Interview mit Lech Sandecki

Themenkomplex Security: „Sicherheit ist eine dauerhaufte Aufgabe, die immer Teil des Entwicklungsprozesses sein sollte“

Dominik Mohilo

Lech Sandecki

Die moderne IT-Welt ist ein gefährliches Pflaster. Von der Entwicklung über das Deployment bis hin zur Nutzung fertiger Anwendungen gibt es quasi an jeder Ecke potentielle Schwachstellen. Kein Wunder also, dass „Security“ ein zentraler Bereich der Softwareentwicklung ist. Im Interview spricht Lech Sandecki, Verantwortlicher für die Sicherheits- und Public-Cloud-Produkte bei Canonical, über die aktuelle Sicherheitslage in der IT.

JAXenter: Hallo Lech! Sicherheit ist in der Welt der IT schon immer ein Thema. Kannst du vielleicht kurz umreißen, wie sich die Sicherheitslage in den letzten Jahren verändert hat?

Lech Sandecki: Zwei wichtige Trends in der IT-Welt wirken sich auf die Sicherheitslage aus, und beide werden durch Open Source vorangetrieben:

Erstens hat der Einsatz von Open Source in Unternehmen sehr stark zugenommen, schlicht und ergreifend, weil es die kostengünstigste Art der Innovation ist. Tausende von Open-Source-Anwendungen stehen heute für Entwickler zur Verfügung. Diese Anwendungen dienen als Bausteine zum Entwickeln neuer Produkte. Leider verfügen Unternehmen nicht immer über die richtigen Prozesse und Werkzeuge, um die mit diesen Bausteinen einhergehenden Sicherheitsbedenken zu bewerten und anzugehen. Die Folge ist, dass viele Unternehmen anfälligen Code ausführen.

Die Fragmentierung des Marktes erhöht die Komplexität.

Zweitens ist die Open-Source-Landschaft mittlerweile unglaublich fragmentiert. Kein einzelner Anbieter kann die ganze Bandbreite der IT abdecken. Mark Russinovich von Microsoft Azure sprach auf der diesjährigen RSA-Konferenz über die „Sicherheit der Software-Lieferkette“. Dabei hat er die Ähnlichkeiten zwischen der Lebensmittelversorgungs-Kette mit Landwirten, Einkäufern, Händlern und Kunden und dem Open-Source-Bereich aufgezeigt. Hier sind Open-Source-Entwickler, ein Quellcode-Repository, Anwendungsentwickler und Endbenutzer die Elemente der Kette. Entlang dieser Lieferkette bilden eine Fülle von Anwendungen, Projekten und Mitwirkenden gemeinsam dieses Ökosystem.

Die Fragmentierung des Marktes erhöht die Komplexität, was dazu führt, dass Open-Source-Komponenten bei den Anbietern von Betriebssystemen immer mehr Probleme aufwerfen. Um auf diese Herausforderung zu reagieren, haben einige Unternehmen damit begonnen, Full-Stack-Support anzubieten. So wollen sie das Problem abstrahieren, dass unterschiedliche Anbieter verschiedene Schichten ihrer Infrastruktur verwalten. Ein klares Eigentumsrecht der Anbieter ist entscheidend, um sicherzustellen, dass Sicherheits- und Supportprobleme über den gesamten Stack hinweg gelöst werden.

Unsere Artikel- und Interviewreihe zum Themenkomplex Security

Die moderne IT-Welt ist ein gefährliches Pflaster. Von der Entwicklung über das Deployment bis hin zur Nutzung fertiger Anwendungen gibt es quasi an jeder Ecke potentielle Schwachstellen. Kein Wunder also, dass „Security“ ein zentraler Bereich der Softwareentwicklung ist. In unserem Special zum Thema Sicherheit in der IT kommen Experten namhafter Unternehmen zu Wort, die über aktuelle Bedrohungen und Lösungen zu berichten wissen.

Tauchen Sie mit uns in den Themenkomplex Security ein!

JAXenter: Im DevOps-Bereich gibt es viele Ansätze, Anwendungen und deren Deployment sicherer zu machen: Das Stichwort hier heißt „DevSecOps“. Kannst du uns zu dessen Definition vielleicht ein paar Worte sagen?

Lech Sandecki: DevSecOps bringt Sicherheit in die Gleichung ein und nutzt die Effizienz von DevOps, um zu gewährleisten, dass die Anwendungssicherheit bei jedem Build gewährleistet ist. Sicherheit ist eine dauerhaufte Aufgabe, die immer Teil des Entwicklungsprozesses sein sollte, aus der Erkenntnis heraus, dass Sicherheit tatsächlich ein kritischer Teil von DevOps ist.

Das Ziel von DevSecOps wird oft als „Verschiebung der Sicherheit nach links“ beschrieben. Zu erreichen ist es über mehrere, automatisierte Sicherheitstests, die statische Anwendungssicherheits-Testverfahren (SAST) und die Software-Composition-Analyse (SCA) verwenden – zusätzlich zu den bestehenden DevOps-Zielen wie der Code-Qualität. Dieser Ansatz betrachtet Security als einen integralen Bestandteil der automatisierten CI/CD-Pipeline von DevOps und nicht nur als einen Schritt am Ende der Reise.

Sicherheitsprobleme müssen so früh wie möglich im Entwicklungsprozess erkannt werden, um deren Gesamtkosten zu senken und Sicherheitsanalysen häufiger durchführen zu können. Automatisierung ist der Schlüssel zur Erhöhung der Geschwindigkeit, auch wenn der Aufbau automatisierter Tools und Prozesse Zeit in Anspruch nehmen kann.

JAXenter: Wie genau sichert man eine CI/CD-Pipeline am besten ab? Irgendwelche Best Practices?

Eine Automatisierung ohne geeignete Sicherheits- richtlinien kann negative Folgen auslösen.

Lech Sandecki: Die meisten Unternehmen wissen, dass sie ihre Produktionsumgebung absichern sollten, da CI/CD-Pipelines Angreifern oft als leichteres Ziel erscheinen könnten. CI/CD-Pipelines enthalten in der Regel einen Pfad zu dem, was in Produktion gegeben wird, weswegen restriktive Zugangskontrollen auf der Grundlage einer Multi-Faktor-Authentifizierung implementiert werden müssen. Ähnlich wie DevOps werden auch CI/CD-Pipelines zunehmend automatisiert, daher muss sichergestellt werden, dass auch diese Sicherheitsanforderungen automatisiert werden. Dies kann auf der grundlegendsten Ebene geschehen, so dass Sicherheitstests Teil der Unit-Tests werden. Eine Automatisierung ohne geeignete Sicherheitsrichtlinien kann negative Folgen auslösen. Ohne menschliche Kontrolle können Sicherheitsmängel tage-, wenn nicht gar monatelang unentdeckt bleiben.

Auch die Sicherheit der Software-Lieferkette ist hier von Bedeutung, da viele Anwendungen einschließlich ihrer Abhängigkeiten zum Bau von Containern verwendet werden. Wenn eine dieser Anwendungen oder ihre Abhängigkeiten Sicherheitslücken aufweisen, könnte der gesamte Container verwundbar sein. Einige beliebte Open-Source-Pakete, wie npm, können über 380 Abhängigkeiten haben. Der Weg zu einem sicheren Container besteht darin, ihn mit Paketen und Abhängigkeiten zu bauen, die sicher sind, und ihn einzugrenzen. Anwendungen auf diese Weise zu isolieren, minimiert mit vordefinierten Schnittstellen die potenzielle Angriffsfläche und verringert so die Fehleranfälligkeit des Systems.

JAXenter: Was ist deine Sicherheitsprognose für die kommenden Monate und Jahre – welche Entwicklungen wird es in Sachen Anwendungssicherheit geben?

Lech Sandecki:Jedes Jahr werden Milliarden neuer Codezeilen geschaffen. Der Trend weist hier mit der weiteren Zunahme des Innovationstempos und der Zahl der Entwickler in der Welt nach oben. Entwickler versuchen, das Rad nicht neu zu erfinden, so dass ein großer Teil des Codes wiederverwendet wird, um neue Anwendungen zu produzieren. Open-Source-Software wird auch in Zukunft ein perfektes Werkzeug sein, das von mehreren Projekten leicht wiederverwendet werden kann.

Der Weg zu einem sicheren Container besteht darin, ihn mit Paketen und Abhängigkeiten zu bauen, die sicher sind, und ihn einzugrenzen.

Die Theorie der Software-Lieferkette legt nahe, dass es alles andere als trivial ist, für Code zu sorgen, der keine Schwachstellen in den Paketen und ihren Abhängigkeiten aufweist.

Die Herausgeber von Open-Source-Betriebssystemen sind gut aufgestellt, um sicherzustellen, dass der von ihren Benutzern verwendete Code tatsächlich sicher gepatcht wird. Viele Pakete würden von dieser vertrauenswürdigen Quelle stammen. Daher werden Sicherheitslücken aus der Sicht der Benutzer bereits auf einer höheren Ebene angegangen.  Bei den Paketen, die vom Herausgeber des Betriebssystems nicht abgedeckt werden, spüren automatisierte Sicherheitsscan-Tools die Schwachstellen auf. Sie verwenden dafür einen umgekehrten Lieferkettenprozess, mit dem sie genau untersuchen können, welches Paket, welcher Entwickler oder welches Projekt dazu beigetragen hat. Darüber hinaus bedeutet die Tatsache, dass es heute keine bekannten Schwachstellen gibt, nicht, dass sie nicht auch morgen noch entdeckt werden. Unternehmen erkennen zunehmend, dass sie sich in Bezug auf ihre IT-Sicherheit nicht gänzlich auf den guten Willen der Software-Entwickler verlassen können und suchen nach professionellen Lösungen und Support.

JAXenter: Vielen Dank für das Gespräch!

Lech Sandecki zeichnet verantwortlich für die Sicherheits- und Public-Cloud-Produkte bei Canonical, dem Herausgeber von Ubuntu. Er verfügt über mehr als zehn Jahre Erfahrung in Produktmanagement in der Softwareentwicklung, Beratung und Telekommunikationsbranche. Lech hat die London Business School mit einem Executive MBA abgeschlossen.
Geschrieben von
Dominik Mohilo
Dominik Mohilo
Dominik Mohilo studierte Germanistik und Soziologie an der Goethe-Universität in Frankfurt. Seit 2015 ist er Redakteur bei S&S-Media.
Kommentare

Hinterlasse einen Kommentar

avatar
4000
  Subscribe  
Benachrichtige mich zu: