Special 03 IAM (LESEPROBE)

Verlagsbeilage, Juni 2024 Special Identity- und Access- Management An Multi-Faktor-Authentiﬁ zierung kommt niemand vorbei Seite 2 Mit Open Source zu mehr Selbst- bestimmtheit und Flexibilität IAM für den Mittelstand Seite 6 Seite 8 Wie Unternehmen IAM efﬁ zient einsetzen können Seite 10 Mitherausgeber Impressum GmbH Augustinusstraße 11 A, 50226 Frechen (DE) Tel.: +49 2234 98949-30, redaktion@datakontext.com, www.datakontext.com Geschäftsführer: Dr. Karl Ulrich Handelsregister: Amtsgericht Köln, HRB 82299 Anzeigenleitung: Birgit Eckert (verantwortlich für den Anzeigenteil) Tel.: +49 6728 289003, anzeigen@kes.de Satz: BLACK ART Werbestudio Stromberger Straße 43a, 55413 Weiler Druck: QUBUS media GmbH, Beckstraße 10, 30457 Hannover m i t L e s e p r o b e a u s d e m S p e c i a l H a u p t h e f t Bild: nuruddean – stock.adobe.com

Verlagsbeilage ESET Secure Authentication sichert Zugang zu Netzwerken, Konten und schützenswerten Daten An Multi-Faktor-Authentiﬁzierung kommt niemand vorbei Passwort weg, Daten futsch, Ärger groß: Hacker haben freie Bahn, wenn sie an sicher ge- glaubte Zugangsdaten gelangen – und im schlimmsten Fall bleibt dies lange Zeit unerkannt. Unternehmen sollten sich mit einer Multi-Faktor-Authentifizierung davor absichern. Von Michael Klatte, ESET Deutschland GmbH Ohne Zugangscodes läuft nichts mehr in der modernen IT. Der Login in E-Mail-Konten, Cloud- Services oder Firmennetzwerke erfordert aus Sicherheitsgründen immer die Kombination aus Benut- zername und Passwort. Trotz aller bahnbrechenden Entwicklungen in den letzten Jahrzehnten dient das „Urgestein Passwort“ immer noch in seiner ursprünglichen Form als Zugangskontrolle – oftmals sogar als einzige und nicht ausreichende Authentiﬁzierungsmöglichkeit. Passwörter als Gefahrenquelle Eigentlich sollen Passwörter den Zugang zu sensiblen Daten oder Zugängen absichern. In der Praxis sind sie jedoch oftmals schlecht ge- wählt. Statische Passwörter können beispielsweise abgefangen oder im Darknet erworben werden. Benutzer- deﬁnierte Zugangsdaten sind selten stark genug definiert und durch intelligente Wörterbuchattacken, Brute-Force-Methoden oder simples Raten einfach zu überwinden. Viele Anwender nutzen sogar identische Passwörter im dienstlichen und privaten Bereich. Letztlich werden Passwörter – wegen der schlechten Merkbarkeit und den jeweiligen be- trieblichen Anforderungen – nicht Multi-Faktor-Authentiﬁzierung sollte beim mobilen Arbeiten immer dazugehören (Foto: GaudiLab, Shutterstock) zufällig generiert. Oftmals beinhal- ten sie einfach zu knackende Cha- rakteristika wie Name, Geburtstag und fortlaufende Nummerierungen. In vielen Unternehmen ist die Praxis, alle 90 Tage Passwörter zu wechseln, fest verankert. Das führt aber letztendlich nicht zu mehr Sicherheit, sondern nur zu einer Vermischung von privaten und geschäftlichen Zugangsdaten und somit zu unsicheren IT-Systemen. Nicht von ungefähr hat das Bun- desamt für Sicherheit in der Infor- mationstechnik (BSI) genau diese Empfehlung in seinem IT-Grund- schutz-Katalog ersatzlos gestrichen. Gerät es in falsche Hände und gibt es keine weitere Absicherung, haben Cyberkriminelle freie Fahrt. Richtig unangenehm und teuer wird es für Unternehmen dann, wenn dabei gegen die Datenschutzgrundverord- nung (DSGVO) verstoßen wird. Der DSGVO ist es egal, wenn Unterneh- men Daten verlieren, solange sie sich damit nur selbst schaden. Wer jedoch Kunden- oder Patientendaten oder auch Informationen über die eigenen Mitarbeiter „verliert“, weil sie nicht ausreichend geschützt sind, setzt womöglich die Existenz seines Unternehmens aufs Spiel. 2 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Identity- und Access-Management, Juni 2024

Multi-Faktor-Authentiﬁ- zierung verstärkt Zugangssicherheit Wer sich mit seinem dienst- lich gelieferten Gerät – beispielsweise dem Notebook, dem Tablet oder dem Smartphone – in ein Firmen- netzwerk, einen Cloud-Service oder einen Online-Dienst einwählt, benötigt in den meisten Fällen nur ein gültiges Passwort in der Zugangssoftware. Dieses Verfahren erfüllt längst nicht mehr die Anfor- derungen moderner IT-Sicherheit. Das BSI, Cyber-Abwehrexperten und IT-Security-Forscher empfehlen daher die sogenannte Multi-Faktor- Authentiﬁzierung (MFA). Sie nutzt die Kombination von zwei oder mehr Berechtigungsnachweisen für die Prüfung der Identität. Dazu zählen beispielsweise spezielles Wis- sen, biometrische Merkmale oder zusätzliche Hardware (z. B. Token, Security-Keys). Die Kombination aus zwei oder mehr dieser voneinander unabhängigen Faktoren sichern An- meldeverfahren stärker ab. Lösungen von der Stange: Teuer und aufwendig Auf dem Markt beﬁndet sich bereits eine Reihe von Lösungen mit unterschiedlichen Ansätzen. Diese variieren nicht nur im An- schaffungspreis, sondern auch im späteren Administrationsaufwand. Als Authentifizierungsverfahren werden auf vielen mobilen Geräten UserID/Password, Smartcards, OTP- Token, Biometrie via Fingerprint und Venenleser, RFID-Token, X.509-Zer- tiﬁkate, QR-Codes und USB-Dongles eingesetzt. Letztere erweisen sich als besonders einfach. Der Anwender muss dann keine Installationen, Anpassungen oder Änderungen auf dem verwendeten Rechner vorneh- men, sondern lediglich den USB- Dongle einstecken. Dennoch bleibt ein Problem: Kleinere Unternehmen besitzen nur Mit ESET Secure Authen- tication sind Unternehmen jeg- © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Identity- und Access-Management, Juni 2024 3 Freigabe per Smartphone bequem und sicher für Anwender (Foto: ESET) selten die ﬁnanziellen Mittel und personellen Ressourcen dafür. Auch Administratoren größerer Netzwer- ke tun sich schwer, denn die stetig steigende Anzahl an Geräten und Geräteklassen sorgt für mehr Arbeit und Kosten. Hinzu kommt, dass der Anwender die zweite Sicherung komfortabel bedienen können muss. Je komplizierter das Verfahren ist, desto mehr wird die Durchsetzung von Systemen zur Absicherung der IT behindert. Moderne Zugangskon- trolle mit ESET Secure Authentication Eine Alternative für Unter- nehmen, die die Zugangskontrolle auf eigene Netzwerke oder Dienste selbst administrieren wollen, bietet der slowakische Antivirenhersteller ESET mit „ESET Secure Authentica- tion“ (ESA) an. Die softwarebasierte Lösung zur Multi-Faktor-Authenti- ﬁzierung bietet einen sicheren Zu- gang zu Online-Anwendungen und Netzwerkumgebungen. Mit ESA lassen sich komplett passwortlose Umgebungen schaffen: Dank Inte- gration von Windows Hello oder FIDO-basierter Hardware kann be- reits das Windows Login passwort- los durchgeführt und abgesichert werden. liche Größe in der Lage, PCs und Notebooks sicher einzusetzen, Da- tenschutzvorfälle zu vermeiden und selbst strengste Compliance- Anforderungen zu erfüllen. Mithilfe der Multi-Faktor-Authentiﬁzierung per Smartphone, Smartwatch oder bestehender Hardwaretoken, ist der Einsatz zugleich äußerst kos- tenefﬁzient – ohne dabei Security- Kompromisse eingehen zu müssen. Die aktuelle ESA-Generation enthält eine Reihe neuer Technologien und Features, darunter eine passwortlose Anmeldung und die Unterstüt- zung der biometrischen Authen- tifizierung in der mitgelieferten App. Dank der Unterstützung von Windows, Mac OS und Linux ist die Implementierung in heterogene Netzwerkumgebungen problemlos Wirtschaftliche Vorteile einer Softwarelösung ––——— Einmal-Passwörter mi- nimieren Gefahren durch unbe- fugten Zugang. ––——— Sie verhindert den Ein- satz schwacher Passwörter. ––——— Sie spart Kosten, da kei- ne zusätzliche Hardware benötigt wird. ––——— Installation und Admi- nistration sind einfach. ––——— Handy beziehungsweise Smartphone sind als Token ein- fach zu nutzen. t n e m e g a n a M - s s e c c A d n u - y t i t n e d I l a i c e p S

Verlagsbeilage PUSHAUTHENTIFIZIERUNG ODER STANDARD- PASSWORT Ablauf einer Multi- Faktor-Authentiﬁzie- rung (Foto: ESET) EINMALPASSWORT INTERNE UNTERNEHMENSDATEN möglich. Gleichzeitig ist sie einfach zu installieren und zu verwalten. Das mitgelieferte Software Development Kit (SDK) und die API ermöglichen optimale Integrationsﬂexibilität für einen umfassenden Schutz von An- wendungen und Daten. Passwortlose Anmeldungen Das Auslaufmodell „Benut- zername plus Passwort“ ist vielen Unternehmen ein Sicherheitsdorn im Auge. Sie setzen immer mehr auf Authentifizierungsmethoden, mit denen sie ganze Umgebungen ohne Passwörter absichern können. Dies geschieht mithilfe von FIDO 2.0-kompatibler Hardware (z. B. Sticks) oder Windows Hello – beides Kurz-Checkliste vor der Investition ––——— Was genau (Zugriff auf Daten, Dienste, Netzwerke, Sys- temfunktionen etc.) soll gesichert werden? ––——— Passt die Lösung in die aktuelle Sicherheitsarchitektur? ––——— Welche Investitions- und laufenden Kosten fallen an? ––——— Wie benutzerfreundlich ist die Lösung für Administrator und Anwender? ––——— Wie hoch ist der Instal- lations- und Administrationsauf- wand? ––——— Ist die Lösung skalierbar und auf neue (mobile) Betriebssys- teme erweiterbar? unterstützt ESET bereits ab dem Windows Login. Erstmals können auch biometrische Verfahren in ESA eingebunden und über die Konsole verwaltet werden. Sicher in die Cloud Neben der Absicherung von Anwendungen vor Ort kann ESET Secure Authentication zum Schutz von Web- und Cloud-Diensten wie Microsoft Ofﬁce 365, Google Apps, Dropbox und viele weitere durch ADFS 3.0 oder SAML Protokoll Inte- gration eingesetzt werden. Letzteres kann über eingesetzte Identity Provi- der diverse Single-Sign-on-Varianten für viele weitere Anwendungen, Dienste und Plattformen anbie- ten – ohne dass auf das von ESET bereitgestellte SDK zurückgegriffen werden muss. Multi-Faktor-Authentiﬁzierung via Biometrie Auch die ESA-App kann mit den Smartphone-eigenen Authenti- ﬁzierungsoptionen (Touch ID, Face ID oder Android Fingerprint) genutzt werden. Damit schlagen Unterneh- men zwei Fliegen mit einer Klappe: Sie erweitern ihre biometrische Au- thentiﬁzierung um einen weiteren Faktor, der ebenfalls ohne Passwort auskommt. Starke Performance auch für Enterprise ESET Secure Authentication kann nun – abhängig vom Installa- tionstyp (gebunden an die Microsoft Active Directory oder Stand-alone) – pro Instanz bis zu 20 000 Seats und 80 Anfragen pro Sekunde verarbeiten. Die Einbindung eigener SQL-Server und der Betrieb mehrerer Instanzen machen die Lösung ﬂexibel einsetz- bar und somit auch für Enterprise- Kunden interessant. Mit Secure Authentication stellt ESET eine erweiterte Zu- gangskontrolle für VPN-Verbindun- gen, Outlook Web App, Microsoft Sharepoint, Dynamics DRM sowie Remote-Desktop-Verbindungen vor. Sie unterstützt die Compliance- Vorgaben vieler Staaten. Dazu zäh- len unter anderem PCI/DSS, FFIEC, Sarbanes Oxley, NIST, IS-Standards oder HIPAA. Die Sicherheitslösung besitzt einen nativen Support für Exchange Server 2013 und VMware Horizon View. Dank der RADIUS- Unterstützung und der API kann nahezu jede marktübliche VPN- Appliance um diese Authentiﬁzie- rungsfunktionen erweitert werden. Fazit Das Passwort hat als alleinige Zugangskontrolle längst ausgedient. Geht es verloren, haben Unbefugte nahezu alle Möglichkeiten, bestmög- lichen Proﬁt daraus zu schlagen. Die Multi-Faktor-Authentiﬁzierung setzt sich immer mehr durch, denn sie erhöht die Sicherheit der Zugangs- kontrolle immens. Je einfacher es dabei für den Nutzer ist, desto schneller wird sich die Authentiﬁ- zierungsmöglichkeit im digitalen Leben und Arbeitsalltag etablieren. Manche Organisationen müssen sogar in Kürze auf MFA setzen, wenn sie unter die die „Network and Infor- mation Security 2“-Richtlinie (NIS-2) fallen. Denn der Referentenentwurf zur Umsetzung der NIS2-Richtlinie in Deutschland fordert explizit die Einführung von Lösungen zur Multi- Faktor-Authentiﬁzierung oder kon- tinuierlichen Authentiﬁzierung. Sie gelten als ein wichtiger Bestandteil einer Cybersicherheitsstrategie. n 4 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Identity- und Access-Management, Juni 2024

Verlagsbeilage Endlich echte Freiheit: Mit Open Source zu mehr Selbst- bestimmtheit und Flexibilität Unternehmen haben bei der Wahl ihrer Mehr-Faktor-Authentifizierung heute mehr Optionen denn je – dank Open Source. So zeigen Beispiele aus dem Gesundheitswesen, dem Bildungs- wesen oder der öffentlichen Verwaltung: Offenheit bringt ganz konkrete Vorteile. Von Julia Sieber, für NetKnights In einer Zeit, in der Daten zu einer der wertvollsten Ressourcen von Unternehmen geworden sind, ist die Mehr-Faktor-Authentiﬁzie- rung (MFA) nicht nur eine Frage der Compliance, sondern auch eine Investition in den Schutz sensibler Informationen, die Integrität der eigenen Daten und in das Vertrauen der Kunden. Durch das Verwenden meh- rerer Nutzermerkmale wie Passwör- ter, biometrische Merkmale oder Sicherheitstoken minimiert MFA das Risiko von Datenverlust, Iden- titätsdiebstahl und unbefugtem Zugriff stark. Der Markt hat sich in den letzten Jahren gewandelt: Domi- nierten früher proprietäre Systeme mit hohen Lizenzgebühren und eingeschränktem Funktionsumfang den Markt, so gewannen Open- Source-Lösungen zunehmend an Bedeutung. Die Akzeptanz wächst Bis sich neue Systeme auf dem Markt etablieren, vergehen häufig Jahre. Open-Source-MFA- Lösungen erweisen sich im Gegen- satz zu früheren Vorurteilen heute als wettbewerbsfähig und vielseitig einsetzbar. Denn die Transparenz von Open-Source-Software schafft Vertrauen: Der offene Quellcode ermöglicht es Benutzern, den Auf- bau der Software einzusehen und zu überprüfen. Das trägt dazu bei, Sicherheitsbedenken und die Angst vor etwaigen Backdoors zu nehmen. Und auch Empfehlungen von ofﬁzieller Stelle sind dem Ver- trauen förderlich. So gibt es auf der Webseite des Bundesamtes für Si- cherheit in der Informationstechnik (BSI) eine eindeutige Antwort auf die Frage, ob Open-Source-Software genauso sicher ist wie proprietäre Angebote? „Ja, weil viele Program- mierer in aller Welt (...) die Mög- lichkeit haben, sich den Quelltext der Software anzusehen. So können sie mögliche Probleme rasch er- kennen und gegebenenfalls sofort beheben.“ Die offene Natur von Open- Source-Projekten fördert somit den Ideenaustausch in der Entwicklerge- meinschaft, was nicht nur zu schnel- ler Problembehebung, sondern auch generell zu innovativen Lösungen und zu rascheren Fortschritten führt. Insgesamt bieten Open- Source-Systeme eine attraktive Al- ternative zu proprietärer Software, indem sie gleichermaßen mit den Aspekten Kostenefﬁzienz und Fle- xibilität punkten. Daher werden sie von einer wachsenden Anzahl von Benutzern, Organisationen und Regierungen weltweit genutzt. Die Möglichkeit, den oft kostenlos ver- fügbaren Quellcode zu modiﬁzieren, erweitert die Flexibilität und erlaubt es Organisationen und Entwicklern, die Software an ihre speziﬁschen Anforderungen anzupassen. Da Open-Source-Software nicht an ei- nen einzelnen Anbieter gebunden ist, ermöglichen sie digitale Sou- veränität: Unternehmen können ihre Authentiﬁzierungslösung nach ihren eigenen Bedürfnissen gestalten und potenziell endlos weiterent- wickeln. Alles hat ein Ende, nur Open Source nicht Der Begriff „End of life“ (EoL) löst bei vielen Nutzern Bauch- schmerzen aus und treibt besonders größeren Unternehmen Schweiß- perlen auf die Stirn. EoL beschreibt den Zeitpunkt, ab dem der Hersteller den Support und die Wartung für eine bestimmte Version oder ein Produkt einstellt. Das bedeutet, dass keine weiteren Updates, Sicherheits- patches oder Fehlerbehebungen mehr bereitgestellt werden und das Produkt langfristig unbrauchbar wird. Anwender müssen sich dann nach Alternativen umsehen, was bei großen Konzernen und öffentlichen Einrichtungen einen immensen Kraftakt der Suche, der Umstellung der Systeme und Schulungen der Nutzer bedeutet. 6 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Identity- und Access-Management, Juni 2024

Doch bei einer Open-Source- Lösung gibt es durch den offenen Quellcode streng genommen kein EoL. Selbst wenn ein Projekt ein- gestellt wird, können andere Ent- wickler die Arbeit fortsetzen und die Software weiterhin unterstützen. Ein konkretes Beispiel hierfür liefert das Klinikum Hanau, bei dem ein solcher Fall eintrat. Die eingesetzte Software ging EoL und die Entwick- ler hatten durch den geschützten Quellcode keine Möglichkeit, die Software weiter zu betreiben. Das führte dazu, dass sich die Klinik nach anderen Lösungen umsehen musste – und im Open-Source-Bereich mit privacyIDEA fündig wurde. Neue Maßstäbe für Flexibilität, Sicherheit privacyIDEA: und Kontrolle privacyIDEA ist ein Open Source basiertes Mehr-Faktor-Au- thentifizierungssystem, das von der NetKnights GmbH auf Github entwickelt und gepﬂegt wird. Es ist 2014 entstanden und folgt dem Ziel, eine unabhängige und dauerhafte MFA-Lösung zu bieten, die frei von kommerziellen Interessen ist. Be- sonders wichtig ist es der NetKnights GmbH dabei, dass Organisationen und Unternehmen die Kontrolle und Wahlfreiheit haben. privacy- IDEA ermöglicht es Administrato- ren, Authentiﬁzierungsprozesse zu deﬁnieren, zu automatisieren und den Lebenszyklus von Authentiﬁ- zierungsobjekten (Token) zu kont- rollieren. So zeichnet sich privacyIDEA insbesondere durch seine Flexibilität aus und kann in verschiedenste IT- Umgebungen integriert werden. Es unterstützt eine Vielzahl von Token- Typen und erlaubt es Benutzern, mehrere Token gleichzeitig zu ver- wenden. Neue Token-Typen können kontinuierlich hinzugefügt werden. Die Software bietet Schnittstellen für zahlreiche Anwendungen und Authentifizierungsprotokolle wie gemeinsam Software besser zu ma- chen – machte schließlich auch die Migration von 1500 Benutzerkonten zu einem Gemeinschaftsprojekt der NetKnights GmbH und des Essener Systemhauses. In nur wenigen Tagen waren Lösungen gefunden, getestet und die verlustfreie Migration abge- schlossen. Mit der Erweiterung beste- hender Logins und Verbindungen um einen zweiten Faktor, unterstützt privacyIDEA eine Vielzahl von Au- thentiﬁzierungsmethoden und kann auf verschiedene Nutzerkonten- Quellen zugreifen, was es für viele Einrichtungen mit unterschiedlichs- ten Anforderungen zu einer attrakti- ven Lösung macht. Ein Ausblick auf die Zukunft Mit der bevorstehenden Ver- öffentlichung von Version 3.10 wird privacyIDEA seine Funktionalität weiter verbessern und neue Features einführen. Durch die ständige Wei- terentwicklung von privacyIDEA bleibt die NetKnights GmbH auch in Zukunft ein verlässlicher Partner für sichere Mehr-Faktor-Authentiﬁ- zierungslösungen. n Windows, Linux, Keycloak, Shibbo- leth oder FreeRADIUS. privacyIDEA verfolgt die technische Vision, das Leben von Administratoren zu erleichtern und mühsame Aufgaben zu automati- sieren, während das System offen, ﬂexibel und transparent bleibt. Eine wettbewerbs- fähige Alternative privacyIDEA wird bereits erfolgreich in verschiedenen Bran- chen eingesetzt, darunter in Kran- kenhäusern, Bildungseinrichtungen und im öffentlichen Sektor. Allein durch die Vielzahl an angebundenen Dienstleistern und Mitarbeitern in diesen Bereichen ist eine gewisse Offenheit der Systeme essenziell für den Betrieb. So kommt die Plattform privacyIDEA auch bei der Stadt Essen zum Einsatz. Im Jahr 2016 fusionier- te der kommunale IT-Dienstleister, das Essener Systemhaus, mit einem anderen Dienstleister. Das stellte die beiden Organisationen vor die Frage, wie man Zwei-Faktor- Authentiﬁzierungssysteme (2FA) in einer zentralen Lösung zusammen- führt. Beide Unternehmen nutzten zuvor das linuxbasierte 2FA-System LinOTP und stießen bei der Suche nach einer Lösung (beziehungsweise Ablösung) schnell auf die ebenfalls quelloffene Software privacyIDEA, das als abgespaltene Weiterent- wicklung von LinOTP entstanden war. Das Ziel war dabei, den vollen Funktionsumfang der 2FA-Lösung zu erhalten, dabei aber die Archi- tektur zu modernisieren und das Benutzerinterface übersichtlicher zu gestalten. User proﬁtieren zu- dem von zusätzlichen Features wie beispielsweise Single-Sign-on-(SSO)- Plugins, einem Privilege-Access- Management-(PAM)-Modul und dem Support der Netknights GmbH. Diese Faktoren führten dazu, dass sich das Essener Systemhaus ent- schied, auf privacyIDEA zu wechseln. Der Antrieb, der der Open-Source- Community innewohnt – nämlich t n e m e g a n a M - s s e c c A d n u - y t i t n e d I l a i c e p S © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Identity- und Access-Management, Juni 2024 7

Verlagsbeilage Sofortige Entlastung der IT dank No-Code-IAM von tenfold IAM für den Mittelstand Die Implementierung einer Identity- und Access-Management-Lösung würde für viele Un- ternehmen nicht nur eine Verbesserung der IT-Sicherheitslage bedeuten, sondern auch die IT selbst entlasten. Doch wie kann ein solches Vorhaben mit einer ohnehin überlasteten und chronisch unterbesetzten IT bei laufendem Betrieb umgesetzt werden? Vor dieser Herausfor- derung stehen etliche Mittelstandsbetriebe. Doch es gibt eine Lösung, die sich schnell und ohne viel Programmieraufwand implementieren lässt: tenfold IAM. Von Helmut Semmelmayer, tenfold Die Aufgaben von IT-Fach- kräften in Unternehmen sind um- fangreich und vielfältig: Neben der Aufrechterhaltung des laufenden Betriebs, inklusive aller Patches, Up- dates und Backups, der Einrichtung von Firewalls und Antivirensoftware sowie dem On- und Offboarden von Mitarbeitenden, müssen sie auch Incident-Response-Pläne für Datenvorfälle erstellen. Gleichzeitig sollen sie die immer strenger und komplexer werdenden Compliance- Richtlinien, wie unter anderem NIS- 2, die im Oktober 2024 in Kraft tritt, im Auge behalten und gegebenen- falls Maßnahmen ergreifen, um diese zu erfüllen. Dabei ist eine einzige IT-Fachkraft durchschnittlich für die Betreuung von circa 27 Benutzern plus deren Geräte wie Laptops und Smartphones zuständig. Bei 149 000 offenen Stellen im IT-Bereich al- lein in Deutschland ist es also kein Wunder, dass diese Berufsgruppe überlastet ist. Eine IAM-Lösung soll her – doch wie umsetzen? Eine Identity-Access-Ma- nagement-(IAM)-Lösung würde hier viele IT-Abteilungen durch die Automatisierung und Optimierung von Prozessen enorm entlasten und zudem dabei helfen, den Überblick über Berechtigungen und Konten zu behalten, was bei einer manuellen Verwaltung meist nicht oder nur schlecht gelingt. tenfold-Funkti- onen im Überblick (Bild: tenfold) Das Problem: Die meisten IAM-Lösungen auf dem Markt sind auf große Konzerne mit komplexen Strukturen zugeschnitten. Allein die Planung eines solchen Projektes kann Jahre in Anspruch nehmen. Hinzu kommt die aufwendige Pro- grammierarbeit bei der Umsetzung, denn für jeden Service und jede An- wendung, die angebunden werden soll, muss eine eigene Schnittstelle programmiert und implementiert werden. No-Code-IAM-Lösung von tenfold schafft Abhilfe Mit der IAM-Software tenfold können auch Mittelstandsbetriebe innerhalb weniger Wochen und mit geringem Personalaufwand von einer vollwertigen IAM-Lösung proﬁtieren – ganz ohne aufwendi- ges Programmieren und jahrelange Planungsarbeit. Dank der benutzer- freundlichen Oberﬂäche und dem Einsatz von graﬁschen Editoren kön- nen alle Funktionen, Schnittstellen und Workﬂows einfach konﬁguriert werden. Vorgefertigte Plugins bie- ten eine komplette Integration mit sämtlichen Microsoft-365-Diensten wie Teams, OneDrive, Sharepoint und Exchange sowie vielen weiteren Systemen und Anwendungen. Die Möglichkeit, Funktionen über Code- Snippets zu erweitern, besteht weiter- hin. IAM war noch nie so einfach! n 8 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Identity- und Access-Management, Juni 2024

Verlagsbeilage Daten- und Systemsicherheit maximieren: Wie Unternehmen IAM efﬁzient einsetzen können Über Joiner, Mover, Leaver und Lösungen für eine sichere Berechtigungsvergabe Es ist für Unternehmen unumgänglich geworden: Identity- und Access-Management befasst sich mit der Verwaltung und Kontrolle von Benutzeridentitäten, Zugriffsrechten sowie Berech- tigungen in IT-Systemen und der Cloud. Welche Rolle spielt IAM für die Sicherheit von Daten und Systemen? Und welchen Einfluss hat es auf die Konzepte der Joiner, Mover und Leaver? Unser Beitrag beschreibt, wie Identitätsmanagement dazu beitragen kann, die Sicherheit und Effizienz im Unternehmen zu erhöhen. Von Svenja Winkler, BAYOOSOFT GmbH Die Identitäten von Mitarbei- tenden und deren Zugriffsrechte im Unternehmen zu verwalten, ist Aufga- be des Identity- und Access-Manage- ments (IAM). Dabei gehört IAM zu den wichtigsten Voraussetzungen, um Daten-Compliance zu gewährleisten. Denn: Grundsätzlich wird jede Person innerhalb eines Unternehmens mit einer digitalen Identität verknüpft. So wird nachvollziehbar, welche Per- son in welchem Zeitraum auf Daten, Ordner und Systeme Zugriff hat. Dem- nach geht es also um ein System, das auf Rollen und Regeln basiert. Das zu verwalten und dau- erhaft aktuell zu dokumentieren, gestaltet sich allerdings oftmals herausfordernd – Tendenz mit wach- sender Unternehmensgröße steigend. Dass Mitarbeitende neu in ein Unternehmen eintreten, die Abtei- lung wechseln oder kündigen, ist in den meisten Fällen alltäglich. Wäh- rend diese Veränderungen für Einzel- personen oft tiefgreifend sind, haben sie gleichzeitig auch erhebliche Aus- wirkungen auf die IT-Administration. Durch den Einsatz von IAM- Lösungen können Unternehmen ihre Sicherheit erhöhen und potenzielle Risiken minimieren. Denn es wird sichergestellt, dass sensible Unter- nehmensdaten geschützt werden und nur durch autorisierte Perso- nen abrufbar sind. Ein wirksames Identitätsmanagement ermöglicht es Unternehmen auch, schnell auf strukturelle Änderungen zu reagieren, sei es durch Neueinstellungen, interne Verschiebungen oder Unternehmens- austritten. Man spricht hier auch von Joinern, Movern und Leavern. Was unterscheidet das Identity-Management von Access-Management? Identity-Management und Access-Management sind zwei Kon- zepte, die eng miteinander verbunden sind, jedoch teilweise unterschiedli- che Funktionen erfüllen. Sie sind un- verzichtbare Aspekte der IT-Sicherheit einer Organisation und arbeiten zusammen, um den sicheren Zugriff und die efﬁziente Verwaltung von Benutzeridentitäten und Ressourcen zu gewährleisten. Identity-Management bezieht sich auf den Prozess der Verwaltung und Kontrolle von Benutzeridenti- täten in einem Unternehmen oder einer Organisation. Es beinhaltet die Erfassung und Verwaltung von Benut- zerdaten wie Namen, Rollen, Berech- tigungen, Passwörtern und anderen Zugriffsrechten. Das Hauptziel des Identity-Managements besteht darin, den Lebenszyklus der mitarbeitenden Person im Unternehmen darzustellen und zu betreuen. Access-Management hinge- gen konzentriert sich auf die Steue- rung und Verwaltung des Zugriffs auf bestimmte Ressourcen oder Dienste. Es ist für die Umsetzung von Sicherheits- richtlinien und die Gewährleistung der Datensicherheit verantwortlich. Das Access-Management legt fest, wer Zugriff auf welche Ressourcen hat und unter welchen Bedingungen dieser Zugriff gewährt wird. Es ermöglicht auch die Überwachung und Proto- kollierung von Zugriffsaktivitäten, um potenzielle Bedrohungen oder Sicherheitsverletzungen zu erkennen. Joiner: neue Talente will- kommen heißen Ein wichtiger Aspekt des Iden- titätsmanagements in Unternehmen ist die Begrüßung neuer Mitarbeiten- der, auch als „Joiner“ bezeichnet. Bei der Einführung neuer Mitarbeitender müssen verschiedene Aspekte berück- 10 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Identity- und Access-Management, Juni 2024

sichtigt werden, um eine reibungslose Integration in die Unternehmensstrukturen und den Zugriff auf benötigte Ressourcen zu gewährleisten. Zu Beginn des Onboarding-Prozesses sollten die Identitäten der neuen Mitarbeitenden im IAM-System des Unternehmens erstellt werden. Hierbei werden alle relevanten Informationen wie Name, Rolle, Zugriffs- rechte und Kontaktdaten erfasst. Das ermöglicht es dem Unternehmen, die Identitäten zu verwalten und ihnen die erforderlichen Benutzerberechtigungen zuzuweisen. Ein weiterer wichtiger Schritt beim Begrüßen neuer Mitarbeitender ist die Authentiﬁzierung. Dies stellt sicher, dass die Identität des Mitarbeitenden veriﬁziert wird, um unbefugten Zugriff auf Unternehmensres- sourcen zu verhindern. Durch die Verwendung sicherer Authentiﬁzierungsmethoden wie Passwörter, Zwei-Faktor- Authentiﬁzierung oder biometrische Verfahren, kann das Unternehmen die Sicherheit der Identitäten gewährleis- ten und das Risiko von Datenverlust oder unbefugtem Zugriff minimieren. Im Rahmen des Identitätsmanagements ist es auch wichtig, neuen Mitarbeitenden den Zugang zu den digitalen Systemen und Services des Unternehmens zu ermöglichen. Das kann die Bereitstellung von Zugriff auf E-Mail-Konten, interne Netzwerke, speziﬁsche Software oder Cloud-Dienste umfassen. Durch die Bereitstellung des korrekten Zugriffs auf diese Ressourcen können die neuen Mitarbeitenden efﬁzient arbeiten und ihre Aufga- ben erfolgreich erfüllen. Mover: Die interne Mobilität fördern Veränderungen sind ein alltäglicher Bestandteil des Arbeitslebens in Unternehmen. Ein wichtiger Aspekt beim Umgang mit Movern liegt in der Aktualisierung der Identitätsinformationen. Sobald Mitarbeitende ihre Position verändern, müssen ihre Benutzerdaten entspre- chend angepasst werden. Das beinhaltet nicht nur die Aktualisierung von Informationen wie Name, E-Mail- Adresse oder Abteilung, sondern auch die Anpassung von Zugriffsrechten und Berechtigungen. Denn diese müssen stets der aktuellen Position im Unternehmen angemessen sein, sodass bei einem internen Wechsel alte, überﬂüssige Berechtigungen entfernt werden. Leaver: Den Abschied respektieren Im Bereich des Identitätsmanagements spielt die Verwaltung von Abgängen, also von Leavern, eine zentrale Rolle. Wenn Mitarbeitende ein Unternehmen verlassen, müssen ihre Identitäten im System entsprechend an- gepasst oder deaktiviert werden, um die Sicherheit der Unternehmensdaten zu gewährleisten. Das IAM ist dafür verantwortlich, den Zugriff und die Berechtigungen von Benutzenden zu kontrollieren und zu verwalten. Im Falle eines Leavers ist es wichtig, dass seine Identität in allen Systemen und Services des Unternehmens deaktiviert wird, um unautorisierten Zugriff auf sensible Daten zu verhindern. Die ordnungsgemäße Verwaltung von Abgängen gewährleistet nicht nur die Sicherheit der Unternehmens- daten, sondern trägt auch zur allgemeinen Efﬁzienz und Produktivität des Unternehmens bei. Durch eine gezielte Kontrolle und Anpassung von Identitäten werden unnö- tige Zugriffsrechte vermieden und Ressourcen optimal genutzt. Darüber hinaus kann das Identitätsmanagement bei der Erfüllung gesetzlicher und regulatorischer Anfor- derungen unterstützen. Compliance, Monitoring und Reporting Die efﬁziente Verwaltung von Identitäten er- möglicht es Unternehmen, den Zugriff auf Ressourcen zu optimieren, die Sicherheit zu gewährleisten und Compli- ance-Anforderungen zu erfüllen. Identitätsmanagement ist daher nicht nur eine IT-Herausforderung, sondern auch ein Schlüsselfaktor für den Erfolg und die Sicherheit. Unternehmen sollten sicherstellen, dass ihre Identitäts- managementprozesse gut durchdacht und effektiv sind. Hier kommen IAM-Softwarelösungen wie der BAYOOSOFT Access Manager ins Spiel. Die Lösung un- terstützt dabei, Identitäts- und Berechtigungsvergaben zu automatisieren und gewährleistet des Weiteren durch Monitoring und Reporting einen umfassenden Überblick über aktuelle Situationen. Die automatisierte und sichere Self-Service-Lösung Um Mitarbeitenden und Kunden eine echte Identity- und Access-Journey zu ermöglichen, bietet BAYOOSOFT mit dem Access Manager eine vollständig automatisierte Lösung rund um Fileserver, SharePoint, Active Directory und Drittsysteme. Der BAYOOSOFT Access Manager vereinfacht die Verwaltung von Berechtigungen und Identitäten. Gleichzeitig unterstützt er Unternehmen bei der Versor- gung mit IT-Diensten wie Mailboxen, Software-Verteilung oder Telefonie. Nicht nur einzelne Tasks, sondern ganze Prozessketten werden somit optimiert, wodurch der Res- sourceneinsatz und die Fehlerquoten weit geringer als bei einer manuellen Abarbeitung ausfallen. n © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Identity- und Access-Management, Juni 2024 11 t n e m e g a n a M - s s e c c A d n u - y t i t n e d I l a i c e p S

+ SPECIAL Die perfekte Kombination für CISO & Co ✓ Verlagsbeilage mit wechselnden Mitherausgebern ✓ auf ein Thema fokussierte Beiträge der Mitherausgeber ✓ Printausgabe liegt <kes> bei ✓ digitales eMagazine kostenfrei verfügbar weitere Specials hier kostenfrei downloaden: www.kes-informationssicherheit.de/print/ ✓ führende Fachzeitschrift in der IT-Sicherheit ✓ hohes technisches Niveau und redaktionell unabhängig ✓ offizielles Organ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ✓ nur im Abonnement erhältlich unter: datakontext.com/kes <kes> genauer kennenlernen? Registrieren Sie sich jetzt für Ihren Testzugang: www.kes-informationssicherheit.de/ benutzerbereich/registrierung/ LESEPROBE <kes> AUF DEN FOLGESEITEN

Systeme und ihr Umfeld Kubernetes-Security Best Practices für Kubernetes in DevOps Es soll schnell gehen heutzutage – und das geht es auch. Damit „schnell“ aber trotzdem „sicher“ bleibt, ist strategisch wie operativ einige Vorarbeit notwendig. Dieser Artikel erklärt, worauf für eine sichere und efﬁziente Nutzung von Kubernetes in einem DevOps-Umfeld zu achten ist. Von Stephen Chin, Belmont (US/CA) Die zunehmende Komple- xität von IT-Infrastrukturen und die Verbreitung von dezentralen Diensten verlangen von Entwickler- teams, dass sie effektive Steuerungs- mechanismen implementieren und gleichzeitig eine hohe Verfügbarkeit und Sicherheit gewährleisten. Das gilt umso mehr im schnelllebigen Umfeld von Container-Anwen- dungen und deren Administration. Die vorliegenden Empfehlungen zur Verwaltung der technischen Contai- ner-Infrastruktur (Orchestrierung) mittels des Open-Source-Systems Kubernetes in DevOps-Umgebungen adressieren diese Notwendigkeiten, indem sie gleichzeitig auf die Opti- mierung des Verhältnisses zwischen Pod und Node, den Schutz der Steu- erungsebene, die Anwendungsver- fügbarkeit, die Skalierungsplanung und die umfassende Sicherheit der Umgebung konzentrieren. Der Schlüssel zur Nutzung von Kubernetes liegt darin, verschie- dene Typen von Knoten (englisch: Nodes) basierend auf den Workload- Anforderungen zu verwenden – bei- spielsweise zur CPU- oder Speicher- optimierung. Durch die korrekte Anpassung der Container an das Ver- hältnis zwischen CPU und Speicher der Knoten können Organisationen ihre Ressourcennutzung optimieren. Die richtige Anzahl von Pods (ein oder mehrere Software- Container, die garantiert gemeinsam auf demselben Knoten laufen) pro Node zu ﬁnden, ist allerdings ein Balanceakt, der die unterschied- lichen Konsummuster der einzelnen Anwendungen oder Services be- rücksichtigen muss. Die Verteilung der Last auf die Knoten mithilfe von Techniken wie Pod-Topology- Spread-Constraints [1] oder Pod- Anti-Afﬁnity [2] trägt zur Optimie- rung der Ressourcennutzung und zur Anpassung an die sich ändernde Intensität der Workloads bei. Schutz der Kubernetes- Steuerungsebene Die Überwachung der Ku- bernetes-Steuerungsebene ist von entscheidender Bedeutung – gerade bei verwalteten Kubernetes-Services. Auch wenn Cloud-Anbieter eine solide Kontrolle und Stabilität bie- ten, muss man sich ihrer Grenzen bewusst sein. Eine langsame Steue- rungsebene kann das Verhalten des Clusters – einschließlich Planung, Upgrades und Skalierungsvorgängen – erheblich beeinträchtigen. Selbst bei verwalteten Ser- vices gibt es Grenzen zu beachten: Eine übermäßige Nutzung der ver- walteten Steuerungsebene kann zu katastrophalen Abstürzen führen. Es ist unerlässlich, immer daran zu denken, dass die Steuerungsebene überlastet werden kann, wenn man sie nicht ordnungsgemäß überwacht und verwaltet. Optimierung der Anwendungsverfügbarkeit Die Priorisierung kritischer Services optimiert die Betriebszeit von Anwendungen. Pod-Prioritäten und Servicequalität identifizieren Anwendungen mit hoher Priorität, die ständig laufen müssen – die Kenntnis der Prioritätsstufen ermög- licht die Optimierung von Stabilität und Leistung. Gleichzeitig verhindert die Pod-Anti-Afﬁnity [2], dass mehrere Replikate desselben Services auf dem- selben Knoten bereitgestellt werden. Dadurch lässt sich ein Single Point of Failure (SPoF) vermeiden, das heißt: Wenn auf einem Knoten Probleme auftreten, sind die anderen Replika- tionen nicht betroffen. Außerdem ist es vorteilhaft, für geschäftskritische Anwendungen spezielle Knoten- pools einzurichten. Beispielsweise kann ein separater Knotenpool für Ingress-Pods und andere wichtige Services wie Prometheus die Stabili- tät des Dienstes und die User-Expe- rience erheblich verbessern. Planen der Skalierung Unternehmen müssen heute darauf vorbereitet sein, umfang- reiche Softwareverteilungen zu bewältigen und das erforderliche Kapazitätswachstum ohne negative Auswirkungen bereitzustellen – und das idealerweise ohne die beste- henden Systeme zum Wachsen zu 72 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2024#3

zwingen. Die automatische Skalierung von Clustern in verwalteten Services kann dabei helfen; dabei ist es aber wichtig, die Grenzen der Clustergröße zu kennen: Ein typischer Cluster kann etwa 100 Knoten umfassen. Sobald diese Grenze erreicht ist, sollte ein weiterer Cluster einge- richtet werden, anstatt den bestehenden zum Wachstum zu zwingen. Sowohl die vertikale als auch die horizontale An- wendungsskalierung sind zu berücksichtigen. Der Schlüs- sel liegt darin, das richtige Gleichgewicht zu ﬁnden, um die Ressourcen besser nutzen zu können, ohne sie übermäßig zu beanspruchen. Eine horizontale Skalierung und die Replikation oder Duplizierung von Workloads werden im Allgemeinen bevorzugt, allerdings mit dem Vorbehalt, dass dies Auswirkungen auf Datenbankverbindungen und Speicherplatz haben könnte. Vorbereitung auf Ausfälle Eine Planung für Ausfälle ist in verschiedenen Bereichen der Anwendungsinfrastruktur inzwischen gang und gäbe. Um sicherzugehen, dass man vorbereitet ist, sollte man Playbooks entwickeln, die unterschiedliche Ausfallszenarien abdecken – einschließlich Anwendungs-, Knoten- und Cluster-Ausfällen. Die Implementierung von Strategien wie hochverfügbare Anwendungs-Pods und Pod-Anti-Afﬁnity trägt dazu bei, eine Abdeckung auch bei Ausfällen zu gewährleisten. Jedes Unternehmen benötigt einen detaillierten Disaster-Recovery-Plan für Cluster-Ausfälle und sollte diesen regelmäßig testen! Bei der Wiederherstellung hilft eine kontrollierte und schrittweise Bereitstellung, um eine Überlastung der Ressourcen zu vermeiden. Absicherung der Software-Lieferkette Software-Lieferketten sind durchgehend anfällig für Fehler und missbräuchliche Verwendung (siehe auch [4]). Es ist daher unbedingt notwendig, jeden Schritt der Pipeline zu kontrollieren und sich nicht auf externe Tools und Anbieter zu verlassen, ohne deren Vertrauenswürdig- keit sorgfältig geprüft zu haben. Zur Kontrolle externer Quellen gehören Maßnah- men wie das Scannen von Binärdateien, die aus Remote- Repositorys stammen, sowie deren Validierung mithilfe von Software-Composition-Analysis (SCA, vgl. [5]). Teams sollten außerdem Qualitäts- und Sicherheitskontrollen in der gesamten Pipeline durchführen, um eine höhere Qua- lität der gelieferten Software und mehr Vertrauen sowohl seitens der Benutzer als auch innerhalb der Pipeline selbst zu gewährleisten. Laufzeitsicherheit Der Einsatz von Admission-Controllern zur Durchsetzung von Regeln (z. B. das Blockieren der Nut- zung gesperrter Versionen) trägt zur Laufzeitsicherheit bei. Tools wie OPA Gatekeeper (https://github.com/open- policy-agent/gatekeeper) helfen bei der Durchsetzung von Richtlinien, die beispielsweise nur überprüfte Container- Registries für die Bereitstellung zulassen. Rollenbasierte Zugriffskontrollen sind ebenfalls empfehlenswert, um den Zugang zu Kubernetes-Clustern abzusichern. Andere Lösungen für die Laufzeitsicherheit wiederum können Risiken in Echtzeit erkennen und behe- ben. Die Isolation von Namespaces sowie Netzwerkricht- linien helfen dabei, laterale Bewegungen zu blockieren und Workloads innerhalb von Namespaces zu schützen. Man sollte zudem erwägen, kritische Anwendungen auf isolierten Knoten auszuführen, um das Risiko von Container-Escape-Szenarien zu minimieren. Absicherung der ganzen Umgebung Wer seine Umgebung sichern will, muss davon ausgehen, dass das Netz ständig angegriffen wird. Um verdächtige Aktivitäten in den Clustern und der Infra- struktur zu erkennen, sind Überwachungstools ebenso wie Maßnahmen zur Laufzeitsicherheit mit voller Transparenz und Workload-Kontrollen empfehlenswert. KI – Fluch und Segen KI-gesteuerte Lösungen versprechen vielfältige Perspektiven für die Zukunft, da sie dazu beitragen, die betriebliche Komplexität zu verringern und Aufgaben im Zusammenhang mit Environment-Management, Software-Bereitstellungen und Fehlerbehebung zu auto- matisieren. Dennoch bleibt menschliches Urteilsvermö- gen unersetzlich und sollte immer berücksichtigt werden. Gegenwärtige KI-Systeme stützen sich häuﬁg auf öffentlich zugängliche Informationsquellen, die ungenau, veraltet oder irrelevant sein können – und somit zu feh- lerhaften Schlüssen oder Empfehlungen führen können. In dieser Dualität von Chance und Herausforde- rung liegt die Notwendigkeit eines klugen Einsatzes von KI: Ein ausgeprägtes Bewusstsein für ihre Grenzen und eine kritische Überprüfung ihrer Ausgaben durch menschliche Expertise sind entscheidend, um die Vorteile der Techno- logie sicher und effektiv zu nutzen. © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2024#3 73

Systeme und ihr Umfeld Kubernetes-Security Best-of-Breed-Tools sind hilfreich, aber ein starkes Incident-Response-Team mit einem klaren Playbook für Warnmeldungen oder verdächtige Aktivitäten ist uner- lässlich! Ähnlich wie bei einem Disaster-Recovery sind auch hier regelmäßige Tests und Maßnahmen erforder- lich. Viele Unternehmen setzen überdies Bug-Bounty- Programme oder externe Forscher/Pentester ein, die versuchen, Systeme zum Aufdecken von Schwachstellen zu kompromittieren – die externe Perspektive und die objektive Untersuchung können dabei wertvolle Erkennt- nisse liefern. Kontinuierliches Lernen Bei der Weiterentwicklung von Systemen und Prozessen ist kontinuierliches Lernen von entscheidender Bedeutung. Das schließt die Erfassung historischer Per- formance-Daten ein, um Maßnahmen zu bewerten und anzuwenden. Kleine, kontinuierliche Verbesserungen sind üblich – was in der Vergangenheit relevant war, ist es heute möglicherweise nicht mehr. Die proaktive Überwachung von Performance- Daten kann helfen, Speicher- oder CPU-Lecks in Services oder Performance-Probleme in einem Drittanbieter-Tool zu erkennen. Durch die aktive Auswertung von Daten auf Trends und Anomalien lassen sich das Verständnis und die Performance eines Systems verbessern. Eine derartige Literatur [1] Kubernetes, Pod Topology Spread Constraints, Doku- mentation, März 2024, https://kubernetes.io/docs/con- cepts/scheduling-eviction/topology-spread-constraints/ [2] Kubernetes, Afﬁnity and Anti-Afﬁnity, in: Assigning Pods to Nodes, Dokumentation, April 2024, https:// kubernetes.io/docs/concepts/scheduling-eviction/assign- pod-node/#afﬁnity-and-anti-afﬁnity [3] Michael Cade, Der Siegeszug agiler Containerisierung, Vorteile von DevOps, Cloud, Kubernetes und IaC – und eine Mahnung zur modernen Datensicherung, <kes> 2021#4, S. 59 [4] Udo Schneider, Der lange dunkle Weg ins Licht, Inte- grität digitaler Artefakte in der Lieferkette, <kes> 2023#4, S. 46 [5] Evren Eren, DevSecOps (2), Aspekte und Hinweise zur Umsetzung, <kes> 2022#1, S. 20 proaktive Überwachung und Analyse führt zu effektiveren Ergebnissen als das Reagieren auf Echtzeitwarnungen. Der Mensch ist das schwächste Glied Automatisierung minimiert, wo immer möglich, die menschliche Beteiligung und manchmal ist das auch gut so – wenn es um Sicherheit geht, ist der Mensch das schwächste Glied. Man sollte deswegen die verschiedenen verfügbaren Automatisierungsmöglichkeiten erkunden, um die beste Lösung für die eigenen speziﬁschen Prozesse und Deﬁnitionen zu ﬁnden. GitOps ist – als Alternative zum Continuous- Delivery-(CD)-Ansatz – mittlerweile beliebt, um Ände- rungen von der Entwicklung in die Produktion zu über- tragen und bietet geläuﬁge Verträge und ein Interface für die Verwaltung von Konﬁgurationsänderungen. Eine ähnliche Methode verwenden mehrere Repositories für verschiedene Arten von Konﬁgurationen. Dabei ist es aber wichtig, eine klare Trennung zwischen Entwicklungs-, Sta- ging- und Produktionsumgebungen beizubehalten – auch wenn sie einander ähneln sollten. Fazit und Ausblick Die hier vorgestellten Best Practices – von der präzisen Abstimmung zwischen Pods und Nodes bis hin zur Etablierung kontinuierlicher Lernprozesse – unter- streichen die Notwendigkeit wohlüberlegter Strategien und tiefgehender Kenntnisse in der Feinjustierung von Konﬁgurationen. Die Zukunft von DevOps erfordert darüber hinaus eine fortschrittliche Anpassungsfähigkeit an die sich ra- sant entwickelnden Technologien und Anforderungen. Es ist zu erwarten, dass die Bedeutung von menschlichem Fachwissen und strategischer Planung zunehmen wird, um mit der steigenden Komplexität von Infrastrukturen und neuen Herausforderungen Schritt halten zu können. Besonders in kritischen Bereichen wie der Sicherheit, Systemüberwachung und Katastrophenwiederherstellung bleibt die menschliche Expertise unersetzlich (vgl. Kasten auf S. 73). ■ 74 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2024#3 Stephen Chin ist Vice President of Developer Relations bei JFrog.