Warum Anwendungssicherheit und Zero Trust Hand in Hand gehen

Laut dem „State of IT"-Bericht von Salesforce ist die geschätzte Anzahl der Anwendungen in einem typischen Unternehmen 2023 um 26 Prozent auf 1.061 gestiegen.

Die Nutzer erwarten heutzutage, dass sie sowohl im Berufs- als auch im Privatleben jederzeit auf Anwendungen zugreifen können. Dies kann zwar zu einer positiven User Experience beitragen, aber auch neue Sicherheitslücken in Unternehmen schaffen, wenn die unzähligen Anwendungen nicht ordnungsgemäß konfiguriert und geschützt sind.

Ravit Greitser, Senior Product Marketing Manager bei Akamai, erklärt gegenüber CRN:

„Die zunehmende Vernetzung vergrößert die Angriffsfläche und erhöht das Risiko für Unternehmen. Alles kann ein Angriffsvektor sein: Partner, Lieferanten, Mitarbeiter. Angriffe auf Anwendungen kommen von überall."

„Die Rahmenbedingungen haben sich in den letzten 15 Jahren völlig verändert. Wir haben den Aufstieg des Cloud-Computings erlebt, und das Internet of Things ist Teil unseres Lebens geworden und ist vom vernetzten Auto bis hin zum Gesundheitswesen allgegenwärtig. Immer mehr Beschäftigte arbeiten remote, und auch die generative KI hat die Art und Weise verändert, wie wir arbeiten und wie wir Sicherheit gewährleisten."

Vor diesem Hintergrund muss Sicherheit in alle Phasen des Lebenszyklus der Anwendungsentwicklung integriert werden, um angemessene Sicherheitskontrollen zu gewährleisten und Schwachstellen zu beheben, bevor sie ausgenutzt werden. Eine einzige ungesicherte Anwendung unter Tausenden reicht aus, damit sich Angreifer unbefugten Zugriff verschaffen können.

Die Bedeutung von APIs

Ein wichtiger Baustein der Anwendungssicherheit sind APIs. APIs ermöglichen es Anwendungen, miteinander zu kommunizieren, und sind zu einem Ziel für Angreifer geworden, da sie Zugriff auf sensible Daten gewähren. Unternehmen müssen daher regelmäßig ihre APIs auf Schwachstellen testen.

„API-Sicherheit ist eine Komponente der Anwendungssicherheit", erklärt Greitser. „APIs sind die Zwischenglieder, die es verschiedenen Softwareanwendungen ermöglichen, miteinander zu kommunizieren und Daten auszutauschen. Wenn eine API nicht sicher ist, können Angreifer sie als Einstiegspunkt in das Netzwerk nutzen, um auf die Systeme und Daten des Unternehmens zuzugreifen. Insgesamt setzen Unternehmen immer häufiger auf APIs, um die digitale Transformation voranzutreiben und verschiedene Dienste zu integrieren. Daher wird die API-Sicherheit immer wichtiger. Wenn diese APIs schlecht gesichert sind, kann dies zu Datenlecks, unbefugtem Zugriff und anderen Sicherheitsproblemen führen."

Akamai hat kürzlich den führenden Anbieter für API-Sicherheit Noname übernommen. Angesichts der steigenden Nutzung von APIs hofft das Unternehmen, damit schneller auf die wachsende Kundennachfrage und die Marktanforderungen reagieren zu können.

Never trust, always verify

Greitser plädiert für die Implementierung eines Zero-Trust-Sicherheitsmodells zur Sicherung von Anwendungen und anderen Infrastrukturkomponenten eines Unternehmens.

Zero Trust basiert auf drei Grundprinzipien: Standardmäßig wird keiner Entität vertraut und jede Zugriffsanfrage wird überprüft, es wird nur der minimal notwendige Zugriff gewährt und die Sicherheit wird kontinuierlich überwacht. Dies steht im Gegensatz zur VPN- oder Firewallsicherheit, die auf der Annahme beruht, dass man den Nutzern innerhalb des Unternehmensperimeters vertrauen kann.

„Wir bei Akamai haben vier Gründe ausgemacht, die für Zero Trust sprechen", so Greitser. „Der erste Grund ist die Zunahme von Ransomwareangriffen. Zero Trust ist der beste Ansatz für den Umgang mit Ransomwareangriffen, denn selbst wenn es einem Angreifer gelingt, sich Zugang zu Ihrem Netzwerk zu verschaffen, kann er nicht unerkannt tiefer in das Netzwerk eindringen, da mit Zero Trust das Netzwerk so segmentiert wird, dass ein Angreifer sich nicht über den jeweiligen Einstiegspunkt hinaus bewegen kann. Der zweite Grund ist die Entwicklung hin zu einer räumlich verteilten Belegschaft. Durch die Verbreitung von mobiler Arbeit sind wir gezwungen, neue Wege für den Zugang und die Sicherung der remote arbeitenden Mitarbeiter zu finden. Hinzu kommt die Umstellung auf das Cloud-Computing, die ebenfalls neue Wege der Absicherung erfordert."

Mit dem Zero-Trust-Modell können Unternehmen sicherstellen, dass Anwendungen und ihre Daten geschützt bleiben, indem sie den Anwendungszugriff nach dem Prinzip „Never trust, always verify" absichern.

Da viele IT-Teams jedoch bereits überlastet sind oder nicht über die entsprechenden Ressourcen oder Fachkenntnisse verfügen, mag die Umsetzung von Zero Trust für einige unerreichbar erscheinen.

„Ich habe ein paar Tipps, die den Übergang zu Zero Trust erleichtern können", sagt Greitser. „Das Wichtigste für uns ist zunächst, dass Sie in Phasen vorgehen. Sie sollten nicht darauf drängen, sofort das gesamte Netzwerk auf Zero Trust umzustellen. Das ist gar nicht notwendig. Sie sollten es schrittweise angehen. Beginnen Sie mit den kritischsten Anwendungen, also den wichtigsten Unternehmensassets, und weiten Sie die Maßnahmen nach und nach auf das restliche Netzwerk aus. Wir bei Akamai sagen: Konzentrieren Sie sich auf schnelle Erfolge, also Dinge, die nicht viel Zeit in Anspruch nehmen und bei denen Sie nicht die gesamte Belegschaft umstrukturieren müssen. Setzen Sie bei diesen schnellen Erfolgen an und machen Sie von dort aus weiter."

„Als Nächstes müssen Sie Ihre Zero-Trust-Investitionen auf Ihre dringendsten Geschäftsanforderungen abstimmen. Auch hier gehen Sie am besten schrittweise vor. Wenn Sie erst die Anforderungen ermitteln, müssen Sie in der Regel nicht alles, was Sie haben, komplett austauschen. Unser Ansatz besteht darin, dass wir uns in Ihr Sicherheitssystem integrieren wollen. Es gibt keinen Grund, komplett bei Null zu beginnen."