Interview mit Elmar Eperiesi-Beck

Themenkomplex Security: „Das zentrale Element zur Sicherung von Anwendungen in der Cloud ist die Datenverschlüsselung“
Keine Kommentare

Die moderne IT-Welt ist ein gefährliches Pflaster. Von der Entwicklung über das Deployment bis hin zur Nutzung fertiger Anwendungen gibt es quasi an jeder Ecke potentielle Schwachstellen. Kein Wunder also, dass „Security“ ein zentraler Bereich der Softwareentwicklung ist. Im Interview spricht Elmar Eperiesi-Beck, Gründer und Geschäftsführer von eperi, über die aktuelle Sicherheitslage in der IT.

Entwickler: Hallo Elmar! Sicherheit ist in der Welt der IT schon immer ein Thema. Kannst du vielleicht kurz umreißen, wie sich die Sicherheitslage in den letzten Jahren verändert hat?

Elmar Eperiesi-Beck: Die Sicherheitslage hat sich mit den Technologien in den letzten Jahren verändert. Wo früher die Absicherung der Unternehmensgrenzen (Perimeter) mit Firewalls etc. ausreichte, sind heute neue komplexe Angriffe möglich. Dies hängt u.a. mit dem Einsatz von Public-Cloud-Services, Home Office, Outsourcing, weltweiten Unternehmensverbünden, komplexeren IT-Systemen und immer schnellerer „Time to Market“ von neuen Anwendungen zusammen.

In den letzten Jahren hat sich eine datenzentrische Sichtweise auf den Schutz von Informationen durchgesetzt.

Laut Gartner werden IaaS-Dienste, Netzwerksegmente, Anwendungen oder APIs bis 2021 bei 50 Prozent der Unternehmen unwissentlich und fälschlicherweise direkt über das öffentliche Internet zugänglich sein. Der Anteil betrug 2018 noch 25 Prozent. Gleichzeit steigen die gesetzlichen Anforderungen zum Datenschutz, wie beispielweise die Europäische Datenschutzgrundverordnung (EU-DSGVO) zeigt. Zudem hat IT-Sicherheit einen wichtigen Platz im Bewusstsein der Kunden und Partner erobert. Dies belegt auch die zunehmende Anzahl von CISOs und Datenschützern in Unternehmen. Insgesamt hat die rapide steigende Komplexität der IT-Systeme zu einer nicht mehr beherrschbaren Sicherheitslage geführt. Das spiegelt sich nicht zuletzt in dem „Hase und Igel“-Rennen zwischen Angreifern und IT-Schutzmaßnahmen wider.

Aufgrund all dieser Entwicklungen hat sich in den letzten Jahren eine datenzentrische Sichtweise auf den Schutz von Informationen durchgesetzt. Anstatt den Schutz der (komplexer werdenden) IT-Systeme in den Vordergrund zu stellen, konzentrieren sich die Verantwortlichen auf den Schutz der Daten. Dies bedeutet bespielweise, dass Unternehmen ihre Daten verschlüsseln, bevor sie diese in die Cloud übertragen. So erfüllen sie auch die Anforderungen der DSGVO. Verschlüsselung von Daten schützt Unternehmen auch gegen den Zugriff durch Regierungen und Geheimdienste, weil korrekt verschlüsselte Daten für diese nutzlos sind. Unternehmen wollen zunehmend die Kontrolle über ihre Daten behalten und nicht Fremden vertrauen müssen.

Entwickler: Im DevOps-Bereich gibt es viele Ansätze, Anwendungen und deren Deployment sicherer zu machen: Das Stichwort hier heißt „DevSecOps“. Kannst du uns zu dessen Definition vielleicht ein paar Worte sagen?

Elmar Eperiesi-Beck: Die Integration von IT-Sicherheit in den DevOps-Prozess zur Bereitstellung von DevSecOps erfordert veränderte Denkweisen, Prozesse und Technologien. Mitarbeiter in Sicherheits- und Risikomanagement müssen sich an die kollaborative, verteilte und agile Natur von DevOps halten, damit Sicherheit nahtlos in die Entwicklung einfließen kann, wodurch das „Sec“ in DevSecOps transparent wird.

Einige kurze Empfehlungen für das Sicherheits- und Risikomanagement:

  • Sicherheits- und Compliance-Tests nahtlos in DevSecOps integrieren, sodass Entwickler ihre Umgebungen für continuous integration und continuous deployment nie verlassen müssen.
  • Alle Open-Source- und Drittanbieter-Komponenten auf bekannte Schwachstellen und Fehlkonfigurationen hin scannen. Im Idealfall eine vollständige Liste mit Hilfe der Softwarekompositionsanalyse erstellen.
  • Offenheit für den Einsatz neuer Arten von Werkzeugen und Ansätzen zur Minimierung von Reibungsverlusten für Entwickler (z.B. interaktive Sicherheitstests für Anwendungen). Diese sollten herkömmliche statische und dynamische Tests ersetzen.
  • Skalieren der Informationssicherheitsteams in DevOps durch Verwendung eines Sicherheits-Champion/Coach-Modells.
  • Erweitern der DevOps-Philosophie „you code it, you own it“ auf Sicherheitslücken.
  • Anpassung der Sicherheitstestwerkzeuge und -prozesse an die Entwickler, nicht umgekehrt.
  • Ausbildung aller Entwickler in den Grundlagen der sicheren Entwicklung, ohne zu erwarten, dass sie zu Sicherheitsexperten werden.

Es ist wichtig, alle Aspekte eines DevSecOps-Prozesses zu beachten! Dies gilt u.a. für den Einsatz von Testdaten, hier dürfen unter keinen Umständen originale Kundendaten eingesetzt werden. Es gibt spezielle Tools zur Erzeugung von validen, anonymisierten Testdaten, die auch komplexesten Anforderungen genügen und sich in die Entwickler-Toolchain nahtlos integrieren lassen.

Entwickler: Wie genau sichert man eine CI/CD-Pipeline am besten ab? Irgendwelche Best Practices?

Elmar Eperiesi-Beck: Viele Firmen führen DevOps-Prozesse ein, um eine schnellere Entwicklung und Flexibilität zu erreichen. Bei vielen DevOps-Implementierungen sind die Sicherheitsteams jedoch von der der Continuous Integration/Continuous Delivery (CI/CD)-Umgebung isoliert. Infolgedessen neigen Entwickler und I&O-Teams dazu, Sicherheit als ein Problem zu betrachten, das später behoben werden muss, und nicht als einen Schwerpunkt der Entwicklung. Darüber hinaus beruhen traditionelle Sicherheitstests auf schwergewichtigen, umfangreichen Tests, die die Agilität einschränken. Tipps hierzu:

  • Sicherheit zu einer gemeinsamen Verantwortung der Entwickler- und Sicherheits-Teams machen.
  • Etablierung eines Sicherheits-Coaching-Programms.
  • Von Anfang an Sicherheits- und Risikobewertungstools in DevOps Workflows integrieren.
  • Automatisation so vieler Sicherheitsprüfungen wie möglich.
  • Sicherheit in der Entwicklung durch KPIs transparent machen. Was sind die Ziele und wie können sie erreicht werden?
  • Einsatz guter und valider Testdaten, die allerdings keine Originaldaten sein dürfen!

Entwickler: Die Cloud ist für viele Unternehmen ein Segen, müssen sie doch nicht mehr selbst Hand anlegen, was die Server und die Konfiguration angeht. Dennoch gibt es, da alles irgendwo halb-öffentlich in der Cloud lagert, ganz andere Sicherheitsprobleme. Wie sichert man Cloud-basierten Anwendungen richtig ab?

Das zentrale Element zur Sicherung von Anwendungen in der Cloud ist die Verschlüsselung von Daten.

Elmar Eperiesi-Beck: Das zentrale Element zur Sicherung von Anwendungen in der Cloud ist die Datenverschlüsselung. Es geht nicht nur um die Sicherheit der Anwendung, sondern in der Regel um den Schutz der darin befindlichen Daten. Dies geschieht am besten so, dass selbst der Betreibers der Anwendungsumgebung keinen Zugriff auf die kritischen Daten hat. IT-Sicherheitsexperten stimmen darin überein, dass es nicht fraglich ist, ob eine Anwendung gehackt wird, sondern wann das passiert. Darum ist es entscheidend, sensible Daten in der Anwendung zu verschlüsseln, bevor sie das Unternehmen in Richtung Cloud verlassen. Verschlüsselung hat einen wesentlichen Vorteil gegenüber anderen IT-Sicherheitstechniken: selbst wenn eine Anwendung gehackt und die Daten gestohlen werden, sind diese nutzlos für Cyberkrimininelle, weil diese nicht lesbar und somit auch nicht (kommerziell) nutzbar sind.

Entwickler: Auch das maschinelle Lernen oder Machine Learning ist in den letzten Jahren ordentlich vorangeschritten. Wie wirkt sich das auf die Sicherheit von Anwendungen aus? Immerhin können solche Technologien auch zum Knacken von Passwörtern und Firewalls genutzt werden.

Elmar Eperiesi-Beck: Neben der oben genannten Komplexitäts-Steigerungen der Systemumgebung, steigt auch die Komplexität der Anwendungen und die Fähigkeiten der Angreifer. Gerade Maschine Learning erweitert die Fähigkeiten der Angreifer massiv, sie können sich quasi virtuell klonen. Umso wichtiger ist es, den Fokus vom Schutz des IT-Systems auf den Schutz der Daten zu verlegen.

Entwickler: Was ist deine Sicherheitsprognose für die kommenden Monate und Jahre – welche Entwicklungen wird es in Sachen Anwendungssicherheit geben?

Elmar Eperiesi-Beck: Eine große Gefahr für die Sicherheit von Daten entsteht in absehbarer Zeit durch Quantencomputer. Diese werden tatsächlich in der Lage seine, viele bewährte Sicherheitstechniken zu überwinden. Asymmetrische Verschlüsselungsalgorithmen beispielsweise bieten keine Sicherheit gegen Attacken mit einem Quantenrechner. Unternehmen sollten sich rechtzeitig hierauf vorbereiten und sich mit den Entwicklungen sogenannter „Postquantenkryptografie“ und Algorithmen wie XMSS, TESLA, LARA und KINDI auseinandersetzen.

Eine große Gefahr für die Sicherheit von Daten entsteht in absehbarer Zeit durch Quantencomputer.

Die Rechtsprechung der letzten Jahre hat immer wieder deutlich gemacht, dass der Schutz der (personenbezogenen) Daten eine nicht delegierbare Verantwortung der Unternehmen ist. Damit wird Datensicherheit zu mehr als einem Hygiene-Faktor: zum Wettbewerbsvorteil. Es reicht nicht mehr, einfach nur ein „Kreuzchen“ bei Verschlüsselung als Feature zu machen. Kunden hinterfragen, wer Zugriff auf die unverschlüsselten Daten hat, und warum sie nicht selbst die vollständige Kontrolle über ihre Daten haben können. Zahlreiche Gesetzliche Vorschriften zwingen die Kunden zu diesen Fragen.

Gerade Dev(Sec)Ops steht vor neuen Herausforderungen. Bisher interne (daher häufig geheim gehaltene) Informationen zu Schwachstellenscans, Sicherheitskonzepten und Entwicklungsmodellen werden zunehmend von potentiellen Kunden hinterfragt und müssen offen gelegt werden. Externe Tests und Prüfungen gehören zum Alltag und stellen damit neue Anforderungen an die Entwicklung. Die Integration von Sicherheit in den DevOps Prozess ist unabdingbar.

Schließlich gilt: Wer von Anfang an die richtigen Antworten hat und auf offene Kommunikation setzt, liegt in den Kunden-Entscheidungen vor dem Mitbewerb!

Entwickler: Vielen Dank für das Gespräch!


Die Karriere von Elmar Eperiesi-Beck in der IT-Sicherheit begann in den 90er Jahren, als seine Kollegen und er Banken darüber informierten, dass die PIN-Nummer auf EC-Karten aus dem Code auf dem Magnetstreifen aufgrund fehlender Verschlüsselung ausgelesen werden konnte. Danach startete er bei IBM in eine erfolgreiche Karriere als Manager von globalen IT-Projekten und veränderte die Art und Weise, wie Unternehmen heute Geschäfte machen. 2003 gründete er seine erste eigene Firma und nutzte Beratungsprojekte, um seine Vision eines Sicherheits-Frameworks zu verwirklichen, das auf den sichersten Open-Source-Verschlüsselungsstandards basiert. Privat verbringt er gerne Zeit mit seiner Familie, genießt gutes Essen & Trinken und programmiert gerne zusammen mit Freunden. Er glaubt fest an die Kraft von Open Source. So wurde sein Unternehmen von Microsoft als Partner des Jahres in der Kategorie Open Source ausgezeichnet.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -