Foto: JoeZ - shutterstock.com
Unternehmen müssen heute ihre Kunden in den Mittelpunkt stellen. Zur Beziehungspflege sind digitale Angebote in Form von Apps sehr wichtig. Denn gerade hier hat sich im Zuge der Corona-Pandemie und der damit einhergehenden Verlagerung eines Großteils des Berufs- und Gesellschaftslebens in den digitalen Raum die ohnehin hohe Erwartungshaltung zusätzlich gesteigert.
Herausforderung: Komplexität und Sicherheit
Demgegenüber stehen die Herausforderungen an Unternehmen, die mit der Entwicklung und Bereitstellung von Anwendungen einhergehen: komplexe App-Portfolios, mangelnde Sichtbarkeit und Sicherheit. In Zeiten von Microservices und Distributed Computing ist es ohne ausgefeilte Automatisierung zudem nicht möglich, das Management eines wachsenden App-Portfolios effizient zu bewältigen.
Denn diese Anwendungen sind oft eine komplexe Mischung aus Diensten und Funktionen, die mit herkömmlichen und modernen Technologien zusammengefügt werden. Zum Beispiel bieten Finanzinstitute eine moderne Mobile Banking App, aber die dahinter liegende Geschäftslogik basiert auf einem archaischen Back-End-System. Beides muss gepflegt und miteinander abgestimmt werden, um Zuverlässigkeit und Kontinuität zu gewährleisten.
Diese Komplexität führt häufig zu Herausforderungen im Bereich Sicherheit. Sie entstehen einerseits durch das aufwändige App-Management in den heutigen Multi-Cloud-Umgebungen und andererseits durch die sich rasch entwickelnde Bedrohungslandschaft. So kann heute fast jeder Cyberkriminelle gestohlene Kennwörter und Passwörter auf verschiedenen Websites ausprobieren. Einer aktuellen Studie zufolge zielen 86 Prozent der Cyberangriffe auf Anwendungen oder damit verbundene Identitäten ab. Dabei steigt die Zahl der Angriffe auf Apps jedes Jahr - und durch die COVID-19-Pandemie noch stärker.
Lösung: Automatische Anpassungen
Ein Ansatz, um diese Herausforderungen zu bewältigen, ist die automatische Anpassung von Anwendungen. Diese verändern sich dann eigenständig anhand der jeweiligen Umgebung und Nutzung. Die Basis dafür bildet der so genannte Anwendungsdatenpfad. Dies ist der Weg, über den der Datenverkehr einer Anwendung über die App-Dienste bis zum Nutzer fließt. Zu den App-Diensten gehören etwa Application Server, Web Server, Entry Controller, Load Balancing, DNS-Lookup und Content Delivery Networks (CDNs) sowie zahlreiche Security-Services. Sie bilden die Grundlage für digitale Kundenangebote.
Jeder dieser Anwendungsdienste erzeugt wertvolle Daten, zum Beispiel in den Bereichen Latenz, Steuerung und Durchsetzung von Richtlinien. Diese Telemetrie bietet die notwendige Transparenz, um Kontrollen und Konfigurationen zu ändern, sowie um Leistung und Sicherheit entlang des Anwendungsdatenpfads zu optimieren.
Aus Traffic-Mustern lernen
Unternehmen verfügen bereits über viele dieser Funktionen. Doch für den nächsten großen Schritt zu adaptiven Anwendungen müssen sie noch weitere einführen. Dazu zählt eine Analyse- und Automatisierungsebene, welche anhand der Telemetrie aus den App-Diensten die optimale Konfiguration ermittelt und an die Anwendungsdienste weitergibt. Mit Machine Learning und anderen KI-Techniken kann das System aus historischen oder ähnlichen Traffic-Mustern lernen und Optimierungsmöglichkeiten aufzeigen.
Neben einer flexiblen Skalierung auf Basis der aktuellen Nutzungszahlen ermöglicht dies auch eine automatische Reparatur oder Abwehr von Angriffen. Wenn also ein Cyberkrimineller zum Beispiel Daten stehlen möchte, kann die Anwendung mit Hilfe von KI diese Versuche erkennen und das entsprechende Wissen im gesamten Netzwerk verteilen, um ähnliche Attacken zu blockieren.
Die Grundlage dafür bildet die Unterscheidung zwischen Anfragen durch Menschen und automatisierte Bots, sowie zwischen bösartigem und gutartigem Datenverkehr. Auf dieser Basis kann das Unternehmen Richtlinien definieren, um Malware automatisch zu blockieren oder den Zugang für menschliche Kunden zu erleichtern. Zudem lassen sich Regeln aufstellen, wie die automatischen Systeme künftig mit ähnlichen Herausforderungen umgehen sollen. Auf diese Weise lernt die adaptive Anwendung und verbessert sich mit der Zeit selbstständig.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
Vom Menschen zur Maschine
Derzeit geschehen diese Anpassungen in hybriden oder Multi-Cloud-Umgebungen nicht automatisch. Es sind viele manuell implementierte Richtlinien und Skripte erforderlich, um eine letztlich hart kodierte Anpassungsfähigkeit zu erreichen.
So agieren die meisten Unternehmen heute in einer Welt, in der sie von schlechten Kundenerfahrungen zuerst über Twitter und Co. erfahren. Anschließend begeben sie sich auf die mühsame Suche nach genügend Detailinformationen, um eine mögliche Lösung zu finden. Diese statische Methode des App-Managements mit vielen manuellen Prozessen lässt sich nicht so skalieren und anpassen, dass sie den hohen Erwartungen der heutigen Kunden gerecht wird.
In einer Welt mit anpassungsfähigen Anwendungen skalieren sich dagegen die App-Services je nach Bedarf eigenständig. Sie verteidigen sich selbst und geben Warnmeldungen an das Gesamtsystem aus, wenn es möglicherweise größere Probleme gibt. Sie bieten damit eine User Experience, die so anpassungsfähig wie möglich ist. Dazu gehört auch die Fähigkeit, verschiedene Nutzungsmöglichkeiten zu konfigurieren und zu orchestrieren. So erhält der Nutzer eine optimale Variante der digitalen Anwendung. (mb)