i.vogel.de/wcms/35/5c/355c30840530ef2f3d100c3ff2c5ef95/0114190148.jpeg "Immer mehr Developer haben angesichts des Stresses mit Burnout-Symptomen zu kämpfen, Clean Coding kann Abhilfe schaffen. (Bild: Leonardo.ai)")
:quality(80)/p7i.vogel.de/wcms/6d/7b/6d7bd893f3034b22e9515d03f4a2bcf8/0114243416.jpeg "Lens AppIQ richtet sich laut Mirantis insbesondere an IT-Fachkräfte, die täglich mit Kubernetes arbeiten müssen. (Bild: Mirantis)")
:quality(80)/p7i.vogel.de/wcms/4a/2c/4a2c83570cf413a53acc88791127985b/0113689146.jpeg "UX- und UI-Design müssen sich auf immer neue Trends einstellen, es gibt allerdings auch einige festgeschriebene Grundregeln. (Bild: <a href=https://unsplash.com/@karlsolano>Karl Solano</a>)")
:quality(80)/p7i.vogel.de/wcms/bf/88/bf88d3e9f2f3c4cd391fc2218d8eca4c/0114136576.jpeg "Generative KI sollte als unterstützendes Tool verantwortungsbewusst eingesetzt werden. (© ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/14/92/149229c3cdb94b319e006f52423c09db/0114168289.jpeg "Eine Kombination aus Rust und Python – oder Python und Rust – kann die Vorteiler beider Programmiersprachen vereinen. (Bild: <a href=https://pixabay.com/users/artdemarta-6006022/>Marta Bellés</a>)")
:quality(80)/p7i.vogel.de/wcms/45/93/45930907cccf8cb2ca621cb6555cf717/0114183021.jpeg "SQL-Datenbanken lassen sich unproblematisch hin zu PostgreSQL migrieren, Unternehmen sollten diesen Schritt trotzdem gut vorbereiten. (Bild: Leonardo.ai)")
:quality(80)/p7i.vogel.de/wcms/80/87/80875380ee678528982c0dcc073f0684/0114128044.jpeg "Die WSO2 API Platform for Kubernetes (APK) erweitert Kubernetes um API Management der Enterprise-Klasse. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ed56eaea2f9670ac8bfbefe10cc7/0113533673.jpeg "Copy-and-paste- oder Clipboard-Programming kann sich sehr negativ auf die Code-Qualität auswirken. (Bild: <a href?https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5aac8b7041780b5065919ce0cbabf3/0113499457.jpeg "Zeremonielles Kreuz des „John Frum Cargo Cult“, auf der Insel Tanna im heutigen Vanuatu. (Bild: JohnFrumCrossTanna1967.jpg / Tim Ross - eigene Arbeit / CC BY 3.0)")
:quality(80)/p7i.vogel.de/wcms/d8/90/d890b7a3d8daf81956377a29a87efdd5/0113481871.jpeg "Das Scaled Agile Framework soll großen Unternehmen dabei helfen, agile Methoden zu adaptieren. (Bild: <a href=https://pixabay.com/users/snottyboggins-6421955/>SnottyBoggins</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/0c/ec0cdde8e59873a426bf939ed52c38f3/0113355036.jpeg "Selbstbedienung ist beim Developer Self-Service ausdrücklich erwünscht. (Bild: <a href=https://pixabay.com/users/manfredrichter-4055600/><u>Manfred Richter</u></a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Know-how-Schutz bremst Security-Experten verlieren Bezug zur IT
Die IT entgleitet immer weiter unserer Kontrolle. Die Entwicklung erinnert stark an die Automobilindustrie: Der Blick auf Systeminterna wird künstlich erschwert, um das Know-how nach Möglichkeit zu schützen. Doch dies geht zu Lasten der Qualifikation künftiger Sicherheitsexperten und Auditoren.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/62/7e/627e1ceac041f/fis-logo.png "fis-logo (FIS)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
Vor wenigen Jahrzehnten war es Kunden möglich, ein Auto zu kaufen und Reparaturen selbst durchzuführen. Die Unterlagen dazu waren leicht zu bekommen und Probleme konnte man selbst diagnostizieren und beheben.
Dann jedoch wurden immer mehr Teile versiegelt und originalverpackt angeliefert. Das macht die Autoreparatur schwierig, wenn nicht unmöglich. Es sei denn, man geht zu einer „akkreditierten“ Vertragswerkstatt, welche über die Kenntnisse und die Befugnis verfügt, das Fahrzeug instand zu setzen.
Der nächste Schritt bestand in der Einführung von automatisierten OBD-Systemen (On-Board-Diagnose, die der Reparaturwerkstatt sagen, welche Teile im Auto versagt haben und ausgetauscht werden sollten. Dies vereinfacht ungelernten Mitarbeiter die Diagnose. Der Nachteil dieser Entwicklung ist, dass Autos heute Black Boxes sind, mit denen sich nur die Hersteller auskennen.
Automechaniker tauschen oftmals ganze Bausteine des Autos aus, „weil das Diagnose-Tool [sie] dazu aufgefordert hat“. Sie haben auch immer weniger Kontrolle darüber, was unter der Motorhaube wirklich los ist. Damit sind die Werkstätten völlig abhängig vom Hersteller.
Wenn IT-Fachleute nicht mehr professionell ausgebildet werden
Die gleiche Entwicklung betrifft den IT-Sektor. Dies ist nicht nur auf Cloud Computing zurückzuführen, sondern auch auf den US-amerikanischen DevOps-Trend. Vor nicht allzu langer Zeit lernten Studenten in IT-Engineering-Schulen Low-Level-Sprachen (wie Assembler) und hatten Kenntnisse zu Interna von Computer- und Betriebssystemen.
Standard ist heute, dass High-Level-Programmiersprachen wie C# oder Java erlernt werden. Dies ist immer noch akzeptabel. Der allerneueste Trend geht jedoch dahin, nur auf übergeordnete Sprachen wie HTML5 und JavaScript für Cloud-basierte Anwendungen zu bauen. Mit Ausnahme einer Handvoll größerer Entwicklungsunternehmen beherrscht aber niemand diese Sprachen so richtig gut.
Diese Sprachen hängen stark von gebrauchsfertigen Bausteinen ab, die nicht im Unternehmen entwickelt wurden, und deren interne Funktionen meist geschützt und undurchsichtig sind. Gleiches passiert bei Cloud-basierten Systemen, die mit einer Reihe von APIs und Web-Diensten ausgestattet sind.
Entwickler sind somit zwar in der Lage, mit anderen Teilen zu kommunizieren, aber im Wesentlichen handelt es sich um Blackboxes. Dadurch ergeben sich neue Herausforderung für die IT-Branche, insbesondere für Entwickler und IT-Sicherheitsexperten:
- Entgleiten den IT-Experten die Informationssysteme, wenn sie nicht mehr in der Lage sind, die inneren Abläufe der Systeme, Sprachen und Anwendungen zu verstehen – besonders, wenn sie von diesen abhängig sind?
- Geht das Know-how, das zur Entwicklung dieser Low-Level-Bausteine und -Systeme erforderlich ist, den europäischen Schulen und den IT-Fachleuten verloren?
- Ist die Verfügbarkeit dieses Wissens bald nur noch das Privileg größerer IT-Unternehmen und Hersteller?
- Wie werden IT-Sicherheitsexperten das Vertrauensniveau einer Software-Lösung gewährleisten können, wenn sie nur auf firmeneigene Bausteine zurückgreifen können?
Eine Bedrohung, die man verstehen muss
Dies gilt insbesondere in der sich wandelnden Bedrohungslandschaft. Die Zahl der Cyber-Security-Vorfälle nimmt zu. Das deutsche IT-Sicherheitsgesetz ist ein Exempel; es enthält Dinge, wie obligatorische Audits und Sicherheitsberichte für Betreiber kritischer Infrastrukturen. Das Gesetz ist ein gutes Beispiel dafür, wie kritisch die Situation tatsächlich ist, denn die ergriffenen Maßnahmen sind wahrscheinlich nicht durchführbar.
Das Problem dabei ist, dass die Audit-Fähigkeiten immer geringer werden. Auch, wenn Ressourcen und Zeit vorhanden sind, so geraten Infrastrukturen durch Technologien wie die Cloud für den Auditor außer Reichweite. Geheimhaltung existiert nicht mehr, denn Datenströme werden durch unbekannte Pfade gejagt.
Die Global Information Security Workforce Study (GISWS) von Frost & Sullivan, in deren Rahmen 13.900 IT-Experten befragt wurden, verdeutlicht das Problem. Verglichen mit klassischen Datenzentren ist die End-to-End-Kontrolle bei öffentlichen Clouds wesentlich geringer.
22 Prozent aller Clouds werden niemals auf Anwendungsschwachstellen gescannt . Selbst, wenn IT-Experten sich mit den Schwachstellen befassen wollten und ein Gesetz sie dazu verpflichten würde, bliebe die Technologie ein unantastbares Geheimnis.
Zusammenfassung
Die Community der IT-Experten muss zugeben, dass Unternehmen durch diese lebhafte Entwicklung sowie durch Cloud Computing mehr Flexibilität und vereinfachte Budgetplanung geboten werden. Diese Möglichkeiten wurden seit Jahrzehnten gefordert. Und die Hoffnung, sich diesem Trend widersetzen zu können, wird immer unrealistischer. Vom Risikostandpunkt aus gesehen, läuft man direkt in die Höhle des Löwen, wenn man meint, dass man keine qualifizierten Entwickler oder Systemadministratoren mehr braucht.
Diese durch weniger ausgebildete Techniker ersetzen, die nur noch in der Lage sind, vorgefertigte Bausteine zusammenzusetzen, weil ja „die Cloud alles für Sie erledigt“ ist keine Lösung. Kurzfristig kann dies zwar eine gewinnbringende Strategie sein. Langfristig bedeutet es jedoch lediglich, dass die ganze Branche nicht mehr in der Lage sein wird, die IT in den Griff zu bekommen - nur, weil sie alles auf eine Karte setzt, die ein paar große Unternehmen in der Hand halten.
Wird diese Entwicklung nicht gestoppt, gehen Qualifikationen und Erfahrung verloren und Mitarbeiter der IT-Sicherheit werden womöglich in die Rolle der „Software-Anwender“ gedrängt. Langfristig wird dies zu mehr Cyber-Vorfällen, weniger Sicherheit und größerer Abhängigkeit führen. Der Weg zur nachhaltigen Informationssicherheit führt über das Sammeln und Teilen von Erfahrungen und über lebenslanges Lernen.
* Bruno Kerouanton ist (ISC)²-zertifizierter CISSP und verantwortet den Bereich „Cyber Security und Digital Trust“ des Schweizer Kantons Jura.
(ID:44396784)
:quality(80)/p7i.vogel.de/wcms/9b/cb/9bcbc95e77c92dfa47f9089b8bc04169/0106418544.jpeg "Lena Smart, MongoDB: „SBOMs werden zu einem unverzichtbaren Baustein für die Softwaresicherheit und das kollaborative Risikomanagement in der Software-Wertschöpfungskette werden.“ (Bild: MongoDB)")
:quality(80)/p7i.vogel.de/wcms/68/a9/68a9f15aeb6f9651182e1e08e5841f7f/0113528869.jpeg "Die Funktion „AI-Guided Remediation“ von Aqua Security liefert sowohl für Security- als auch für Development-Teams wertvolle Hinweise. (Bild: Aqua Security)")