Application Security auf neuen Wegen 

Immer schnellere Zyklen bei der Softwareentwicklung und aggressiv gesetzte Release-Termine führen nach verbreiteter Ansicht zu Mängeln bei der Sicherheit und Zuverlässigkeit: Es wird aus unterschiedlichen Gründen nicht immer gründlich genug getestet, heißt es. Tatsächlich muss diese Konsequenz nicht zwangsläufig eintreten. Es gilt vielmehr, ein in moderne, agile Entwicklungsverfahren integriertes Testmodell zu etablieren. Automatisierung und risiko-orientierte Priorisierung bei der Behandlung von Verwundbarkeiten sind die Schlüssel zum Erfolg.

Illustration: Absmeier Geralt

In DevOps, der möglichst engen Verzahnung von »Development« und »Operations«, steckt von vornherein ein Konflikt. Zumindest lässt sich dies in vielen Beiträgen zur modernen Softwareentwicklung nachlesen, gleich ob in Blogs oder Print-Publikationen. Entwickler wollen Kunden schnell mit neuen, trendigen, vielleicht nur vorübergehend interessanten Funktionen bedienen und Probleme durch Ad-hoc-Automatisierung lösen. Der Service und Helpdesk stöhnen anschließend über unausgegorene Ergebnisse und Qualitätsmängel und hohen manuellen Aufwand. Die SW-Entwickler werden an ihrer Liefertreue gemessen und müssen unter ständigem Zeitdruck umsetzen, »Operations« wünscht sich stabile Funktionalität und Verlässlichkeit. Noch schlimmer: Während auf der einen Seite, Markt- und Kundenbedürfnisse durch die Entwicklung zeitnah umgesetzt werden, stecken die anderen anschließend die Kritik der Anwender für die Unzulänglichkeiten in tatsächlichen Betrieb ein.

 

Chancen und Risiken der Agilität

Anzeige

In den einschlägigen Foren und sozialen Medien für Entwickler und Security-Spezialisten ist das geschilderte Problem inzwischen hier und da zum »Meme« geworden unter dem Motto »Wenn der Entwickler schnell mal was aus dem Internet eingebaut hat«. Die Zahl der Varianten steigt und steigt, das Thema trifft offensichtlich einen blank liegenden Nerv. Bleibt es nur bei funktionalen Designfehlern aufgrund von Termindruck, sind Spott und dauerndes Nachbessern zwar lästig, aber zu verschmerzen. Wenn Fehler bei allzu eifrigen agilen Entwicklungsprojekten allerdings zu Beeinträchtigung der Softwaresicherheit oder sogar den Zugriff auf sensible Daten ermöglichen, können die Folgen ein Unternehmen nachhaltig in Schieflage bringen – von den Schäden für die Kunden ganz zu schweigen. Nur: Wie lässt sich das Risiko vorab quantifizieren oder wenigstens qualifizieren?

 

Klassische Tests am Anschlag

»Testen« soll die Antwort sein. Traditionelle Vulnerability-Tests, die gewöhnlich erst am Ende der Entwicklungsprozesse oder beim Erreichen größerer Meilensteine anstehen, sind für moderne Produktionsverfahren längst zu unflexibel geworden. Erstens sind die gängigen Checks oft langwierig und geraten damit für manches Projekt zur echten Geduldsprobe, zweitens liefern sie häufig eine Menge nicht relevanter Fehlermeldungen, die häufig nicht leicht zu interpretierenden Ergebnisse – und drittens beansprucht sie die zuständigen Entwickler zur Nacharbeit. Stellt sich beispielsweise heraus, dass die finanziell attraktive und zeitsparende Einbindung einer bestimmten Software-Bibliothek aus dem Open-Source-Bereich zu Sicherheitsproblemen führt, kann das nachträgliche Ausmerzen der in einem frühen Entwicklungsstadium getroffenen Entscheidung für dieses Modul zu erheblichem Nachbesserungsaufwand führen – und angesichts der dann erst recht ausbrechenden Hektik auch zu neuen Fehlern.

Anzeige

Dabei ist zu berücksichtigen, dass Software heute tendenziell seltener »aus einem Stück« gegossen ist. Verteilte Teams arbeiteten mit verschiedenen Container- und Komponentenmodellen und versuchen dabei, einmal Erstelltes so oft wie möglich wiederzuverwerten. Dies führt zu komplexen Strukturen, in denen einzelne Module auch immer wieder anderen Wert, eine sich verändernde Bedeutung und damit auch ein breit variierendes Störpotenzial haben – von »hochkritisch« bis »vernachlässigbar«.

Darüber hinaus werden auch die Einsatzgebiete von Softwareprodukten immer vielfältiger. Sie zielen schon lange nicht mehr nur auf den klassischen Business-IT-Bereich, für den auch das klassische Vulnerability-Scanning einmal entwickelt und optimiert wurde, sondern auf Bereiche mit gänzlich anderen funktionalen und sicherheitstechnischen Anforderungen wie Web, Mobile Computing, IoT, IIoT, OT und Cloud.  Hier ist »Vertraulichkeit« das höchste Ziel, dort »Integrität« und immer häufiger schlicht »Verfügbarkeit«. Das gleiche Modul wirft in der einen Umgebung nicht tolerierbare Probleme auf und ist für die andere optimal austariert.

 

Der Fluch der Komplexität

Für DevOps kennzeichnend wird damit eine Situation, die für viele Bereiche des IT- und Informationssicherheitsmanagements schon länger gilt: Die Unüberschaubarkeit des Fachgebiets macht es für die Akteure extrem schwierig, angemessene Entscheidungen zu treffen, die Business- und Sicherheitsmaßstäben zugleich gerecht werden. Souveränität weicht einer Kontrollillusion, die den Managern und Praktikern spürbar zu schaffen macht. Damit wird die oberflächlich technische

Problematik zum Management-Gau:

  • Wie viele Ressourcen welcher Art sollen strategisch für Entwicklungsprojekte und DevOps bereitgestellt werden? In welche Sicherheitsvorkehrungen sollte man wie viel investieren, und von welchen Zeitbudgets ist dabei auszugehen?
  • Wie sollte man sich dem Thema operativ nähern? Durch Einhaltung bestimmter Secure-Development-Prozesse, dann angelehnt an Compliance-Vorgaben – aber an welche? Wie lässt sich all das automatisieren?
  • Wie geht man taktisch mit Herausforderungen um, die Tag für Tag im Projekt entstehen und vielleicht zu Verzögerungen führen? Sollte man die Lösung eines frisch aufgetretenen Problems priorisieren oder erst andere Schritte vorantreiben?

Im Informationssicherheits-Management begegnet man ähnlichen Anforderungen mit einer Kombination aus Prozessen mit festgelegten Kontrollschritten, der Einbindung von Spezialisten unterhalb der engeren Management-Ebene in die Entscheidungsfindung und mit möglichst weitgehender Automatisierung, um die Kernteams von Routineaufgaben der Entscheidungsfindung zu entlasten.

 

Wunderwaffe Automatisierung

Mindestens zwei Punkte davon passen auch in die DevOps-Welt und die Sphäre der agilen Entwicklung: Die Integration des Testens in den dynamischen Entwicklungsprozessen selbst und eine weitgehend regelbasierte Aufbereitung der Testergebnisse. Genau das leisten moderne Application-Security-Werkzeuge.

Aber zuerst noch einen Schritt zurück. Die hier implizit vorgetragene Idee, Entscheidungsprozesse teilweise einem Algorithmus zu überlassen, mag beim einen oder anderen Leser Stirnrunzeln hervorrufen. Ist es nicht die hohe Kunst der Unternehmensführung oder – eine Stufe tiefer – des Projektmanagements, über die Annahme, Behandlung oder Akzeptanz von Risiken zu befinden und das Ergebnis gegen die Chancen eines Projekts abzuwägen?

Das stimmt, aber die Wurzel des Automatisierungsgedankens liegt im Terminus »informierte Entscheidung«. Wie schon angedeutet, muss ein Entscheider die wirtschaftliche Situation eines Unternehmens mit Wissen über Risiken und Bedrohungen in Einklang bringen. Und genau dieser Akt setzt einen gewissen Grad an Aufbereitung der Basis-Datenlage voraus, der es einem Manager ohne Ausbildung in Software-Development, menschlichen Faktoren, Netzwerktechnik, Datenschutz und Informationssicherheit überhaupt erlaubt, ohne akute Angstzustände über Vorhaben mit Risiko-, Informationssicherheits- und Datenschutz-Implikationen zu entscheiden. Was nicht heißen soll, dass es Managern mit diesen Fähigkeiten wesentlich leichter fällt, die entsprechenden Weichenstellungen einzuleiten.

 

Tools mit Sinn für Dynamik

Was Software leisten kann, ist somit, den Grad der Informiertheit bei einer Entscheidung erhöhen, die nach wie vor ein Mensch zu treffen hat. Tools nehmen dem Entscheider schlicht die Vorarbeit der Erhebung und Korrelation von Informationen aus verschiedenen Quellen ab, die hohe, nahezu unerreichbare Anforderungen an Fachwissen und Erfahrung stellen. Besser: Die Werkzeuge heben die Ausgangslage auf ein Niveau, auf dem ein kluger Kopf mit Sinn für IT und Vertrauen in seinen Stab von Spezialisten noch mit gutem Gewissen Entscheidungen für sein Unternehmen treffen kann.

 

Im hier diskutierten Fall bezieht sich dies auf folgende Aspekte:

Orchestrierung: Es gibt eine ganze Reihe von bewährten Application-Security- (AppSec-) Tools, die Teilbereiche der Applikationstests perfekt abdecken und für Spezialisten sicherlich interessante Ergebnisse bieten. Das Ziel allerdings liegt darin, die Werkzeuge für den jeweiligen Einsatzzweck und die Software-Komponenten passend auszuwählen und die Ergebnisse auch Personen zugänglich zu machen, die nicht mit Bits und Bytes auf Du sind. Übernehmen diese Aufgabe nicht das Werkzeug selbst und seine übergeordneten Instanzen wenigstens zu einem gewissen Anteil, müsste das Spezialisten-Team im Haus die Dolmetscher-Arbeit von A bis Z leisten  – in der Regel haben diese Experten aber Anderes zu tun.

Korrelation: Die Ergebnisse unterschiedlicher Analyse-Werkzeuge mit unterschiedlichen Schwerpunkten müssen für einen bestimmten Einsatzzweck von Software zueinander in Beziehung gesetzt werden. Sagt ein bestimmtes Tool unter bestimmten Voraussetzungen« Nein«, muss geklärt werden, wie viele andere unter anderen Umständen und Zielsetzungen »Ja« sagen und warum. Dieser Informationsabgleich kann ebenfalls automatisiert geleistet werden.

Priorisierung: Unter den oben beschriebenen Voraussetzungen genießen immer bestimmte (Sicherheits-) Ziele Priorität vor anderen. Verwundbarkeiten, die in speziellen Umgebungen schwerwiegende Folgen haben, können in anderen vollkommen irrelevant sein. Ein gutes Tool gleicht die Anforderungen, die ein einem Projekt gelten, deshalb mit den potenziellen Auswirkungen von Sicherheitslücken ab.

Tracking der Maßnahmen: Sind Entscheidungen für Maßnahmen getroffen, muss nachverfolgt werden, wie weit die Umsetzung gediehen ist – vor allem in Form beschlossener weiterer Tests. Für die Teams selbst ist die Dokumentation ihres engagierten Tuns meist eine lästige Pflicht. Je mehr sie diese Aufgabe (unter ihrer Regie) einem Werkzeug überlassen können, desto weniger Arbeit fließt in den kostenträchtigen Overhead.

Die zentrale Übersicht: Alle Beteiligten an Application-Testing-Maßnahmen brauchen einen stets verfügbaren zentralen Überblick über den Stand ihrer Aktivitäten. Geeignete Tools bieten dazu passende Dashboards.

 

Fazit

Moderne Application-Testing-Tools gehen weit über das traditionelle Spektrum des Vulnerability-Scannings hinaus. Sie integrieren sich reibungslos in moderne DevOps-Prozesse und agile Software-Entwicklung an. Das Interessante dabei ist, dass nicht die fortschreitende Analysetiefe der wichtigste Aspekt der Weiterentwicklung ist. Die neuen Werkzeuge unterstützen die Entscheidungs- und Priorisierungsprozesse, die mit moderner, sicherer Softwareentwicklung einhergehen. Sie liefern so einen wichtigen Beitrag zu einer Produktion, die zwischen Funktionalitätsansprüchen und Sicherheitsanforderungen die Waage halten kann.

Florian Thurmann, Synopsys

 

77 Artikel zu „AppSec“

AppSec: Softwaresicherheit als Reaktion auf DevOps und digitale Transformation

Die 11. Version des »Building Security In Maturity Model« demonstriert, wie Unternehmen Softwaresicherheit anpassen können, um moderne Software-Entwicklungsparadigmen zu unterstützen.   Synopsys veröffentlichte BSIMM11, die aktuelle Version des Building Security In Maturity Model (BSIMM). BSIMM unterstützt Unternehmen bei der Planung, Ausführung, Analyse und Verbesserung ihrer Softwaresicherheitsinitiativen (SSIs). Die Studie spiegelt die Softwaresicherheitspraktiken von 130 Unternehmen…

Checkmarx präsentiert neues Global Channel Partner Program

Neues Programm hilft Resellern und Distributoren, die Weichen für ein nachhaltiges Wachstum und langfristige Kundenbeziehungen zu stellen und der steigenden Nachfrage nach AST-Lösungen gerecht zu werden. Checkmarx, Anbieter entwicklerzentrierter Application-Security-Testing-Lösungen, dokumentiert mit dem Launch des neuen Checkmarx Global Partner Programs sein nachhaltiges Channel-Commitment. Das neue Programm ermöglicht es Partnern, gemeinsam mit Checkmarx die Weichen für…

DNS im Visier der Cyberkriminellen – Die erste Verteidigungslinie

Das Domain Name System (DNS) ist zentral für den Netzwerkverkehr. Eine Beeinträchtigung des DNS führt dazu, dass Nutzer nicht mehr auf kritische Apps und Services zugreifen können. DNS-Sicherheit ist somit wichtig, um Applikationen, Nutzer und Daten zu schützen. Das spüren Unternehmen gerade in Zeiten vom Home Office, IoT und vernetzten Geräten, da mit der wachsenden Komplexität von Unternehmensnetzwerken auch das Risiko von DNS-Attacken wie Phishing, DDoS oder Ransomware gestiegen ist.

DevSecOps: Fünf Aspekte für den optimalen ROI

Entwicklungsteams von Morgen denken nicht nur an Code, Sicherheit und den alltäglichen Arbeitsbetrieb, sondern auch an die Rentabilität – den ROI. In einer zunehmend digitalisierten Welt ist es unerlässlich, dass die Verantwortlichen für den ständigen Wandel bei der Modernisierung ihrer IT-Strukturen Geschäftsziele mitdenken.   Spätestens die Covid-19 Pandemie hat Unternehmen vor Augen geführt, wie entscheidend…

Mit Vollgas in die Transformation: So wird die Fahrschulbranche digitalisiert

Gegründet im Sommer 2016, ist 123fahrschule heute mit 31 Filialen die größte Fahrschulkette des Landes und die einzige, die sich auf dem Börsenparkett bewegt. Boris Polenske gründete sein Bildungsunternehmen mit einer speziell entwickelten Software inklusive App, zwei Testfilialen und dem Ziel, die Zukunft der Branche neu zu programmieren. Mit Erfolg: Immer mehr Standorte deutschlandweit kommen…

Die Kultur macht’s: So meistern Unternehmen die digitale Transformation

Die Corona-Pandemie war ein extremer Beschleuniger für die Digitalisierung: Unternehmen, die noch keine Transformationsstrategie hatten, mussten über Nacht eine erstellen. Dabei wurde jedoch oftmals vergessen, die Mitarbeitenden mitzunehmen. Eine erfolgreiche digitale Transformation gelingt jedoch nur, wenn Technik und Mitarbeiter im Einklang sind.   Durch die Covid-19-Pandemie befanden sich die Märkte weltweit zunächst in einem Abwärtstrend.…

Checkmarx beruft Roman Tuma als Chief Revenue Officer

Erfahrener Security-Experte zeichnet für die Umsetzung der Go-to-Market-Strategie von Checkmarx und für den Ausbau des Geschäfts mit entwicklerzentrierten AST-Lösungen verantwortlich.   Checkmarx, Anbieter entwicklerzentrierter Application-Security-Testing-Lösungen, hat Roman Tuma als neuen Chief Revenue Officer (CRO) berufen. Roman Tuma, der bislang als Vice President of Sales das Checkmarx Geschäft in den EMEA-, LATAM- und APAC-Regionen koordinierte, zeichnet…

Checkmarx ist Leader im Gartner Magic Quadrant für Application Security Testing 2021

Checkmarx, Anbieter entwicklerzentrierter Application-Security-Testing-Lösungen, gibt bekannt, dass das Unternehmen im Gartner Magic Quadrant for Application Security Testing 2021 im vierten Jahr in Folge als »Leader« eingestuft wurde. Im Report würdigt Gartner Checkmarx für die ganzheitliche Vision und die hohe Umsetzungskompetenz im Markt für das Application Security Testing (AST).   Laut den Autoren des Reports »hat…

Checkmarx schützt Cloud-native Anwendungen mit neuer Scanning-Lösung für Infrastructure-as-Code (IaC)

Open-Source-basierte IaC-Scan-Engine ermöglicht es Entwicklern als branchenweit umfangreichste Plattform, Konfigurationsprobleme zu identifizieren und zu beheben.   Checkmarx, Anbieter im Bereich Software-Security für DevOps, bietet mit KICS (Keeping Infrastructure as Code Secure) eine neue, Open-Source-basierte Lösung für statische Analysen, die es Entwicklern ermöglicht, Infrastructure-as-Code (IaC) sicher zu entwickeln. Mit KICS baut Checkmarx sein AST-Portfolio weiter aus…

Cybercrime: Healthcare in 2020 gefährdetste Zielgruppe

Ransomware bleibt ein Hauptphänomen für IT-Sicherheitsverletzungen im Gesundheitswesen. Das IT-Sicherheitsunternehmen Tenable veröffentlichte in einem ausführlichen Report eine fundierte Analyse der signifikantesten Datensicherheitsverletzungen aus dem vergangenen Jahr. Für diesen Bericht hat Tenable die veröffentlichten Meldungen über Sicherheitsverletzungen von Januar bis Oktober 2020 analysiert, um Trends zu erkennen. In den ersten zehn Monaten des Jahres 2020 gab…

DevSecOps: Schneller sichere Software

Immer wieder sorgen Datenverluste und Datenschutzverletzungen aufgrund fehlerhafter Software für Schlagzeilen. Auf der einen Seite werden Cyberkriminelle immer findiger, wenn es darum geht, Sicherheitslücken auszunutzen. Andererseits verschärfen Regierungen und Regulierungsbehörden zurecht die Bestimmungen zum Datenschutz. Das hat in vielen Unternehmen zu der Situation geführt, dass die IT-Sicherheitsspezialisten der beschleunigten Entwicklung von Software durch den Einsatz…

Fehlendes Bewusstsein für die Verbindung zwischen DevOps und Hochschulbildung

Der Lehrplan für DevOps-Thematik an Universitäten weist Lücken auf – das belegen die Ergebnisse der gestern Abend vorgestellten Umfrage GitLab for Education Report [1]. Für den Bericht wurden weltweit mehr als 800 Nutzer von GitLab for Education befragt. Der Begriff DevOps stammt ursprünglich aus der IT-Welt und ist ein Kunstwort aus Development (Entwicklung) und Operations (Betrieb). Er…

Sicherheitsinitiativen: Warum eine operationszentrierte Strategie?

IT-Teams sind nicht selten gezwungen, ihr Unternehmen aus einer siloartigen Infrastruktur heraus gegen Cyberangriffe zu verteidigen. Das liegt daran, dass das verfügbare Sicherheitsarsenal größtenteils aus Tools besteht, die für den Schutz ganz bestimmter Systeme und Anwendungen entwickelt wurden. Mit anderen Worten: Die eine Lösung wird eingesetzt, um Cloud-Workloads abzuschotten, während sich eine andere primär darauf…

Datenschutz: Instagram teilt 79 % der persönlichen Daten mit Dritten

Apps und Websites sammeln eine große Menge persönlicher Daten von uns bei jeder Anwendung und jedem Besuch. Oft werden die Informationen auch an Dritte weitergegeben ohne uns nochmals um Freigabe dieser Daten zu bitten. Die Berechtigungen dazu erhalten die Apps bereits beim Download durch die Bestätigung der allgemeinen Geschäftsbedingungen. Durch die von Apple eingeführten Datenschutz-Labels…

Fünf Tipps, wie User Experience und Sicherheit in Einklang gebracht werden können

Nutzer stellen hohe Anforderungen an Anwendung, die sie täglich nutzen: Sie müssen leicht zu handhaben sein und schnell reagieren. Darüber hinaus können sich Nutzeranforderungen sehr schnell verändern. Während Anbieter versuchen, diesen Erwartungen zu entsprechen, steigt die Herausforderung, sich gleichzeitig vor sicherheitsrelevanten Bedrohungen und böswilligen Eingriffen zu schützen. User Experience und Sicherheit gehen daher Hand in Hand.…

Raus aus den Datensilos – Warum Tool-Konsolidierung für Unternehmen höchste Priorität haben muss

Unternehmen haben heute die Qual der Wahl, wenn es um die Entwicklung und Verwaltung von Softwareumgebungen geht. In der Regel können Unternehmen dabei auf ein Repertoire von 20 bis 40 Tools zurückgreifen. Doch anstatt dazu beizutragen, die Prozesse von Innovation, der mittleren Zeit bis zur Erkennung von Problemen (mean time to detection, MTTD) oder der…

Fünf Gründe warum ERP-Transformationen  scheitern

Die Modernisierung eines ERP-Systems oder die Einführung einer neuen ERP-Lösung sind keine einfachen Aufgaben. Viele ERP-Projekte bringen deshalb auch nicht den gewünschten Erfolg. Signavio, Anbieter von Business-Transformation-Lösungen, nennt fünf Gründe, die eine erfolgreiche ERP-Transformation verhindern.   Viele Unternehmen stehen vor der Herausforderung, ihre ERP-Lösung zu modernisieren oder abzulösen. Handlungsbedarf besteht etwa, wenn die Software aktuelle…

Damit unterschiedliche Managementsysteme miteinander kommunizieren können

Eigentlich sind Managementsysteme ein Segen. Aber wenn sie rein siloorientiert sind und keine Daten miteinander austauschen, können sie durchaus übergreifende Prozess- und Geschäftsmodelle bremsen. Das Cross-Business-Architecture Lab (CBA Lab) hatte nun die Idee, die verschiedenen Managementsysteme auf Basis des Enterprise Architecture Repository zu integrieren. Der erste Schritt dazu war, zu untersuchen, wo sich Datensynchronisierung lohnt…

Software-Sicherheitstrends 2021

Die Spezialisten von Checkmarx sagen für 2021 einige grundlegende Security-Trends voraus. So müssen Unternehmen die Sicherheit schneller machen, mehr auf Open-Source-Angriffe achten, Infrastructure-as-Code ins Auge fassen, die Integration der Security in die Software-Entwicklung vorantreiben, einen ganzheitlichen Blick auf das Security-Standing ihrer Anwendungen werfen, Cloud-native Security in den Fokus rücken, anfällige APIs als Hauptursache software- und…

Datenzentrierte Sicherheit in der Multi-Cloud  

Datenzentrierung ist ein Faktor, der maßgeblich die Cloud- und IT-Security-Strategie in Unternehmen mitbestimmt. Je nach regulatorischen Vorgaben werden diverse Datenprozesse in geeigneter Weise abgesichert. Mit der wachsenden Cloud-Nutzung in den vergangenen Jahren entstehen in Unternehmen auch mehr und mehr Multi-Cloud-Umgebungen. Für diese spricht vor allem der Vorteil hoher Effizienz: Prozesse können zu den jeweils geringsten…

Schluss mit den Vorurteilen – Open Source ist sicher

Open Source ist aus vielen Unternehmen nicht mehr wegzudenken, dennoch halten sich einige hartnäckige Vorurteile über die vermeintliche Unsicherheit quelloffener Lösungen. VNC, Entwickler von Open-Source-basierten Unternehmensanwendungen, räumt damit auf.    Open Source ist eine Erfolgsgeschichte und kommt in unzähligen kleinen wie großen Unternehmen zum Einsatz. Selbst ein großer Softwarekonzern wie Microsoft, dessen ehemaliger Chef Steve…

Digitale Transformation: Was ist digitale Transformation und was bringt sie?

Die Zeit, in der wir uns befinden, hat nur weiter bestätigt, wie wichtig die IKT-Industrie und die digitale Transformation für den Einzelnen, die Wirtschaft und die Gesellschaft sind. Der Bedarf an digitalen Diensten, wie zum Beispiel den Everest Poker Aktionscode, wächst. Alle Anzeichen sprechen dafür, dass sich dieser Trend fortsetzen wird. Es wird viel über…

Die technologische Bringschuld meistern – digitale Transformation im Zuge von Covid-19

Seit vielen Jahren stehen Unternehmen unter starkem Druck, sich digital zu transformieren. Ob es nun darum ging, sich an die veränderten Einkaufsgewohnheiten der Verbraucher anzupassen, die Vorteile der Cloud zu nutzen oder mit Hilfe von Software neue Einnahmequellen zu erschließen: Der Wandel war größtenteils eine Reaktion auf die Erwartung der Gesellschaft, »alles sofort« zu haben,…

Von der Zielscheibe zur Festung: Cloud-Software bringt kleinen Betrieben Sicherheit 

Wer denkt, sein Unternehmen ist zu klein und daher für Hacker kein lohnendes Ziel, liegt falsch. Denn nicht nur große Betriebe und Einrichtungen von öffentlichem Interesse sind von Cyberangriffen betroffen. Auch kleine Firmen oder Startups fallen ihnen immer häufiger zum Opfer. Die Cloud kann hier Abhilfe leisten: Provider von Cloud-Software und -Infrastrukturen ermöglichen Unternehmen ohne…

Paradigmenwechsel für IT-Planung und Architektur: Kontinuierlichen Wandel zur Leitlinie aller Aktivitäten machen

André Christ fordert fundamentales Umdenken der Branche. Die Notwendigkeit von Investitionen in die IT-Landschaft ist in Unternehmen im Jahr 2021 ebenso klar wie die Bereitschaft dazu: Kunden und Mitarbeiter erwarten eine Zunahme digitaler Touchpoints, strategische Plattformen wie SAP S4/HANA müssen erfolgreich ausgerollt und Cloud-Strategien entwickelt und umgesetzt werden. Kritische Faktoren für Corporate und Produkt-IT sind…

Digital Asset Management: Die Arbeit aus dem Home Office erfordert eine neue Art der Kollaboration

Unternehmen setzen zunehmend auf visuelle Erlebnisse, um ihre Dienstleistungen und Produkte zu vermarkten. Angesichts der Bilder und Videoflut ist die Zusammenarbeit von oft an verschiedenen Standorten verteilter Teams an diesen Assets mit traditionellen Tools kaum noch zu stemmen. Besonders schwierig wird es, wenn die Mitarbeiter aus dem Home Office arbeiten. 2020 wird als ein Jahr…

Digital Leader müssen sich 2021 neu erfinden

Die Corona-Pandemie hat die Art und Weise, wie Menschen zusammenarbeiten, grundlegend verändert. Das hat auch einen gravierenden Einfluss auf die Rolle von Führungskräften. Folgende Trends werden den Bereich Digital Leadership in 2021 prägen. Covid-19 hat die digitale Transformation beschleunigt – sie ist keine Kür mehr, sondern eine absolute Notwendigkeit. Digitalisierung bedeutet aber nicht nur Technologie,…

Die digitale Fertigung nach modernsten Standards

Online-Plattformen wie 3dhubs halten Lieferketten aufrecht und ermöglichen industrielle Produktion auch bei kleinen Stückzahlen! Jetzt online informieren!   Die unbegrenzten Möglichkeiten der digitalen Fertigung Ein wichtiger Teilbereich des Konzepts Industrie 4.0.   Deutschland ist mit seinem hohen Anteil industrieller Wertschöpfung Vorreiter und Mitbegründer des Zukunftskonzepts 4.0. Dabei geht es um die umfassende Digitalisierung industrieller Produktionsabläufe.…

Trends der Arbeitswelt 2021: Agilität und menschliche Initiativen

Was sind die wichtigsten Treiber für die Umgestaltung der Arbeitswelt im Jahr 2021? Die Verschiebungen am Arbeitsplatz im Jahr 2020 ebnen den Weg für eine neue Arbeitswelt im Jahr 2021. Die Veränderungen veranlassen Arbeitgeber und Arbeitnehmer, nach digitalen Lösungen zu suchen, die dabei helfen, die Herausforderungen der globalen Pandemie, die wirtschaftliche Rezession und soziale Ungerechtigkeit…

Security-Praxistipps: Sechs DevSecOps-Metriken für DevOps- und Sicherheitsteams

Mitarbeiter im DevOps-Team bekommen leicht das Gefühl, dass das Sicherheitsteam dazu da ist, ihnen die Arbeit schwerer zu machen. Sicherheitsfachkräfte haben vielleicht das Gefühl, dass DevOps ihre Prioritäten nicht teilt und die Sicherheit nie so ernst nehmen wird, wie sie es gerne hätten. Glücklicherweise muss das nicht so sein. Durch das Festlegen und Verfolgen gemeinsamer…

Malware-as-a-Service: Cybersecurity-Profis gegen APT-Unternehmer

Die sich weiter professionalisierende Hacker-Industrie bietet nicht nur Malware und Tools zur Miete an. Kriminelle Experten stellen auch ihre Arbeitsleistung für Geld zur Verfügung. Deren Expertise für Advanced Persistent Threats (APTs) erfordert eine Abwehr auf Augenhöhe: Managed Detection and Response (MDR). In den letzten Jahren hat sich die Cyberkriminalität weiter organisiert und orientiert sich dabei…

SD-WAN im Jahr 2021 – ein Blick in die Kristallkugel

  Neue Pfade auf dem Weg zu SASE Wollen Unternehmen den vollen Nutzen aus der Cloud und der digitalen Transformation ziehen, gleichzeitig aber Konzepte wie »Work from Anywhere« umsetzen, müssen sie zwei Dinge tun: Sowohl ihr Wide Area Network (WAN) transformieren also auch ihre Sicherheitsarchitektur anpassen. Sobald sich das Marketing-Getöse um SASE (Secure Access Service…

Risikofaktor Router: Die sechs wichtigsten Schutzmaßnahmen

Laut einer aktuellen Studie unterschätzen viele Deutsche das Risiko für smarte Geräte, verursacht durch mangelnde Router-Sicherheit. Aufgrund der Cyberweek-Deals wurden mehr smarte Gadgets denn je gekauft. Doch bei der Sicherheit hinken die Deutschen hinterher: Nur ein Drittel (34 Prozent) ergreifen Maßnahmen, um die Sicherheit des Routers zum Schutz ihrer smarten Geräte zu verbessern, und 32…

Pandemie: Diese IT-Prognosen für 2021 sollte man berücksichtigen

Die »neue Normalität« umfasst digitale Transformationen, die sich auf die Effektivität von Fernarbeit auswirken. Fünf Prognosen unterstreichen, wie die digitale Transformation Unternehmen dabei hilft, im Zuge von Covid-19 wettbewerbsfähig zu bleiben und den Übergang zur »neuen Normalität« zu meistern. »Unternehmen sollten davon ausgehen, dass sich viele der Trends von 2020 im Jahr 2021 weiter beschleunigen…

Dynatrace bietet erstmals Lösung für Cloud Application Security an

Neues Plattformmodul erhöht Continuous Runtime Application Security für Produktions- und Vorproduktionsumgebungen, optimiert für Kubernetes und DevSecOps.   Das Software-Intelligence-Unternehmen Dynatrace tritt in den Markt für Cloud Application Security ein. Dazu hat das Unternehmen seine branchenführende Software-Intelligence-Plattform um ein neues Modul erweitert: Das neue Dynatrace Application Security Module bietet kontinuierliche Runtime-Application-Self-Protection-Funktionen (RASP) für Anwendungen in der…

Digitalisierung in der Life-Science-Branche – Um- und Neudenken statt nur modernisieren

Digitalisierung, neue Technologien, neue Arbeitsplätze und moderne Formen der Zusammenarbeit, der Arbeitswelt und der Arbeitsweisen und nicht zuletzt die Corona-Pandemie fordern Veränderungen auch in der Life-Science-Branche. Darüber gibt Oliver Benecke Auskunft, Leiter des neu gegründeten Life-Science-Bereichs der COSMO CONSULT-Gruppe.