Container als Security-Tronjaner

Der Einsatz orchestrierter Softwarecontainer kann die Security-Governance unterlaufen.

Virtualisierte Instanzen und Softwarecontainer haben die IT-Systemadministration massiv vereinfacht.

Nach VMWare erlebt gerade das Containerformat Docker mit Kubernetes zur Administration und Orchestrierung eine enorme Beliebtheit: Da jeder Container für sich läuft, wird der Betrieb komplexer Full-Stack-Umgebungen enorm vereinfacht.

Komplexität – und Compliance kann aber nicht einfach vernichtet, sondern nur verschoben werden.

Wer den notwendigen Zeit- und Kompetenzaufwand für die Systempflege nicht vorhält und lediglich fremde Container auf Subskriptionsbasis nutzt, holt sich deshalb im Ergebnis Container als Trojaner ins Haus, die nicht nur ein unbekanntes Risiko darstellen, sondern auch Anforderungen der ISO 27001 und der GDPR unterlaufen können.

Grosse IT-Konzerne wie RedHat propagieren die Subskriptionsmöglichkeit fertiger Container als einfache Lösung, um die hausinterne IT-Komplexität zu reduzieren.

In Wahrheit ist es lediglich eine Verlagerung: Komplexität kann nämlich nie reduziert, sondern nur verschoben werden. Es ist bedauerlich, wenn solch’ flache Marketingargumente, ja eigentlich Fake-News, von einer renommierten Firma wie RedHat in offener Abgrenzung zu belastbaren und erwiesenen Unix-Konzepten und Protagonisten auf Entwicklerkonferenzen verbreitet werden.

Selbst wenn in diesen Fällen die IT komplett inhouse betrieben wird, dürfte die Nutzung von Containern in analoger Anwendung der DSGVO eine Auftragsverarbeitung vorliegen, sind also entsprechend Auftragsverarbeitungsverträge (Data Processing Agreements) zwingend erforderlich.

Auch Massnahmen nach der ISO 27001 und der IEC 62443 können durch solche Container unterlaufen werden, wären also bei mangelnder Absicherung (Lieferanteneinbindung, Weisungsrecht, Überprüfungsrecht) nicht auditierfähig.

Der Einsatz fremder containerbasierter Cloudservices und die Systemintegration solcher Dienste in der eigenen IT stellt somit nicht nur ein massives Sicherheitsrisiko dar, weil die Systempflege und Wartungsmöglichkeit massiv eingeschränkt ist, sondern steht auch einer sicheren IT-Governance diametral entgegen.

Cum grano salis wird bei dieser Vorgehensweise und in Bullshit-Bingo verpackt verpackt nur die Inkompetenz zur eigenen IT- und Software-Pflege kaschiert.

Ein seriöses und unvoreingenommenes IT-Audit kann hier Abhilfe schaffen. Sonst kann ein böses Erwachen drohen, wenn ein Container veraltet, missbräuchlich funktioniert, oder gar der Hersteller ausfällt. Ähnlich wie das nello one IoT-Türschloss, das nach Konkurs des Herstellers plötzlich Fremden die Tür öffnet.

Die Bequemlichkeit, die Container-Lösungen bieten, erhöht potenziell die IT-Inkompetenz von Unternehmen und wird durch grosse und renommierte Anbieter wie RedHat offenbar in Kauf genommen, um ihr Geschäft anzukurbeln. Dabei bleibt die eigene Autonomie und das Selbstmanagement auf der Strecke, es entstehen neue Abhängigkeiten und Sicherheitsrisiken durch unbeherrschbare Softwarepakete, die kein IT-Systemadministrator mehr in den Griff bekommen kann.