Sicherheitsrisiken: Wie lässt sich der geschäftliche Schaden minimieren?

Das Problem: Zu wenig Sicherheit und Einblicke in moderne Anwendungen

Zweifelsohne hat der Übergang zu modernen Anwendungsarchitekturen die Grenzen traditioneller Ansätze für die Anwendungssicherheit – bei der die Sicherheit allzu oft bis zum Ende des Entwicklungsprozesses außer Acht gelassen wird – offengelegt. Hinzu kommt die Tatsache, dass vielerorts noch herkömmliche Monitoring-Tools im Einsatz sind, die isoliert voneinander On-Premises- und Cloud-Umgebungen überwachen und keinen einheitlichen Überblick der Anwendungslandschaft bieten können.

Doch um moderne Anwendungen sicher entwickeln und bereitstellen zu können, müssen IT-Abteilungen die Sicherheit von Anfang an mitdenken und in der Lage sein, auftretende Probleme über alle Anwendungselemente hinweg zu korrelieren – einschließlich Geschäftstransaktionen, Services, Workloads, Pods und Container. Nur durch Letzteres lassen sich Probleme priorisieren, schnell isolieren und beheben. Sind sie dazu jedoch nicht in der Lage, ist womöglich das Vertrauen und die Loyalität ihrer Kunden gefährdet – die Geschäftsgrundlage jedes Unternehmens.

Die Lösung: DevSecOps und ein Single Source of Truth für alle Daten

IT-Abteilungen müssen daher ihre bisherige Arbeitsweise überdenken: Zum einen darf die Sicherheit bei der Anwendungsentwicklung nicht länger ein Randthema sein, sondern muss im gesamten Lebenszyklus eine wichtige Rolle spielen. Das heißt, sie müssen einen DevSecOps-Ansatz implementieren, bei dem die Entwicklungsteams die wichtigsten sicherheitsrelevanten Prioritäten des Unternehmens beachten und robuste Sicherheit in jede Codezeile einbetten. Das Ergebnis sind sicherere Anwendungen und ein einfacheres Sicherheitsmanagement vor, während und nach der Veröffentlichung.

Zum anderen brauchen IT-Fachkräfte neben einem umfassenden Überblick über die Sicherheitsprobleme und Schwachstellen auch detaillierte Informationen darüber, wo und wie sich diese auf kritische Bereiche ihrer Anwendungen auswirken können. Sicherheitsdaten sind dabei nur ein Aspekt. Darüber hinaus benötigen IT-Experten auch Einblicke und Daten zu dem geschäftlichen Kontext, um die potenziellen Auswirkungen von Sicherheitsrisiken korrekt zu bewerten und sie anhand dieser zu priorisieren. Möglich macht dies ein Single Source of Truth, in dem alle relevanten Daten zu Verfügbarkeit, Performance und Sicherheit von Anwendungen zusammengeführt werden.

Das Tool: Eine Plattform für Observability

Um die notwendigen Daten zu erhalten, reichen traditionelle Monitoring-Tools nicht mehr aus. Stattdessen sollten IT-Abteilungen eine Observability-Plattform implementieren. Denn diese sind in der Lage, die komplette IT-Landschaft – ob On-Prem oder in der Cloud – zu überwachen und so alle Daten einheitlich zur Verfügung zu stellen, die Einblicke in den geschäftlichen Kontext und das Risiko von Störungen und Sicherheitsverletzungen geben.

IT-Teams sind sich bewusst, dass sie ihre Arbeitsweisen umstellen und neue Lösungen einführen müssen, um die steigenden Bedrohungen zu bewältigen: Laut einer Studie von Cisco AppDynamics erachten 93 Prozent der IT-Experten es als wichtig, Sicherheit in einen Kontext zu stellen und Schwachstellenbehebung auf der Grundlage potenzieller geschäftlicher Auswirkungen zu priorisieren. Und diese Herausforderung wird weiterwachsen, da laut Gartner bis 2025 95 Prozent der neuen digitalen Arbeitslasten auf Cloud-nativen Plattformen bereitgestellt werden sollen. Unternehmen können es sich daher nicht (mehr) leisten, bei dieser Thematik zu zögern.