Warum jede Bundesbehörde eine Strategie für Unternehmensanwendungen braucht und wie man eine solche entwickelt

Die IT-Führungskräfte in den US-Bundesbehörden müssen einen schmalen Grat beschreiten, um Mehrwert zu schaffen, gleichzeitig aber auch Abfall zu reduzieren und Verluste durch Cyberangriffe zu minimieren. Einerseits müssen sich IT-Leiter die neuste Technologie zunutze machen, um die Effizienz zu steigern, Mehrwert zu schaffen und Steuergelder zu sparen. Auf der anderen Seite sind sie mit einer sich entwickelnden und wachsenden Bedrohungslandschaft konfrontiert, deren Eindämmung erhebliche Ressourcen erfordert. Kurz gesagt: Mit jeder Initiative und jeder Entscheidung müssen sie sowohl Innovationen hervorbringen als auch Schutz bieten. Um diese scheinbar gegensätzlichen Ziele unter einen Hut zu bringen, sollten die IT-Leiter der Bundesregierung eine auf die Mission ihrer Organisation zugeschnittene Anwendungsstrategie entwickeln.

65 % der im F5 2019 State of Application Services -Bericht befragten Teilnehmer gaben an, dass sich ihre Organisationen mitten in einer digitalen Transformation befinden. Die digitale Transformation ist für Unternehmen eine neue Möglichkeit, mithilfe von Technologie wesentliche Verbesserungen bei Leistung und Benutzerproduktivität zu erzielen.

Kurz gesagt: Anwendungen werden zum Geschäft oder zur Mission selbst.

Um von diesem radikalen Wandel zu profitieren, nehmen Unternehmen umfassende Änderungen vor und entwickeln neue Geschäfts- und IT-Betriebsmodelle. Dazu zählen beispielsweise:

• Nutzung von SaaS-Diensten wie Cloud-basierten E-Mail- und Produktivitätstools
• Containerisierung benutzerdefinierter Anwendungen zur Vereinfachung der Verwaltung und Senkung der Kosten
• Verwenden Sie Cloud-Sicherheitsdienste, um Angriffe schnell zu erkennen und Richtlinien je nach Organisationsregeln anzuwenden.

Anwendungen werden an eine Reihe unterschiedlicher Gerätetypen geliefert. Benutzer, die auf Anwendungen zugreifen, befinden sich nicht in herkömmlichen Unternehmensumgebungen – sie sind mobil oder arbeiten von zu Hause aus. Die Bereitstellung geschäftskritischer Funktionen wie CRM, ERP und allem dazwischen muss den Zugriff außerhalb des herkömmlichen Unternehmensnetzwerks ermöglichen.

Der F5 Labs Application Protection Report 2018 ergab, dass eine durchschnittliche Organisation im öffentlichen Sektor 680 Anwendungen nutzt, von denen 32 % als unternehmenskritisch gelten.

Zusätzlich zu diesem enormen Wachstum an Anwendungen implementieren Unternehmen diese Anwendungen in neuen Architekturen und Diensten. Aus der Studie „State of Application Services“ von 2019 geht hervor, dass 14 % der befragten Organisationen Container zum Standardansatz für die Isolierung von Anwendungs-Workloads gemacht haben und 87 % der Befragten eine Multi-Cloud-Architektur einführen. Das Office of Management and Budget (OMB) selbst befürwortet eine „Cloud Smart Strategy“¹ um zu einem sicheren Cloud-Netzwerk zu migrieren.

Nicht nur staatliche und kommerzielle Organisationen nutzen Technologien, um Reibungsverluste zu reduzieren, neue Dienste bereitzustellen und den Wert zu steigern. Auch Cyberkriminelle, militante Gruppen und staatliche Bedrohungsakteure entwickeln ihre Cyberangriffsmöglichkeiten in halsbrecherischer Geschwindigkeit weiter. Da wir unsere Netzwerke und Infrastrukturen immer besser schützen können, richten Cyberangreifer ihr Augenmerk nun auf leichtere Ziele.

Die leichten Ziele werden zum Infiltrieren hochwertiger Einrichtungen verwendet, in denen möglicherweise Personal oder vertrauliche Informationen gespeichert sind. Untersuchungen von F5 Labs zeigen, dass 86 % aller Cyberangreifer entweder Anwendungen direkt angreifen oder Benutzeridentitäten stehlen, in der Regel durch Phishing.²

Angreifer lernen, dass es manchmal einfacher ist, indirekt anzugreifen. Eine Möglichkeit besteht darin, sich auf weniger wichtige Anwendungen wie IoT-Geräte zu konzentrieren und deren Zugriff zu verbessern. Dies war der Fall, als Kriminelle sich über ein Thermometer in einem Aquarium in der Lobby eines US-Casinos hackten und es als Zugang zur Datenbank der High Roller nutzten.³ Ähnlich verhält es sich mit dem verheerenden Target-Datendiebstahl im Jahr 2013, der mit einem Angriff des HVAC-Lieferanten von Target begann und mit einem Einbruch in das Kassensystem und dem Verlust von 40 Millionen Kreditkarten endete.⁴

Unbeaufsichtigte Open Source- und andere Komponenten und Dienste von Drittanbietern können ebenfalls Risiken bergen. Der Sonatype State of the Software Supply Chain 2018 stellt fest, dass jeder achte Download einer Open-Source-Komponente eine bekannte Sicherheitslücke enthält.⁵ Organisationen, auch im öffentlichen Sektor, nutzen die Vorteile von Open Source, weil es die Entwicklung und Bereitstellung beschleunigt. Allerdings berücksichtigen dieselben Organisationen bei ihren Sicherheitsscans und Prüfprozessen häufig nicht die Open Source-Komponenten. Diese Komponenten werden Teil des Anwendungsportfolios und sollten mit der gleichen Sorgfalt behandelt werden wie benutzerdefinierter Code. Dies umfasst Komponenten sowohl auf der Serverseite (z. B. NPM-Pakete, Bibliotheken) als auch auf der Clientseite.

Da Anwendungen bei der Verwirklichung der Unternehmensziele eine immer wichtigere Rolle spielen, übersteigt das Wachstum dieser Apps die Fähigkeit der meisten Unternehmen, ihre Betriebsabläufe zu skalieren. Das traditionelle Modell der Perimeterschutzsicherheit ist nicht skalierbar und weist bei der Abwehr von Bedrohungen nur eine begrenzte Wirksamkeit auf. Sobald ein leichtes Ziel kompromittiert wurde, sind wertvolle Vermögenswerte gefährdet. Neue Architekturen und Bereitstellungsmodelle stellen herkömmliche Sicherheitsmaßnahmen vor weitere Herausforderungen. Apps werden an verteilten Standorten bereitgestellt und nutzen Multi-Cloud-Anwendungsdienste zur Leistungsverbesserung. Gleichzeitig vergrößert sich die mit Anwendungen verbundene Bedrohungsfläche exponentiell.

Eine kontinuierliche Überwachung in der Nähe von Anwendungen und Soft Targets ist wichtig, um Sicherheit zu gewährleisten und gleichzeitig die Leistung aufrechtzuerhalten. Durch die Integration intelligenter Cloud-Sicherheit können Sie in die Anwendung einbinden, um Bedrohungen schnell abzuwehren und vertrauliche Daten zu schützen. Kleine Datentypen können an die Cloud gesendet werden, um potenzielle Bedrohungen zu identifizieren, indem die Daten mit Millionen gespeicherter Artefakte in der Cloud verglichen werden. Dadurch kann ermittelt werden, ob es sich bei einem Client um einen Bot oder einen tatsächlichen Benutzer handelt.

Ein Dienst zur Betrugsreduzierung kann mit einer Anwendung zusammenarbeiten, um mit böswilligen Akteuren zu interagieren, mehr Datentypen zu erfassen und Betrug im großen Stil zu verhindern. Das vollständige Betrugsprofil kann an das kontinuierliche Überwachungssystem der Organisation übermittelt werden, um Maßnahmen zu ergreifen, die Ausbreitung des Angriffs zu verhindern, den Standort kompromittierter Systeme zu bestimmen und Schritte zum Entfernen der Bedrohung von infizierten Maschinen einzuleiten. Analysten können die Informationen zur weiteren Analyse an die Betriebsabteilung weitergeben.

Als ob die Dinge nicht schon komplex genug wären, steigen Bundesbehörden auf Multi-Cloud- und SaaS-Bereitstellungen um, um mehr Flexibilität zu erreichen, eine höhere Verfügbarkeit zu erzielen, die Abhängigkeit von einem Anbieter zu verringern und – in einigen Fällen – von niedrigeren Kosten zu profitieren. Das Dilemma besteht darin, ein standardisiertes, sicheres und nahtloses Anwendungserlebnis über Hybrid-, Multi-Cloud- und SaaS-Architekturen hinweg bereitzustellen, ohne ihr Budget zu überschreiten.

Agenturen können ihre Perimeterlösung an vertrauenswürdigen Internetverbindungspunkten nutzen, um die Konnektivität zu SaaS- und Multi-Cloud-Umgebungen zu sichern. Dies kann zu Leistungsproblemen führen, da die Agenturen nur über begrenzte Verbindungspunkte verfügen. Aus Sicherheitsgründen müssen öffentliche Anwendungen diese Punkte passieren, was zu Latenzen führt. Die Vorteile skalierbarer Hochleistungsanwendungen gehen verloren, da der Datenverkehr aus Sicherheitsgründen „posaunen“ muss.

Auch Perimeterlösungen basieren auf statischen Signaturen. Wenn eine neue Bedrohung entsteht und bei einem Sicherheits-Cloud-Anbieter ein Profil erstellt wurde, werden die Informationen nicht an das Perimetersystem weitergeleitet, um den Angriff zu verhindern. Signaturaktualisierungen können innerhalb eines Tages oder einer Woche erfolgen. Hochwertige Vermögenswerte können gefährdet sein, wenn die Signatur schließlich innerhalb des Perimetersicherheitssystems entwickelt und aktualisiert wird.

Durch die Standardisierung von Multi-Cloud- und SaaS-Anwendungsdiensten – den Lösungen zum Sichern, Verwalten und Optimieren Ihrer Anwendungen – wird die betriebliche Komplexität reduziert, die eine Multi-Cloud-Architektur mit sich bringt.

So ist es beispielsweise einfacher zu verwalten – und leistungsfähiger – einen Dienst zu haben, der auf der Ebene einer Unternehmensanwendung funktioniert (wie etwa den codebasierten Aufruf von APIs und ereignisgesteuerten Systemen), als einen Dienst, der plattformspezifisch ist (wie etwa die Notwendigkeit, einen anbieterspezifischen Nachrichtenwarteschlangendienst zu verwenden). Durch die Aktivierung eines Funktionssatzes für alle Anwendungen wird der Betriebsaufwand verringert. Durch die Einführung einer Standardplattform für möglichst viele Anwendungsdienste können Unternehmen die Automatisierung verbessern und mehr Code wiederverwenden, um konsistente, vorhersehbare und wiederholbare Betriebsabläufe zu realisieren.

In einer Zeit, in der viele „Born-in-the-Cloud“-Unternehmen nicht einmal über eine IT-Abteilung verfügen, bleiben traditionelle IT-Architekturen und Betriebsabläufe deutlich hinter den Erwartungen der Anwendungsentwickler und DevOps-Teams zurück. Der Wunsch, Anwendungen schneller auf den Markt zu bringen, führt häufig dazu, dass traditionelle Netzwerk- und Sicherheitsteams sowie die zugehörigen Sicherheits- und Betriebsabläufe umgangen werden. Tatsächlich hat der Schutz des Anwendungsportfolios eines Unternehmens ebenso viel mit Menschen und Prozessen zu tun wie mit Technologie.

Um die Leistung und – noch wichtiger – die Risiken dieser Multi-Cloud-Ausbreitung zu verwalten, suchen Unternehmen verzweifelt nach Lösungen. Unabhängig vom Standort der Anwendungen müssen die Lösungen die Bereitstellung einheitlicher Richtlinien unterstützen, Bedrohungen verwalten, Transparenz bieten und die Überwachung der Integrität und Leistung der Apps ermöglichen. Eine schlecht passende Lösung kann leicht die Vorteile einer digitalen Transformation zunichte machen, wenn die Innovation und Agilität der Anwendungsentwicklungs- und DevOps-Teams behindert wird.

Angesichts des zunehmenden Werts und Risikoprofils von Anwendungen muss jede Bundesbehörde eine Unternehmensanwendungsstrategie entwickeln, die sich damit befasst, wie Anwendungen im Unternehmensportfolio erstellt/beschafft, bereitgestellt, verwaltet und gesichert werden.

Zusammenfassung: Nutzen Sie diese Gelegenheit, um eine Unternehmensanwendungsstrategie zu entwickeln, die mit der Mission und den Zielen Ihrer Bundesbehörde übereinstimmt.

Der Sinn der digitalen Transformation besteht darin, schwerfällige und manuelle Prozesse durch effiziente, datenreiche Anwendungen zu ersetzen. Das übergeordnete Ziel einer Unternehmensanwendungsstrategie sollte daher darin bestehen, die digitalen Fähigkeiten des Unternehmens im Hinblick auf die Erfüllung seiner Mission direkt zu verbessern, zu beschleunigen und zu schützen. Alle Anwendungen oder zugehörigen Anwendungsdienste, die nicht mit diesem Ziel vereinbar sind, sollten herabgestuft werden. Anwendungen mit hoher Priorität sollten zusätzliche Ressourcen und Sicherheit erhalten, während Assets mit niedrigerer Priorität gemeinsame Ressourcen verwenden können.

Zu dieser Ausrichtung gehört auch, den Status quo zu berücksichtigen. Dazu gehört eine sorgfältige Prüfung der aktuellen Datenstrategie des Unternehmens, der Compliance-Anforderungen und des allgemeinen Risikoprofils der Organisation.

In vielen Fällen sind die durch diese unterschiedlichen Quellen auferlegten Einschränkungen und ihre Auswirkungen auf die Agilität der App-Entwicklungsteams wahrscheinlich nicht gut verstanden. Ihre Unternehmensanwendungsstrategie sollte die Balance verdeutlichen, die Ihre Agentur zwischen den oft konkurrierenden Kräften von Innovation, Agilität und Risiko zu finden bereit ist.

Zusammenfassung: Bevor Sie mit der Modernisierung beginnen, müssen Sie ein vollständiges Anwendungsinventar erstellen.

Wenn es um eine Strategie für Unternehmensanwendungen geht, haben die meisten Teams nicht die Möglichkeit, ganz von vorne anzufangen. Fast jeder in der IT-Branche erbt eine Technologiearchitektur, die das Ergebnis von Jahrzehnten unterschiedlicher Systeme ist, die auf Altsystemen aufgebaut sind, deren Funktionsfähigkeit aufrecht erhalten werden musste. Im Vergleich zum privaten Sektor kann dieses Problem innerhalb der US-Bundesregierung besonders schwerwiegend sein. Es ist selten einfach, diese inkongruenten Technologieteile sauber in einen gewünschten Zielzustand zu migrieren. Daher müssen weitere Entdeckungen und Analysen durchgeführt werden.

Auch wenn es übermäßig einfach klingt: Um etwas angemessen schützen zu können, müssen Sie zunächst von seiner Existenz wissen und dann in der Lage sein, seinen Zustand genau zu überwachen. Und dennoch sind die meisten Unternehmen, mit wenigen Ausnahmen, nicht in der Lage, die Anzahl der Anwendungen in ihrem Portfolio mit Sicherheit anzugeben, ganz zu schweigen davon, ob diese Anwendungen einwandfrei und sicher sind. Der Application Protection Report 2018 von F5 Labs ergab, dass 62 % der IT-Sicherheitsverantwortlichen nicht oder kaum über alle Anwendungen in ihrem Unternehmen Bescheid wissen.

Eine Anwendungsinventur ist das grundlegendste Element jeder Anwendungsstrategie. Dabei handelt es sich um einen Katalog aller Anwendungen, ob intern, lateral (z. B. an andere Regierungsstellen) oder extern (z. B. an die Öffentlichkeit) bereitgestellt, der Folgendes umfasst:

• Eine Beschreibung der Funktion, die die Anwendung oder der digitale Dienst erfüllt
• Der Ursprung der Anwendung (z. B. individuell entwickelte, verpackte Software oder Dienst eines Drittanbieters)
• Die wichtigsten Datenelemente, auf die die Anwendung Zugriff benötigt oder die sie bearbeitet
• Andere Dienste, mit denen die Anwendung kommuniziert
• Open Source und andere Komponenten von Drittanbietern, die Teil der Anwendung sind
• Die für die Anwendung verantwortliche(n) Person(en) oder Gruppe(n)

Der erstmalige Aufbau eines Anwendungsinventars ist häufig eine mühsame und zeitaufwändige Arbeit. Eine Methode zum einfachen Aufspüren betrügerischer Anwendungen besteht darin, das Anwendungsinventar zu einer Whitelist zu machen. Anwendungen, die nicht auf dieser Whitelist stehen, erhalten schlicht keinen Zugriff auf Unternehmensressourcen (z. B. das Netzwerk). Um Anwendungen außerhalb Ihrer Organisation aufzuspüren, kann ein Tool wie ein Cloud Access Security Broker (CASB) sehr hilfreich sein. CASBs sitzen zwischen Ihren Benutzern und dem Internet und überwachen und melden sämtliche Anwendungsaktivitäten. Sie können Ihnen nicht nur sagen, welche Anwendungen Ihre Mitarbeiter am häufigsten verwenden (und wie sie darauf zugreifen), sondern geben Ihnen auch Einblick in die Nutzung von Schatten-IT-Anwendungen.

Indem Sie ein DevOps-Architekturmodell einsetzen und Ihre Anwendungen darin integrieren, können Sie den Inventarisierungsprozess künftig vereinfachen. Wenn die Priorität einer Anwendung bestimmt und sie in Ihrer Multi-Cloud- oder SaaS-Umgebung platziert ist, können Entwickler die Bereitstellung mit Open-Source-Tools (z. B. Ansible, GitHub) verpacken. Die Bereitstellung wird dann von diesen Tools verwaltet, die Sicherheitsdienste, Patchverwaltung und Code umfassen. Bestandsinformationen werden zentralisiert und können schnell bereitgestellt werden. Daher kann die Anwendung in einer Cloud- oder SaaS-Umgebung vorhanden sein und dennoch von der Organisation identifiziert werden.

Jeder Moment, den Sie damit verbringen, die Genauigkeit Ihres Anwendungsinventars sicherzustellen, wirkt sich direkt positiv auf Ihre Fähigkeit aus, die FedRAMP-Systemgrenzen schnell zu definieren. Darüber hinaus können Sie auf Anfrage der Zertifizierungsstelle den Verantwortlichen für die Infrastruktur einer Anwendung – oder sogar für eine einzelne Komponente einer Anwendung – viel genauer und schneller ermitteln.

Und schließlich erfordern Ihre FedRAMP-Bemühungen, dass dies eine kontinuierliche Übung ist, möglicherweise mehr als einmal im Jahr. Es handelt sich dabei um einen kontinuierlichen Prozess, bei dem Sie im Auge behalten, welche Anwendungen und Datenspeicher im Einsatz sind, überwachen, was die Benutzer tun müssen, und auswerten, wie sich Ihre Entwicklungsumgebungen weiterentwickeln.

Zusammenfassung: Sehen Sie sich das individuelle Risikoniveau jeder Anwendung an und berücksichtigen Sie es bei der Festlegung der Sicherheitsmaßnahmen unter Berücksichtigung aller geltenden Compliance-Überlegungen.

Cyberrisiken bereiten den IT-Leitern der US-Regierung zunehmend Sorge. Um dem entgegenzuwirken, sollten Sie zunächst das Cyberrisiko für jede Ihrer Anwendungen bewerten.

Jede Anwendung in Ihrem Bestand sollte auf vier primäre Arten von Cyberrisiken untersucht werden:

1. Weitergabe sensibler interner Informationen (z. B. Militärgeheimnisse)
2. Weitergabe vertraulicher Kunden-/Benutzerinformationen (z. B. Personalakten, Steuerhistorie)
3. Manipulation von Daten oder Anwendungen
4. Denial-of-Service für Daten oder Anwendungen

Bei Cyberrisiken sollte die Bedeutung eines digitalen Dienstes unter Berücksichtigung der finanziellen Auswirkungen oder der Schädigung des Rufs dieses Dienstes durch den Cyberangriff gemäß den oben genannten Kategorien gemessen werden. Da verschiedene Organisationen bestimmte Dienste unterschiedlich stark einschätzen, sollte jede Organisation basierend auf ihrem definierten Auftrag ihre eigenen Schätzungen vornehmen. Beim FISMA werden Sie beispielsweise aufgefordert, das Risiko auf Agenturebene für die Mission oder den Geschäftsfall zu ermitteln. Oft ist es jedoch sinnvoll, auch die Risiken auf Anwendungsebene zu untersuchen, um sich auf die unvermeidliche Verschärfung der Compliance-Standards Ihres Unternehmens vorzubereiten.

Manchmal werden in die Berechnung des organisatorischen Risikos auch die Risiken einbezogen, die sich aus der Nichteinhaltung geltender Regeln, Richtlinien und Verträge ergeben. Bundesbehörden unterliegen einer Vielzahl von Vorschriften und Standards, und all diese sollten bei der Bewertung von Anwendungen und digitalen Diensten berücksichtigt werden. Die Einrichtung eines anwendungsbezogenen Modells zur Bewertung von Cyberrisiken erleichtert die Erfüllung der CDM/ConMon-Anforderungen zur Einhaltung von FedRAMP, da Sie die Grenzen auf überschaubare und angemessen detaillierte Servicegruppen eingrenzen können.

Durch die Nutzung von SaaS-Diensten können Compliance-Bedenken im Unternehmen verringert werden. Die Verantwortung für Anwendungsrisiken und Compliance-Bedenken liegt beim SaaS-Anbieter. Dies hilft einem Unternehmen, sich auf benutzerdefinierte Anwendungen zu konzentrieren.

Erwägen Sie die Integration von Cloud-Sicherheitsdiensten in die Anwendung, um Benutzerkonten, Finanzdaten und persönliche Informationen zu schützen. Cloud-Sicherheitsdienste verfügen über Millionen von Datenpunkten, die von der Anwendung verwendet werden können, um zu bestimmen, ob ein Client böswillige Absichten verfolgt oder ein tatsächlicher Benutzer ist. Da die Datenpunkte kontinuierlich aktualisiert werden, können neue Bedrohungen erkannt werden. Regeln können in Echtzeit auf die Anwendung angewendet werden und mit einer vorhandenen Sicherheitsstrategie des Unternehmens zusammenarbeiten.

Zusammenfassung: Machen Sie eine Bestandsaufnahme darüber, welche Anwendungsdienste – die Lösungen, die Ihre Anwendungen im Hintergrund ausführen – für Ihr Unternehmen notwendig sind.

Anwendungen stehen selten für sich allein. Daher sollten neben dem Anwendungsinventar auch die Anwendungsdienste, die Ihre Apps ausführen, verwaltet und verfolgt werden. Anwendungsdienste sind Paketlösungen für Anwendungsentwickler, die die Geschwindigkeit, Mobilität, Sicherheit und Funktionsfähigkeit einer Anwendung verbessern. App-Dienste bieten mehrere wichtige Vorteile für die Anwendungsarbeitslast:

• Geschwindigkeit: Die Leistung einer Anwendungsworkload und die Fähigkeit zur schnellen Bereitstellung.
• Mobilität: Die einfache Verschiebung einer Anwendungsworkload von einem physischen oder logischen Hosting-Standort zu einem anderen.
• Sicherheit: Der Schutz der Anwendungsworkload und der damit verbundenen Daten.
• Bedienbarkeit: Die Gewissheit, dass eine Anwendungsworkload einfach bereitzustellen, einfach am Laufen zu halten und bei Fehlern einfach zu beheben ist.

Eine gute Möglichkeit, abhängige Anwendungsdienste zu finden, ist die Untersuchung des Abschnitts „Kontrollen“ des FISMA- oder FedRAMP-Systemsicherheitsplans für Ihre Umgebung. Dies weist häufig auf das Vorhandensein sowohl sicherheitsorientierter Anwendungsdienste als auch anderer Dienste hin, die von ihnen abhängig sind. 

Obwohl jede Anwendung von Anwendungsdiensten profitieren kann, erfordert nicht jede Anwendung dieselben Anwendungsdienste.

Zu den üblichen Anwendungsdiensten gehören:

• Lastenausgleich
• DNS-Zustellung
• Globaler Server-Lastausgleich
• Web-Anwendungs-Firewalls
• DDoS-Prävention/-Schutz
• Anwendungsüberwachung und -analyse
• Identitäts- und Zugriffsverwaltung
• Anwendungsauthentifizierung
• API-Gateways
• Container-Ein- und -Ausgangskontrolle
• SSL-Verschlüsselung

Alle Anwendungsdienste sind mit gewissen Kosten verbunden, sowohl direkt (in Bezug auf den Dienst selbst) als auch indirekt (in Bezug auf die betriebliche Aufrechterhaltung). Anwendungen mit niedriger Priorität können gemeinsame Funktionen nutzen, um die Kosten zu senken. Gemeinsam genutzte Funktionen sorgen für Sicherheit und erhalten die Leistung. Hochwertige Vermögenswerte erfordern mehr Ressourcen, da sie für die Produktivität des Unternehmens sehr wichtig sind.

Es ist erwähnenswert, dass viele App-Dienste speziell für die Unterstützung enger Anwendungskategorien entwickelt wurden. Beispielsweise benötigen nur Anwendungen, die für die Bereitstellung von IoT-Apps konzipiert sind, ein IoT-Gateway. Für Anwendungen, die in einer herkömmlichen Architektur bereitgestellt werden, sind keine App-Dienste für containerisierte Umgebungen erforderlich. Daher sind Ingress-Control- und Service-Mesh-Anwendungsdienste möglicherweise nicht anwendbar.

In manchen Fällen müssen möglicherweise neue Anwendungsdienste erworben werden, um die Einhaltung von Vorschriften sicherzustellen oder Risiken zu verringern. Auch wenn die Compliance-Standards technisch erfüllt werden, sollten Sie stets der Versuchung widerstehen, nur die Mindestgrundkontrollen auszuwählen und stattdessen auf Anwendungsdienste bestehen, die Ihre Fähigkeit zum Umgang mit Cyberrisiken verbessern.

Zusammenfassung: Gruppieren Sie Anwendungen logisch nach Typ, Priorität und Anforderungen.

Sobald die Anwendungsinventur abgeschlossen ist, besteht der nächste Schritt darin, Ihre Anwendungen in logische Kategorien zu gruppieren. Dabei gilt es, die Merkmale zu berücksichtigen, die unterschiedliche Verwaltungs- und Anwendungsdienstansätze erfordern (z. B. Zugriff auf vertrauliche Daten, stärkere Gefährdung).

Nach der Kategorisierung sollte die Unternehmensanwendungsrichtlinie die Leistungs-, Sicherheits- und Konformitätsprofile festlegen, die auf verschiedene Anwendungstypen angewendet werden sollen, basierend auf der Kritikalität und Unternehmensklassifizierung der Anwendung selbst.

Wir empfehlen, mit vier Basisstufen zu beginnen.

Da die Bedrohungen, denen Anwendungen ausgesetzt sind, je nach der Umgebung, in der sie gehostet werden, unterschiedlich sind, kann diese Kategorisierung noch weiter ausgeweitet werden, um eine Differenzierung je nach Bereitstellungsumgebung (z. B. vor Ort, öffentliche Cloud) vorzunehmen.

Wenn Sie Ihre Ziele auf diese Weise priorisieren, können Sie die von Ihnen bereitgestellten Anwendungen auch problemlos vorab in die richtigen FISMA/FedRAMP-Ebenen einteilen. Wenn Sie hier ein wenig Zeit darauf verwenden, eine Struktur für Ihre Missionsziele zu entwickeln, müssen Sie später wesentlich weniger Zeit mit einem Prüfer verbringen.

Keine Organisation verfügt über genügend Ressourcen, um alle gewünschten Aufgaben in einem akzeptablen Zeitrahmen zu erledigen. Durch die Priorisierung Ihrer Anwendungen können Sie anhand einer Triage-Methode feststellen, welche Apps durch Anwendungsdienste unterstützt werden müssen, welche Apps modernisiert oder ersetzt werden sollten und welche Apps den Aufwand nicht wert sind. Stellen Sie bei Apps der letzteren Kategorie sicher, dass sie in Ihrem Netzwerk segmentiert sind, und vermeiden Sie das Szenario, in dem ein harmloser IoT-Thermostat zu einem vollständigen Netzwerkverstoß führt. Zu diesem Prozess gehört auch die Prüfung neuer Anwendungen, die neue Wertströme erschließen könnten und daher entweder intern entwickelt oder von Drittanbietern bezogen werden sollten.

Zusammenfassung: Entwickeln Sie Bereitstellungs- und Verbrauchsparameter.

Bereitstellung und Betriebsmanagement waren schon immer grundlegende Bestandteile jeder IT-Strategie. Eine moderne Strategie für Unternehmensanwendungen fügt jedoch einige neue Aspekte hinzu (z. B. die Bedeutung der Endbenutzererfahrung). Hierzu gehört die Betrachtung von:

• Welche Bereitstellungsarchitekturen werden unterstützt (z. B. Hybrid Cloud, Multi-Cloud)
• Bereitstellungsmodelloptionen für jede der Anwendungskategorien
• Welche öffentlichen Clouds können als Zugangspunkte für Anwendungen dienen?
• Inwieweit können native Public-Cloud-Dienste gegenüber Drittanbieterdiensten genutzt werden?

Verschiedene Anwendungen haben unterschiedliche Anforderungen hinsichtlich Bereitstellungs- und Verbrauchsmodellen. Während dieser Phase der Entwicklung Ihrer Anwendungsstrategie sollten Sie sich ein klares Verständnis der verschiedenen Bereitstellungsoptionen verschaffen, da jede davon möglicherweise unterschiedliche Verbrauchsmodelle, Kostenauswirkungen und Konformitäts-/Zertifizierungsprofile mit sich bringt.

Bei der Auswahl der Bereitstellungsmodelle ist es außerdem ratsam, eine Bestandsaufnahme der verfügbaren Fähigkeiten und Talente vorzunehmen, um diese in die Entscheidung einzubeziehen. Wenn Sie sich beispielsweise für die Bereitstellung auf AWS entscheiden, obwohl Sie nicht über ausreichend interne Fachkräfte für die Verwaltung verfügen und keinen Zugriff auf vertragsbasierte Fähigkeiten haben, kann dies zu Verzögerungen und Risiken führen.

Vergessen Sie nie, dass Ihre Bereitstellungs- und Verwaltungsmechanismen selbst einer Autorisierung unterliegen können, sei es gemäß FISMA oder FedRAMP ATO/P-ATO, je nachdem, was Ihre Agentur als Standard für Ihren Auftrag verwendet.

Zusammenfassung: Legen Sie für jedes Element Ihrer Unternehmensanwendungsstrategie klare Verantwortlichkeiten fest.

Neben der Formulierung Ihrer Ziele und Prioritäten sollte die Unternehmensanwendungsstrategie auch Elemente zu Rollen und Verantwortlichkeiten enthalten.

Das sollten Sie wissen:

• Wer hat Entscheidungsrechte hinsichtlich der Optimierung und Sicherung des Anwendungsportfolios (z. B. Technologieauswahl, Anwendungsdisposition, Benutzerzugriffsverwaltung)?
• Wer hat privilegierten Benutzerzugriff auf jede Anwendung?
• Wer ist für die Bereitstellung, den Betrieb und die Wartung der einzelnen Anwendungen in den verschiedenen Umgebungen verantwortlich?
• Wer ist für die Einhaltung der Unternehmensanwendungsrichtlinie verantwortlich?
• Wer überwacht die Einhaltung der Ziele der Unternehmensanwendungsstrategie? Und wem werden die Kennzahlen gemeldet?
• Wer überwacht die Einhaltung der Vorschriften durch die Anbieter – einschließlich Open Source und Drittanbieter von Komponenten/Diensten?
• Wer stellt sicher, dass alle Anwendungen und Anwendungsdienste berücksichtigt werden (da sich Anwendungen und Dienste ständig ändern und hinzugefügt/entfernt werden)?

Die Verantwortung für diese Bereiche kann einer einzelnen Person, einem abteilungsübergreifenden Ausschuss oder sogar ganzen Abteilungen obliegen. Ungeachtet dessen sollten sie klar dargelegt werden. Möglicherweise müssen sie sogar genauer definiert werden, als es Ihr Compliance-System vorschreibt.

Fortgeschrittenere Organisationen werden Betriebsabläufe und Automatisierung einführen, um diese Verantwortlichkeiten schon früh im Entwicklungsprozess, bei der Anwendungserstellung, zuzuweisen. In einer Multi-Cloud-Welt mit Hunderten oder gar Tausenden von Anwendungen, die kritische Funktionen unterstützen, sollten die Anwendungsstrategie und die entsprechenden Richtlinien klare Verantwortlichkeiten festlegen.

Ist die Anwendungsstrategie für das Unternehmen erst einmal entwickelt, muss sie auch umgesetzt werden, um ihren Zweck zu erfüllen. Zu den Durchsetzungsmechanismen sollten sowohl „harte“ Leitplanken gehören, die in die Automatisierung von Prozessen integriert sind (z. B. Benutzerzugriffskontrolle, Scannen des Codes auf Schwachstellen beim Check-in), als auch „weiche“ Maßnahmen wie die Schulung und den Aufbau von Fähigkeiten und Bewusstsein der Mitarbeiter.

Ihre Zugriffskontrollrichtlinie sollte die in der Anwendungsstrategie des Unternehmens definierten betrieblichen Rollen und Verantwortlichkeiten unterstützen und sich auf alle Anwendungen sowohl vor Ort als auch in der Cloud erstrecken. Besondere Aufmerksamkeit sollte dem Zugriff privilegierter Benutzer gewidmet werden, da diese ein Risiko für die Anwendung darstellen. Unter anderem besteht die Gefahr, dass sie aufgrund ihrer Administrator- oder Root-Berechtigungen für die Anwendung ins Visier hochentwickelter APTs geraten.

Zu den für privilegierte Benutzer empfohlenen Sondermaßnahmen gehören:

• Privilegierte Benutzer sollten immer in getrennten Gruppen sein. Sie sollten in Ihrer Zugriffskontrolllösung als „hochriskant“ definiert werden, da sie Sicherheitskontrollen erfordern, die Sie möglicherweise nicht für alle Benutzer oder alle Anwendungsklassifizierungsebenen implementieren möchten. 
• Es sollten mehrere Faktoren zur Remote-Authentifizierung erforderlich sein. Wenn Zugriffsversuche mit gültigen Anmeldeinformationen erfolgen, die die zweite Authentifizierungsanforderung nicht erfüllen (in dem Fall, dass Angreifer gültige Anmeldeinformationen aus einem Verstoß erlangt haben, bei dem Anmeldeinformationen weitergegeben wurden), oder von einem Standort aus, der basierend auf der letzten gültigen Anmeldung physisch nicht möglich ist (wie beispielsweise eine erfolgreiche Anmeldung in den USA zwei Stunden vor dem Anmeldeversuch desselben Benutzers in Osteuropa), sollte das Konto gesperrt werden, bis eine weitere Sicherheitsüberprüfung abgeschlossen ist.
• Der administrative Zugriff sollte nur dem entsprechend geschulten Personal gestattet werden, das diese Zugriffsebene regelmäßig zur Ausführung seiner Arbeit benötigt. Jeder für Notfälle oder spezielle Projekte gewährte temporäre Zugriff sollte in einer separaten Benutzergruppe erfolgen, die über eine automatische Nutzungsüberwachung verfügt, die den Systemadministrator daran erinnert, wenn er vergisst, den Zugriff zu entfernen. Um Interessenkonflikte zu vermeiden, sollte die Überprüfung der Angemessenheit des Zugriffs regelmäßig und unabhängig von dem Team durchgeführt werden, das für die Anwendung verantwortlich ist oder den Zugriff auf die Anwendung gewährt. Greift ein privilegierter Benutzer über einen längeren Zeitraum nicht auf ein Konto zu, sollte hinterfragt werden, ob er den Zugriff wirklich benötigt.
• Alle privilegierten Benutzerzugriffe auf die Anwendungen müssen ordnungsgemäß protokolliert werden. Dies schließt sämtliche Änderungen ein, die am Benutzerkonto vorgenommen werden.   

Dieses Maß an Transparenz und Automatisierung rund um die Zugriffskontrolle in der Cloud zu erreichen, kann schwierig und kostspielig sein, da diese Funktionen im Allgemeinen nicht nativ verfügbar sind. Dies ist jedoch mit einer Drittanbieter-Lizenz möglich und angesichts der Bedeutung eine lohnende Investition.

Angesichts des stetigen Wachstums der Anwendungsvielfalt und der Fülle an in den Medien verfügbaren Daten, die Angreifer nutzen, um herauszufinden, auf welche Anwendungen sie es abgesehen haben und wer darauf Zugriff hat, sind Schulungen zum Sicherheitsbewusstsein wichtiger denn je.

Da Spear-Phishing die Vorgehensweise der Angreifer ist, sollte ein großer Schwerpunkt auf Phishing-Schulungen liegen. Laut dem Phishing- und Betrugsbericht 2018 von F5 Labs kann die Erfolgsquote von Phishing-Versuchen um 33 % auf 13 % gesenkt werden, wenn die Mitarbeiter mehr als zehnmal geschult werden. Dennoch werden Schulungen zum Thema Sicherheitsbewusstsein selten in ausreichendem Umfang und mit dem richtigen Material durchgeführt. Vorgefertigte Sensibilisierungsschulungen, die darauf ausgelegt sind, Compliance-Kästchen zu überprüfen, bergen das Risiko, dass die Mitarbeiter ihre Rolle in Bezug auf die Informationssicherheit nicht verstehen und kein persönliches Pflichtgefühl dafür entwickeln. Wenn das Risiko eines Verstoßes verringert werden soll, sollten Sie regelmäßige, auf Ihr Unternehmen zugeschnittene Schulungen durchführen.

Für Angreifer gibt es keine Ausfallzeiten, deshalb müssen Mitarbeiter stets wachsam bleiben. Eine kontinuierliche Kultur der Neugier sollte für alle Organisationen die Norm sein, insbesondere im föderalen Bereich oder für alle Unternehmen, die die Bundesregierung mit Produkten und Dienstleistungen beliefern. Mitarbeiter sollten sich darüber im Klaren sein, dass sie durch ihren Zugriff auf Anwendungen und Daten ein Angriffsziel darstellen. Sie sollten sich auch darüber im Klaren sein, wie dieser Zugriff oder diese Daten von gegnerischen Nationalstaaten verwendet oder von gewinnorientierten Cyberkriminellen verkauft werden (und dann von Gegnern gekauft werden).

Um den Erfolg ihrer digitalen Transformation sicherzustellen, sollten alle Organisationen eine Unternehmensanwendungsstrategie und entsprechende Richtlinien einführen und ihre Mitarbeiter darin schulen. Im föderalen Bereich mit seiner großen Mischung aus veralteten, hybriden und modernen Anwendungen ist dies besonders kritisch. Damit Sie erfolgreich einen zuverlässigen, sicheren und autorisierten digitalen Dienst bereitstellen können, ist dies erforderlich.

Anwendungen bilden das Herzstück der digitalen Transformation eines jeden Unternehmens. Angesichts der raschen Veränderungen bei der Entwicklung und Bereitstellung von Software sind sie für ein Unternehmen sowohl die größte Wertquelle als auch die größte Schwachstelle. Die hier beschriebenen Komponenten der Anwendungsstrategie und -richtlinie bilden die wesentlichen Grundlagen für die Absicherung der digitalen Ambitionen jeder Organisation. Da das Risikoprofil ihres Anwendungsportfolios täglich zunimmt, müssen Unternehmen rasch handeln und ihre Strategie und Richtlinie formalisieren.

¹ Die Cloud-Smart-Strategie des Office of Management and Budget

² F5 Labs: Lehren aus einem Jahrzehnt voller Datenlecks

³ Kriminelle hacken ein Aquarium, um Daten aus einem Casino zu stehlen , Forbes

⁴ Der Angriff auf Target erfolgte aufgrund eines grundlegenden Netzwerksegmentierungsfehlers , ComputerWorld

⁵ Stand der Software-Lieferkette 2018 , Sonatype