30 Jahre Websites: Sicherheit als Voraussetzung für die Zukunft des Webs
Dies ist der dritte Teil einer vierteiligen Blogpost-Reihe zum 30-jährigen Jubiläum des Phänomens „Website“, in der wir uns auch damit beschäftigen, wie sich die Webinfrastruktur und die Nutzererlebnisse in den nächsten 30 Jahren weiterentwickeln könnten.
Schon als das Internet noch in den Kinderschuhen steckte, wusste man um die Gefahr möglicher Sicherheitsangriffe (Beweis dafür ist der 1995 veröffentlichte Film Hackers – Im Netz des FBI). Allerdings konnte sich damals noch niemand das schiere Ausmaß solcher Angriffe ausmalen. Das Internet versteht sich nicht nur als das Glasfasernetzwerk, auf dem es beruht, sondern vielmehr als der gesamte Apparat aus damit verbundenen Maschinen, Geräten und Datenspeichern. Als derartiges technisches Phänomen wurde es im Laufe der Zeit zunehmend anfälliger für kriminelle Aktivitäten und Diebstahl.
In unserem letzten Blogpost haben wir untersucht, warum bei der Webentwicklung eine dynamischere Denkweise gefragt ist, bei der auch die entsprechenden Tools berücksichtigt werden müssen. Ein Teil dieser Herausforderung besteht darin, das Thema Sicherheit aus einem ganz neuen Blickwinkel zu betrachten. Datenschutz und Sicherheit haben seit der Erfindung des Internets – als wir noch keine Ahnung hatten, welche Bedrohungen auf uns zukommen würden – zigfach an Bedeutung gewonnen.
Wenn wir in Zukunft also sicherere und robustere Onlineerlebnisse schaffen wollen, muss Security bei der Entwicklung, Erstellung und Ausführung von Anwendungen oberste Priorität haben. Und die Lehren der vergangenen 30 Jahre dienen dabei als ideale Grundlage.
Ein Blick in die Vergangenheit
Der Cyberangriff Aurora galt in Sachen Onlinesicherheit als einer der folgenreichsten Weckrufe der Neuzeit. Am 10. Januar 2010 verkündete Google, zum Opfer eines aus China stammenden Cyberangriffs geworden zu sein. Laut Google wollten sich die Angreifer Zugang zu den Gmail Konten chinesischer Menschenrechtler verschaffen, stahlen dabei aber auch gleichzeitig geheimen Quellcode von Google. Dieser Vorfall zählte zu den ersten öffentlich bekannten Beispielen staatlich geförderter Cyberspionage, die darauf abzielte, Betriebsgeheimnisse einer kommerziellen Organisation auszuspionieren.
Davor waren Cyberangriffe lediglich ein Phänomen zwischen Nationalstaaten. Nach Aurora war jedoch klar, dass Angreifer alles tun würden, um sich unbefugt Zugriff auf Anwendungen zu verschaffen. Nicht selten verbringen sie sechs Monate oder länger damit, über Webanwendungen an geheimen Code und letztlich sensible Daten auf relevanten Netzwerken zu gelangen oder andere böswillige Aktivitäten durchzuführen.
Dieser Ansatz kommt beispielsweise bei herkömmlichen Watering-Hole-Angriffen zum Tragen. Angreifer verschaffen sich Zugang zur Lieferkette, um downstream Kundendaten abzufangen. Diese Angriffsart ist inzwischen ziemlich weit verbreitet. Ein Beispiel dafür ist der Cyberangriff auf das US-amerikanische Unternehmen SolarWinds durch den russischen Staat, der Teile des Department of Defense, des Department of Homeland Security, des Department of State, des Department of Energy, der National Nuclear Security Administration und des Treasury kompromittierte. Auch 100 private Unternehmen wie Microsoft, Cisco, Intel, Deloitte und AT&T, waren vom SolarWinds Angriff betroffen.
Es geht schon lange nicht mehr nur um Datendiebstahl, sondern auch um Datenintegrität. Manchmal versprechen sich Angreifer mehr davon, Daten zu ändern oder falsche Daten zu hinterlassen, als Daten zu stehlen. Finanzinstitute haben beispielsweise subtile Änderungen an Zeitstempeln von Transaktionen festgestellt, weil Betrüger versuchten, Geld verschwinden zu lassen. Andere Angreifer wiederum manipulieren Zeitstempel, um Aktienkäufe vorzutäuschen. Angriffe auf die Datenintegrität schmälern zuweilen auch unser Vertrauen in Institutionen – ein weiteres Hauptziel von Hackern. Von der anhaltenden Angst vor manipulierten Wahlen in den USA, die die Demokratie untergraben könnten, ganz zu schweigen.
Das Fazit ist, dass böswillige Akteure immer neue Angriffsmöglichkeiten finden werden. Je früher wir uns aber dieser Tatsache bewusst werden und sie akzeptieren, desto besser können wir uns schützen.
Zero Trust und eine Security-First-Kultur
Früher war Security perimeterbasiert. Sie war also dafür konzipiert, einen physischen Raum nach außen hin zu schützen, innerhalb dieses Raums war aber alles offen zugänglich. Unternehmen konzentrierten sich darauf, Angreifer fernzuhalten, und gingen gleichzeitig davon aus, dass es nicht notwendig war, Daten zu schützen, sobald man sich innerhalb eines Netzwerks befand.
Heute geht man beim Thema Security zunehmend auf ein Zero-Trust-Modell über, das auf Authentifizierung anstatt auf Standortdaten beruht. Kerngedanke dieses Modells ist, dass man niemandem – weder außerhalb noch innerhalb – eines Unternehmen vertraut und die Identität von jedem, der sich ins System einzuloggen versucht, zunächst verifiziert werden muss.
Um hier ansetzen zu können, müssen Unternehmen eine sicherheitsorientierte Arbeitskultur schaffen, bei der Security in ihre DevOps-Praktiken integriert ist. Von Anfang an sollten so viele Angriffsmöglichkeiten wie möglich identifiziert werden, wobei Tests und Abhilfemaßnahmen früher im Entwicklungsprozess durchgeführt werden sollten. Angesichts der zunehmenden Verbreitung ortsunabhängiger Arbeitsmodelle verlieren Unternehmen Kontrolle über die Netzwerke und Geräte, über die Nutzer auf interne Daten zugreifen. Deshalb gewinnt eine sicherheitsorientierte Arbeitskultur immer mehr an Bedeutung.
Es gibt einen besseren Weg nach vorn
Viele Unternehmen tun sich nach wie vor schwer, ein Zero-Trust-Modell einzuführen, da sie befürchten, dass Entwicklung und Innovation hinter erhöhter Sicherheit zurückbleiben könnten. Der Schlüssel zum Erfolg liegt aber in den richtigen Tools.
Unternehmen brauchen Tools, die auf moderne, dezentralisierte Strukturen zugeschnitten sind. Im Durchschnitt geben sie laut unserem kürzlich erschienenen Bericht „Der Wendepunkt bei Webanwendungen und API-Sicherheit“ jährlich $ 2,6 Millionen für 11 Webanwendungs- und API-Sicherheitstools aus.
Was viele DevOps-Teams an Security-Lösungen abschreckt, ist die Komplexität, die eine effektive Zusammenarbeit zwischen den Teams oft verhindert. Dies führt dazu, dass Tools nicht in vollem Umfang genutzt und böswilligen Angriffen so Tür und Tor geöffnet werden.
Wir brauchen Sicherheitstools, die sich direkt in den Entwicklungsprozess integrieren lassen und mit den täglich vom DevOps-Team genutzten Tools kompatibel sind. Sicherheitslösungen müssen das Potenzial zur Automatisierung haben, sich auf verschiedene Architekturen anwenden lassen und größtmögliche Transparenz und Einblicke bieten. Nur so kann Security zu einem Motor für Innovation anstatt zu einem Hindernis werden. Parallel dazu sollten wir ein effizienteres, programmierbares Netzwerk wählen, um Skalierbarkeit zu gewährleisten.
Wir müssen uns bei diesen Tools in Zukunft auch auf eine granularere Zugriffskontrolle einstellen. Darunter versteht man die Praxis, bestimmten Nutzern unterschiedliche Zugriffsrechte auf eine Ressource zu gewähren. Allerdings müssen wir einen Weg finden, dass Geschwindigkeit und Performance dabei nicht auf der Strecke bleiben. Eine eindeutige Nutzerauthentifizierung ist unerlässlich, und indem wir diese Vorgänge auf die Edge verlagern, verbessern wir sowohl die Performance auch den Datenschutz.
Sicherheit ist auch Kopfsache
Letztendlich geht es bei einem Zero-Trust-Modell nicht nur um die Implementierung neuer Technologien, sondern vor allem auch um ein branchenweites Umdenken: Prozesse müssen so gestaltet werden, dass sie für ihre Nutzer greifbar sind.
Wir müssen uns besser auf die nächsten 30 Jahre des Internets einstellen. Wir wissen heute so viel mehr als die Netzwerkpioniere in den 1970er-Jahren, weil wir von ihnen gelernt haben. Raffinierte Cyberattacken durch unabhängige und staatlich geförderte Angreifer stehen heute auf der Tagesordnung, und dasselbe sollte auch für die Abwehr solcher Bedrohungen gelten.
In unserem nächsten Blogpost – dem Letzten in unserer Reihe zum 30-jährigen Jubiläum der Website – befassen wir uns mit fünf Lektionen, an denen sich die Entwickler von heute orientieren können, um das Web zukunftsfähig zu machen.