Studie: DevOps-Teams gehen häufig leichtfertig mit Zugangsdaten um
In vielen Unternehmen mangelt es den DevOps-Abteilungen an Regeln für den sicheren Umgang mit privilegierten Accounts und Zugangsdaten – vielfach fehlt eine übergreifende Sicherheitsstrategie, wie CyberArks „Advanced Threat Landscape“-Report zeigt.
- Matthias Parbel
DevOps-Modelle sollen Unternehmen bei der Beschleunigung von IT-Prozessen helfen, die Sicherheit bleibt dabei offenbar häufig auf der Strecke, wie die Ergebnisse des CyberArk Advanced Threat Landscape 2018 Report deutlich machen. Demnach fehlt in einem Großteil deutscher Unternehmen (77 Prozent) eine klare Strategie für die Privileged Account Security in DevOps-Abteilungen.
Vertrauliche Zugangsdaten und privilegierte Accounts stellen nicht nur in Händen externer Angreifer, sondern auch beim Missbrauch durch interne Mitarbeiter eine Gefahr für die IT-Infrastruktur des Unternehmens dar. Vor diesem Hintergrund erscheint es beunruhigend, wenn das Vorhandensein und der Umgang mit vertraulichen Zugangsdaten und privilegierten Accounts in DevOps-Teams unterschätzt wird. Der Umfrage zufolge sehen die Betroffenen nämlich nur die Bereiche Container (31 Prozent), CI/CD-Tools (27 Prozent) und Cloud-Umgebungen (25 Prozent) als diesbezüglich sicherheitsrelevant an. In der Praxis dürften jedoch in nahezu allen DevOps-Bereichen sensible Zugangsdaten verwendet werden.
Security-Stack für DevOps
Über die Hälfte der befragten Unternehmen (54 Prozent) nutzt in DevOps-Projekten außerdem Cloud-Orchestrierungs- und Automationstools für die internen Entwicklungsaufgaben. Beim Thema Sicherheit verlässt sich die Mehrheit (72 Prozent) dabei allerdings vollständig auf die Maßnahmen des externen Dienstleisters. Aber auch intern hapert es häufig an der wünschenswerten Zusammenarbeit zwischen den DevOps-Teams und den Security-Verantwortlichen. Gerade auch bei der Arbeit mit Tools wie Jenkins, Puppet oder Chef, für die es keine gemeinsamen Standards gibt, müssten angemessene Sicherheitsmaßnahmen entwickelt werden – sinnvollerweise in enger Kooperation zwischen Security-Abteilung und den DevOps-Teams. Das Ziel sollte ein eigener Security-Stack für DevOps sein.
Im Rahmen der global angelegten Umfrage „Advanced Threat Landscape“ hat CyberArk 2017 zum mittlerweile elften Mal mehr als 1.000 IT-Security-Entscheider, DevOps-Verantwortliche und Applikationsentwicklung sowie Geschäftsbereichsleiter befragt – darunter 200 aus Deutschland. Die Studie wird im Auftrag von CyberArk vom Marktforscher Vanson Bourne durchgeführt. Teil 1 der Reportausgabe 2018 steht auf Anfrage zum Download parat. (map)
