Die neue Ausgabe des jährlich von Dynatrace ausgerichteten CISO-Reports bemängelt etliche von den Befragten als gravierend empfundene Sicherheitslücken bei Cloud-nativen Anwendungen. An der Umfrage hatten sich rund 700 Chief Information Security Officer (CISO) beteiligt. Die Mehrheit von ihnen kann im Arbeitsalltag offenbar blinde Flecken bei Microservices, Containertechnologie und Kubernetes ausmachen: 89 Prozent der Befragten aus Deutschland gaben das an – international schwankt diese Wahrnehmung zwischen 82 Prozent (Brasilien) und 92 Prozent (USA) nur geringfügig.

Ein zentrales Ergebnis des Berichts ist, dass Cloud-native Architekturen und Multicloud-Umgebungen mit den bisherigen Methoden für Anwendungssicherheit brechen und somit die traditionellen Rollenaufteilungen sowie Zuständigkeiten von Teams infrage stellen. Manuell betriebene Prozesse führen laut den Befragten zu Problemen, da sie dem aktuellen Setting mit dem Nebeneinander einer Vielzahl von Systemen und Mikrodiensten nicht mehr gewachsen sind.

Beschleunigte Releasezyklen erhöhen Fehlerrate

Eine wesentliche Erkenntnis der Erhebung ist, dass die raschere Auslieferung von Software in kürzeren Releasezyklen wohl dazu führt, dass Fehler und Schwachstellen schwerer auffindbar werden (63 Prozent der Befragten bemängelten das). Nur die wenigsten Unternehmen hätten Echtzeit-Einblick in die potenziellen Runtime-Schwachstellen ihrer containerisierten Produktionsumgebungen, ist den Antworten zu entnehmen. Oftmals werde nur einmal im Monat oder noch seltener nach Schwachstellen gescannt, geben die Befragten an. Das betrifft offenbar mehr als zwei Drittel der Unternehmen, aus denen Verantwortliche für die Sicherheit der Informationstechnologie befragt wurden (68 Prozent).

Sicherheitsteams sind von der Menge an Warnhinweisen überfordert (Bild: Dynatrace)

Falsch positive Warnhinweise verschleißen Aufmerksamkeit

Nicht hilfreich sei demzufolge, dass die kürzer getakteten und somit häufiger werdenden Releases wohl zu einem Überhang an falsch positiven Warnhinweisen führen: Nur etwa 42 Prozent der ausgelösten Warnungen bedürften laut den befragten CISOs eines Eingreifens. Bei den betroffenen Teams führe das Überalarmieren zu Überlastung und in die Erschöpfung. Automatisiertes Scannen würden die meisten Befragten als hilfreich erachten, um Fehler rascher sowie treffsicherer aufzufinden und Sicherheitslücken zu schließen (77 Prozent).

Für Reibungsverluste dürften Unklarheiten bei der Zuständigkeit sorgen, da die Schwachstellen oft gemischte Bereiche betreffen, die mehrere Abteilungen berühren. So sehen offenbar die meisten Befragten (85 Prozent), die selbst im Security-Bereich verortet sind, eher die benachbarten Anwendungs- und DevOps-Teams in der Pflicht, Schwachstellen zu verwalten und zu verarzten. Ein rollen- und teamübergreifendes Zusammenarbeiten findet offenbar selten statt, wäre hier eine mögliche Schlussfolgerung.

Unklare Zuständigkeiten und ungeeignete Tools

Entwicklerinnen und Entwickler mit mehr Verantwortung auszustatten, wäre ein Lösungsansatz – fast zwei Drittel der Befragten (64 Prozent) gaben jedoch an, dass diese meist keine Zeit dafür hätten, Schwachstellen zu patchen, bevor der Code in die Produktion gehe. Offenbar lässt über ein Viertel der Anwendungsteams das Scannen auf Schwachstellen ganz weg. Aus dem CISO-Report geht hervor, dass Ingenieurs- und Entwicklungsteams häufig nicht mit den für Sicherheit Zuständigen verzahnt seien und dass DevSecOps-Prinzipien die Organisationen noch nicht durchdrungen hätten.

Bestehende Mittel der Sicherheitskontrolle erfüllen im Cloud-nativen Umfeld nicht mehr ihren Zweck, meinen 74 Prozent der von Dynatrace Befragten. (Bild: Dynatrace)

Ein weiteres Problem aus Sicht der Befragten (69 Prozent) sind unwirksame Sicherheitstools, die die Arbeitsprozesse verlangsamten und zu stark auf den Auslieferungszyklus der Software und dessen einzelne Phasen zugeschnitten seien. Besonders kompliziert wird die Sicherheitsprüfung den Befragten zufolge unter Multi-Tool-Bedingungen in der Cloud, wenn zahlreiche Microservices, Container und Kubernetes zusammenspielen: Manuelles Warten ist bei der Vielzahl an parallel laufenden und miteinander verzahnten Systemen nicht mehr zu gewährleisten.

Weiterführende Hinweise

Wer sich für die genauen Daten und weitere Detailergebnisse der Umfrage interessiert, kann bei Dynatrace den Bericht kostenfrei herunterladen. Die Ausgabe 2021 trägt den Titel "Precise, automatic risk and impact assessment is key for DevSecOps". Dynatrace ist ein vor allem für Application Performance Monitoring (APM) bekannter Anbieter und in dem Geschäftsfeld tätig, um das es in der Umfrage geht. Der hier vorgestellte Report ist daher keine unabhängige wissenschaftliche Studie, sondern spiegelt durch den Zuschnitt der Fragen und die Art der Präsentation auch die Geschäftsinteressen des Anbieters.

(sih)