Bleibt in der agilen IT-Welt keine Zeit mehr für Cybersecurity?

KI: alltäglich. Virtualisierung und Digitalisierung von Arbeitsplätzen: Standard. Cloud-Technologien: nicht mehr wegzudenken. Vor Kurzem schien all dies noch Science-Fiction zu sein, heute ist es selbstverständlich. 
Im Schlepptau dieser rasanten Entwicklung haben sich die Anforderungen an IT-Teams extrem verändert. Vor allem die Bereitstellung von Anwendungen muss immer schneller geschehen und die Release-Zyklen werden immer kürzer – wo bleibt da Zeit für Cybersecurity? 

Das Spannungsfeld

Die rasanten Fortschritte der IT basieren auch auf agilen Methoden. Basierend auf der Erkenntnis, dass in vielen Projekten Abweichungen vom Plan eher die Regel als die Ausnahme sind, helfen diese, die zunehmende Geschwindigkeit zu erzielen, mit der Projekte abgewickelt werden müssen. In welchem Gegensatz stehen dazu die Anforderungen, welche die IT-Security mit sich bringt! Diese muss, um zu funktionieren, an bestimmten Arbeitsschritten, etwa zur Erfüllung definierter Sicherheitsrichtlinien, festhalten. 

Der Konflikt am Beispiel Penetration-Tests
Manuelle Penetration-Tests sind ein wirksames Mittel, um unter anderem Schwachstellen in Webanwendungen aufzuzeigen – im Optimalfall, bevor sie zu einer Bedrohung werden. Sie helfen dabei, mögliche Angriffspunkte besser zu verstehen und Gegenmassnahmen einzuleiten. Doch es gibt ein Problem: Die Bereitstellung herkömmlicher Penetration-Tests nimmt von der Planung bis zu den finalen Ergebnissen oftmals Wochen in Anspruch und die Erkenntnisse sind, durch schnelle Entwicklungszyklen, nur zeitlich begrenzt gültig. Wenn diese ressourcen-intensiven Tests nicht kontinuierlich durchgeführt werden können, sind Anwendungen daher länger als nötig ungeschützt. Dazu kommt, dass es im Durchschnitt nur sieben Tage dauert, bis ein Angreifer eine neue Schwachstelle als Angriffsvektor nutzt! Diese Flut an Schwachstellen kann unmöglich mit bestehenden Prozessen und Methoden gestemmt werden. 
Die geforderte Agilität kann so schlimmstenfalls dafür sorgen, dass die Cybersecurity im Unternehmen immer eine Aufholjagd betreibt oder gar auf der Strecke bleibt.

Wie gelingt der Spagat? 

Unternehmen stellt sich die Frage, wie sie es schaffen können, die Anforderungen beider Welten zusammenzubringen. Eine Möglichkeit ist es, statt auf herkömmliche Penetration-Tests auf Pentesting-as-a-Service (PTaaS) zurückzugreifen. Dieses verbindet die Vorteile von zertifizierten Sicherheitsexperten mit denen von automatischen Vulnerability-Scans, denn nach einer initialen gründlichen, manuellen Überprüfung des Systems oder der Anwendung über einen festgelegten Zeitraum hinweg, erhalten Unternehmen nicht nur einen kontinuierlichen Einblick in die gefundenen Schwachstellen, sondern auch ein konstantes Retesting, wenn sich etwas an der Anwendung ändert. Ein Peer Review des automatischen Vulnerability-Scans durch einen CREST-zertifizierten Sicherheitsexperten stellt sicher, dass es kaum falsche Positivmeldungen gibt.
Schon während der Erstüberprüfung der Anwendungen stellt ein Portal alle notwendigen Informationen zur Verfügung, um gefundene Schwachstellen in Echtzeit zu analysieren und den Erfolg von Korrekturmassnahmen zu verifizieren. Auch bietet PTaaS im Gegensatz zu klassischen Penetration-Tests die Möglichkeit, während des Tests mit den Pentestern in Dialog zu treten, um Rückfragen abzustimmen oder Findings nachzuvollziehen. So werden die agilen IT-Security- und Entwicklungsteams bei der effektiven Fehlerbehebung unterstützt.

Schnelligkeit und Sicherheit – beides ist möglich

Die Entwicklung wird sich nicht umkehren, die IT-Welt ist schnelllebig. Vielleicht wird sich dies sogar noch steigern. Gleiches gilt für Cyberbedrohungen. Um einen möglichst hohen Schutz gegen kriminelle Attacken zu gewährleistet, ist es daher nötig, bewährte, aber aufwandsintensive Methoden, wie klassische Penetration-Tests, durch die neue Iteration als PTaaS, flexibler und agiler zu gestalten.