Illustration: Absmeier Raeng_Publications

Die Spezialisten von Checkmarx sagen für 2021 einige grundlegende Security-Trends voraus. So müssen Unternehmen die Sicherheit schneller machen, mehr auf Open-Source-Angriffe achten, Infrastructure-as-Code ins Auge fassen, die Integration der Security in die Software-Entwicklung vorantreiben, einen ganzheitlichen Blick auf das Security-Standing ihrer Anwendungen werfen, Cloud-native Security in den Fokus rücken, anfällige APIs als Hauptursache software- und anwendungsbezogener Attacken erkennen, veraltete, unzureichend geschützte IoT-Geräte eliminieren, generell der IoT-Sicherheit mehr Aufmerksamkeit schenken, das Thema Application Security immer mehr in den Fokus rücken, in leistungsfähige und ganzheitliche Application-Security-Plattformen investieren sowie die Application- und API-Security zusammen mit externen Spezialisten sicherstellen.

Maty Siman, CTO

Security wird schneller werden, um mit der Software-Entwicklung und der Cloud Schritt zu halten

Die Anwendungsentwicklung und die Release-Zyklen beschleunigen sich immer mehr, und man hört von vielen Seiten, dass dies nicht zu Lasten der Security-Standards gehen darf. In der Praxis wird dieser Mindset aber nur selten umgesetzt. Software-Entwicklung in der Cloud muss schnell sein, und mit so vielen Drops wie möglich erfolgen. Deshalb ist die Philosophie vieler Unternehmen, Software so schnell wie möglich in die Produktivumgebung zu überführen und im Falle eines Fehlers ein Rollback anzustoßen, weil sich neue Features so am schnellsten bereitstellen lassen. Aber so funktioniert Security nicht. Man kann den Code nicht bereitstellen und nachträglich einen Rollback initiieren, um Schwachstellen zu beheben. Denn bis das geschieht, hatten Angreifer schon die Möglichkeit, das System zu infiltrieren. 2021 werden wir Application-Security-Tools brauchen, die sich nahtlos in die Tool-Chain integrieren lassen und dabei wesentlich schneller greifen. Darüber hinaus müssen sie sich skalierbar in Cloud-Umgebungen einfügen – und handlungsrelevante, nachvollziehbare Ergebnisse liefern, damit sich Fixes schnell umsetzen lassen.

Open-Source-Angriffe gewinnen an Bedeutung, und Unternehmen müssen sich dagegen wappnen.

Open Source ist für Hacker ein einfacher Weg, Unternehmen zu infiltrieren – und dieser Trend wird sich 2021 weiter verstärken. Kaum eine Woche vergeht, ohne dass bösartige Open-Source-Pakete bekannt werden. Natürlich wissen Unternehmen, dass sie die Open-Source-Komponenten, die sie im Einsatz haben, absichern müssen. Und die heute verfügbaren Lösungen können auch dabei helfen, versehentlich unsichere Pakete zu entfernen (in die ein Entwickler aus Versehen eine Schwachstelle eingebaut hat). Aber sie sind immer noch wehrlos, wenn Angreifer gezielt schadhaften Code in Open-Source-Pakete einschleusen. Das muss sich 2021 ändern.

Generell empfiehlt es sich, bei kritischen Projekten auf bewährte (d. h. keine unausgereiften) Open-Source-Komponenten zuzugreifen und zu prüfen, nach welchen Kriterien das Open-Source-Projekt neue Mitwirkende einbindet (etwa, ob sie prinzipiell jedem erlauben mitzuwirken oder ob sie Background Checks durchführen, um potenzielle Angreifer herauszufiltern).

Infrastructure-as-Code (IaC) gewinnt im Zuge der steigenden Nachfrage nach Cloud-basierter Security enorm an Bedeutung.

Die digitale Explosion im Jahr 2020 zwang viele Unternehmen dazu, in die Cloud zu wechseln, um ihr Business aufrechtzuerhalten. Die Cloud bietet viele Vorteile, gerade wenn Mitarbeiter auf Büros und Homeoffices verteilt sind. Aber mit der Umstellung gehen auch Herausforderungen einher – und eine der Dringendsten dreht sich um die zunehmend relevanten Infrastructure-as-Code (IaC-) Modelle.

IaC ist für viele Entwickler Neuland – zumal es in diesem Bereich an qualifizierenden Schulungen fehlt und der Druck, schnell Code bereitzustellen, immer mehr zunimmt. Die Architektur dieses Codes ist hochkomplex, und die heute verfügbaren Security Tools sind zu heterogen, um Schwachstellen im IaC-Code aufzuspüren. Ich befürchte, dass Angreifer 2021 die Fehler, die Entwickler in diesen flexiblen Umgebungen machen, sehr gezielt ausnutzen werden. Wir werden uns deshalb klar auf die Bereiche Cloud-Security-Trainings und IaC-Best-Practices konzentrieren müssen, und sollten höhere Etats für Software- und Application-Security einplanen. Nur so können wir den Anforderungen der Remote-Worker und den zunehmend komplexen Software-Ökosystemen gerecht werden.

Die Security berichtet an die Entwicklung – nicht andersherum.

Es ist kein Geheimnis, dass Entwickler die Trendsetter in Unternehmen sind und maßgeblich die digitale Transformation vorantreiben. Sie haben zu neuen Technologien in der Regel eine klare Meinung und diese hat im Unternehmen auch Gewicht. Das bedeutet auch, dass man Developer nicht zu etwas bringen kann, von dem sie nicht überzeugt sind. Die Integration der Security in die Software-Entwicklung erfordert daher sowohl einen Bottom-Up- als auch einen Top-Down-Ansatz. Die Security wird sich 2021 nahtlos in die Tool-Chain der Entwickler einfügen müssen – und zwar so, dass diese gerne damit arbeiten. Entwickler sind nicht bereit, zwischen mehreren GUIs zu wechseln (einer zum Entwickeln und einer für die Security) – und sie sollten dies auch nicht tun müssen, wenn Geschwindigkeit und Sicherheit gleich wichtig sind. Sie benötigen alle Daten auf einen Blick, egal ob es sich dabei um Daten zur Qualität oder zur Sicherheit handelt. Security wird die Entwickler dort abholen müssen, wo sie arbeiten, mit den Interfaces und Tools, die sie bevorzugen.

Context will be King. Ein ganzheitlicher Blick auf Anwendungen verbessert die Security.

Nächstes Jahr wird der AppSec-Markt wesentlich enger zusammenrücken, und wir erleben die Abkehr von »One-Trick-Pony«-Lösungen. Unternehmen brauchen mehr denn je einen ganzheitlichen Blick auf das Security-Standing ihrer Anwendungen aus verschiedenen Blickwinkeln (etwa, indem der Anwendungskontext analysiert und mit Infrastructure-as-Code korreliert wird). Daher wünschen sie Komplettlösungen aus einer Hand, die ihnen einen umfassenden Blick auf das Ökosystem liefern. Dies ist gerade mit Blick auf Open Source Security wichtig: Hier ermöglicht es die ganzheitliche Perspektive den Unternehmen, nicht nur nach potenziell gefährlichen Komponenten Ausschau zu halten, sondern auch zu untersuchen, wie der entsprechende Code in der Anwendung verwendet wird – und ob dies tatsächlich einem Angriff oder einer Schwachstelle Vorschub leistet.

Ein konkretes Beispiel: Wenn eine Open-Source-Komponente angreifbar ist, müssen in der Regel drei Bedingungen erfüllt sein, damit ein Angreifer die Schwachstelle ausnutzen kann: Erstens: Die Open-Source-Komponente muss in einer angreifbaren Version eingebunden sein. Zweitens: Die Anwendung muss für eine bestimmte Funktion in dieser Open-Source-Komponente programmiert sein. Drittens: Ihre Infrastructure-as-Code muss einen bestimmten Port öffnen. Nur wenn Sie den Kontext dieser drei Aussagen berücksichtigen, wissen Sie, ob eine Anwendung tatsächlich angreifbar ist.

Erez Yalon, Senior Director of Security Research

Cloud-native Security rückt in den Fokus

API war in diesem Jahr das wichtigste Schlagwort, wenn es um moderne Softwareentwicklung und Sicherheit ging. 2021 wird nun Cloud-native Security ins Rampenlicht rücken. APIs nehmen auch in diesem Umfeld nach wie vor eine Schlüsselrolle ein – aber der Fokus wird eher darauf liegen, wie Cloud-basierte Technologien in den Unternehmen Einzug halten und die Anwendungslandschaft durchdringen. Der Schutz der so entstehenden Ökosysteme mit ihren vernetzten und Cloud-basierten Lösungen wird oberste Priorität haben.

Aktuell fehlt es den Unternehmen flächendeckend am Bewusstsein für Cloud-native Security. APIs, Container und Orchestrierungstools sind in der Software-Entwicklung mittlerweile Standard, und die Unternehmen haben mit Hochdruck an der Integration der vielen Tools gearbeitet, mit denen sie ihre Effizienz und Produktivität steigern. Aber jede Schnittstelle birgt auch die Gefahr von Schwachstellen, die ausgenutzt werden könnten. 2021 werden die Unternehmen die Komplexität der Software-Landschaften adressieren, und konkrete Schritte einleiten, um sich zu schützen.

Anfällige APIs sind Hauptursache software- und anwendungsbezogener Attacken.

Obwohl sich die Awareness für API Security in den letzten Jahren verbessert hat, zeichnet sich ab, dass APIs auch 2021 einer der wichtigsten (wenn nicht der wichtigste) Angriffsvektoren sein werden. APIs sind für Entwickler ein einfacher Weg, um komplexere Applikationen zu designen und zu betreiben. Sie werfen aber auch eine Reihe von Fragen auf – etwa mit Blick auf die Access Control. All diese möglichen Schwachstellen im Blick zu behalten, ist für die Entwickler eine echte Herausforderung, für die es keine simple Lösung gibt.

Während die Angreifer ihre gezielten Attacken auf APIs verstärken, hinken die Unternehmen hinterher – und dürfen keine Zeit verlieren, Knowhow im Bereich API-Security aufbauen. Denn ihre Gegner werden den aktuellen Vorsprung schon bald für weitere Angriffe nutzen. Die Entwickler stehen damit unter hohem Druck, die Authentifizierung und Autorisierung ihrer APIS zu verbessern.

Unsichere IoT-Devices machen die Verbraucher angreifbar.

Ein weiteres Thema, das uns 2021 beschäftigen wird, sind veraltete, unzureichend geschützte IoT-Geräte, die immer noch ausgerollt und beruflich wie privat verwendet werden. Die Zahl webfähiger Devices ist in den letzten Jahren explodiert, und heute sind sie in unserem Leben allgegenwärtig. Wir haben uns daran gewöhnt, dass diese IoT-Geräte ständig im Hintergrund laufen, und denken nicht darüber nach, ob wir sie ersetzen, aufrüsten oder wegwerfen sollten.

Auch wenn diese Geräte immer mehr veralten, bleiben sie durchgehend online – werden von vielen Herstellern aber nicht mehr mit Updates und Patches versorgt, da deren Fokus auf neueren Modellen liegt. Als Access Points sind sie ein attraktives Ziel für Angreifer. Im Laufe der Zeit werden Cyberkriminelle immer mehr Schwachstellen dieser überholten Produkte entdecken und missbrauchen. Dem Sprichwort »Alles Alte wird irgendwann wieder neu« werden die meisten Hacker zustimmen.

Die IoT-Security macht Fortschritte – es bleibt aber Luft nach oben.

Auch 2021 bleibt im Bereich IoT-Security viel zu tun. Die Branche hat erste Schritte in die richtige Richtung unternommen, wie die Verabschiedung eines Gesetzes zur IoT-Sicherheit durch die US-Regierung zeigt. Aber die Untätigkeit vieler Verbraucher und Hersteller bleibt nach wie vor ein großes Problem. Solange die Verbraucher keinen Druck auf Regierungen und Hersteller ausüben, um die Sicherheit von IoT-Geräten zu verbessern, bleibt Anlass zur Sorge.

Dr. Christopher Brennan, Director DACH & EE

Software-Security kommt im Mittelstand an

Die Digitalisierung der Business-Prozesse schreitet über alle Branchen und Unternehmensgrößen rasant vorn – auch und gerade im so wichtigen Mittelstand. Nahezu jedes Unternehmen nutzt heute eigenentwickelte Anwendungen und agile DevOps- und Cloud-Technologien, um sein Angebot zu erweitern und sich von seinen Wettbewerbern abzugrenzen. Mit der zunehmenden Bedeutung der Software rückt aber auch das Thema Application Security immer mehr in den Fokus. Mittelständische Unternehmen zögerten bislang oft, in dedizierte Software-Security zu investieren – einfach, weil die Know-how- und Investitionshürden beim Einstieg in diesen Markt so hoch waren. Das hat sich inzwischen geändert: Mit dem Corona-bedingten Digitalisierungsschub sind innovative Cloud- und Managed-Services-Modelle in vielen Betrieben salonfähig geworden. Dies ist genau der Türöffner, auf den viele Application-Security-Teams gewartet haben.

Application Security wird zum zentralen Differenzierungsmerkmal

Ob im Banken- und Finanzwesen, in der fertigenden Industrie oder im Healthcare-Markt: Software-Anwendungen und APIs unterliegen heute in den meisten vertikalen Märkten strengen GRC-Vorgaben (Governance, Regulation, Compliance) – von internationalen Standards wie der DSGVO bis hin zu Branchenvorgaben wie TISAX in der Automotive-Industrie. Entwickelnde Unternehmen und ISVs, die sich in diesem regulierten Umfeld an der Spitze behaupten wollen, kommen nicht umhin, in leistungsfähige und ganzheitliche Application-Security-Plattformen zu investieren – und den lückenlosen Schutz von eigenentwickeltem und Open-Source-basiertem Code auch durchgehend zu dokumentieren. Umgekehrt gilt aber auch: Wer diese anspruchsvolle Aufgabe mit Bravour meistert, kann sich auf diese Weise erfolgreich von seinen Wettbewerbern abheben und stößt die Tür zu attraktiven Wachstumsmärkten weit auf.

AppSec muss nicht Inhouse erbracht werden

Die Awareness für die Themen Application- und API-Security hat spürbar zugenommen. Die meisten CISOs und Security-Verantwortlichen wissen gut, dass die Zahl der Angriffe in diesem Bereich kontinuierlich zunimmt und sind durchaus bereit, in innovative Lösungen zu investieren. Ihnen ist aber auch bewusst, dass Software-Security ein hochkomplexes Thema ist, und dass Fachleute in diesem Umfeld überaus schwer zu gewinnen sind. Daher ist die Bereitschaft hoch, im Bereich Application Security externes Knowhow ins Haus zu holen: Beratungsleistungen stehen dabei ebenso hoch im Kurs wie Managed-Services-Angebote. Für uns als Hersteller gab diese Entwicklung den Anlass, unsere Vor-Ort-Präsenz im deutschsprachigen Markt nachhaltig auszubauen: Ab 2021 sind wir in DACH als Checkmarx Deutschland GmbH mit einer eigenen Niederlassung in München präsent und haben unser Team erweitert, um Kunden künftig noch besser bei AppSec-Projekten unterstützen zu können.

https://www.checkmarx.com/de/

675 Artikel zu „Sicherheit 2021“

TRENDS 2021 | NEWS | IT-SECURITY

Trends Cybersicherheit 2021

8. Februar 2021

Welche Lehren in Sachen Cybersicherheit können aus dem Jahr 2020 gezogen werden? Welche Bedrohungen lauern im Jahr 2021? Stormshield zieht Bilanz und skizziert mögliche Bedrohungsszenarien für das neu angebrochene Jahr. Wäre 2020 ein Film über Cybersicherheit, wäre es sicherlich ein Western, denn die Cyberkriminellen schienen von allen Seiten zu feuern: das hinter uns liegende Jahr…