Ein besonders typisches Beispiel für eine sogenannte Application Security Gap (ASG) lieferte im April der Cyberangriff auf das britische Unternehmen Marks & Spencer. Der Mode- und Lebensmittelkonzern musste sein Onlinegeschäft mehrere Monate einstellen – mit geschätzten Umsatzeinbußen von rund 300 Millionen Pfund und einem Kursrückgang an der Londoner Börse von etwa drei Prozent. Hinzu kamen gestohlene Kundendaten und ein erheblicher Reputationsschaden.

Ausgelöst wurde der Angriff über manipulierte Login-Zugangsdaten bei einem externen Helpdesk-Dienstleister – ein klassisches Beispiel für die Application Security Gap, also eine Lücke in der Anwendungssicherheit, die durch unklare Verantwortlichkeiten oder fehlende Schutzmaßnahmen entsteht.

Zwar verfügen moderne Cloudplattformen über robuste Sicherheitsmechanismen, doch Angreifer kennen diese ebenso gut. Sie nutzen gezielt Fehlkonfigurationen, unsichere APIs oder unklare Verantwortlichkeiten aus. Unternehmen sollten deshalb nicht allein auf die Standard-Sicherheitsfunktionen ihrer Cloudanbieter vertrauen, sondern eigene Schutzmaßnahmen aktiv einbinden und kontinuierlich überwachen.

Was ist die Application Security Gap – und woher kommt sie?

Die Application Security Gap ist tückisch, weil sie genau dort entsteht, wo Sicherheitsverantwortlichkeiten unklar sind – und weil sie sich weder durch klassische Firewalls noch durch Intrusion-Detection-Systeme zuverlässig erkennen lässt. In der Fachwelt beschreibt der Begriff die wachsende Lücke zwischen Infrastruktur- und Anwendungsebene, in der Sicherheitsaufgaben oft ungeklärt bleiben.

Viele IT-Verantwortliche verlassen sich auf die zertifizierte Infrastruktur ihrer Cloudanbieter und übersehen dabei, dass Applikationssicherheit in den meisten Service-Level-Vereinbarungen gar nicht enthalten ist. So entsteht ein gefährlicher Graubereich – die Application Security Gap. Und da fast jedes Unternehmen heute cloudbasierte Anwendungen nutzt, ist potenziell auch fast jedes betroffen.

Applikationen und Clouddienste sind aus mehreren Gründen attraktive Ziele für Angreifer:

• Sie sind direkt über das Internet erreichbar.
• Sie nutzen Technologien, mit denen auch Angreifer bestens vertraut sind.
• Sie enthalten häufig sensible Kunden- oder Unternehmensdaten.

Eine gründliche Bestandsaufnahme der eingesetzten Anwendungen ist daher unverzichtbar. Entscheidend sind Fragen wie: Welche Bedrohungslage betrifft meine Applikationen? Und: Sind die Sicherheitsfunktionen meiner Cloudplattform vollständig und korrekt konfiguriert?

Besonders kritisch wird es, wenn fehlendes Wissen über die ASG, geteilte Zuständigkeiten und unzureichende Sicherheitsmaßnahmen in der DevOps-Pipeline zusammentreffen. In modernen DevOps-Umgebungen wird Software kontinuierlich entwickelt, getestet und ausgerollt – oft ohne dass Sicherheit fest in den Prozess integriert ist. Das schafft erhebliche Risiken.

Am deutlichsten zeigt sich eine Application Security Gap durch fehlende Überwachung oder fehlerhafte Konfigurationen. Typische Beispiele sind:

• Brute-Force-Angriffe auf Login-Systeme bleiben unentdeckt.
• Multifaktor-Authentifizierung (MFA) ist für administrative Zugriffe nicht flächendeckend aktiviert.

Cloudtechnologie: unverzichtbar, aber nicht ohne Risiken

Cloudszenarien bieten in nahezu allen Branchen Vorteile: schlankere IT-Strukturen, Kosteneffizienz, Flexibilität, schnelle Skalierbarkeit und einen hohen Automatisierungsgrad. Gleichzeitig unterschätzen viele Unternehmen die Angriffsflächen, die sich daraus ergeben. Sicherheitsprobleme entstehen dabei selten in der Cloud selbst, sondern im Umgang mit ihr.

Die Shared-Responsibility-Modelle der großen Hyperscaler machen klar: Die Verantwortung für die Applikationssicherheit liegt vollständig beim Kunden. Nicht selten wirken Inhouse-Ansätze auf den ersten Blick sicherer, doch in puncto Aktualität, Security-Tools und Überwachungsmechanismen können sie meist nicht mit Cloudplattformen mithalten.

Die großen Anbieter stellen regelmäßig aktualisierte Sicherheitsfunktionen bereit, die ein hohes Schutzniveau ermöglichen – vorausgesetzt, sie werden aktiv genutzt. Genau hier liegt das Problem: Die Absicherung der eigenen Anwendungen erfordert Fachwissen, klare Prozesse und kontinuierliches Monitoring. Fehlen diese, entsteht zwangsläufig eine Application Security Gap.

Lösungsansätze: Vom Problem zur strukturierten Strategie

Welche konkreten Maßnahmen sollten Unternehmen also ergreifen, um die Application Security Gap zu schließen? Kurzfristigen Handlungsbedarf gibt es in nahezu jeder Organisation. Wichtig ist dabei, Prioritäten zu setzen: Nicht jede Schwachstelle lässt sich sofort beseitigen – aber gezielte Schritte schaffen schnell ein höheres Sicherheitsniveau.

Grundvoraussetzung ist ein klares Verständnis der Shared-Responsibility-Modelle. Cybersecurity funktioniert nur, wenn Verantwortlichkeiten eindeutig geregelt sind. Wer eine geschäftskritische Anwendung betreibt, muss wissen, wer für deren Schutz zuständig ist – erst auf dieser Basis lassen sich wirksame Sicherheitsmaßnahmen etablieren.

Sofortmaßnahmen

Jede Anwendung sollte zunächst einer umfassenden Sicherheitsanalyse unterzogen werden, um kritische Schwachstellen zu identifizieren. Dazu gehören Sicherheitsüberprüfungen und Bedrohungsanalysen, die aufzeigen, wo Angreifer ansetzen könnten.

Konkret empfehlen sich

• Security Reviews: Überprüfung, ob Best Practices der verwendeten Plattformen, Frameworks und Technologien korrekt umgesetzt sind – etwa MFA-Einstellungen in Cloudumgebungen, REST-API-Absicherung mit OAuth und CORS, Security Headers in Webfrontends oder K8S-Sicherheits-Scans mit Tools wie Kubescape.
• Threat Modelling: Mit Analysemethoden wie STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) und DREAD (Damage, Reproducibility, Exploitability, Affected Users, Discoverability) lassen sich Bedrohungen systematisch bewerten und priorisieren.

Kurz- und mittelfristige Maßnahmen

Die identifizierten Risiken sollten nach Priorität abgearbeitet werden. Besonders gefährliche Schwachstellen, die durch Code- oder Konfigurationsänderungen behoben werden können, verdienen oberste Aufmerksamkeit. Zusätzlich sollten Unternehmen gezielte Security Alerts einrichten, die verdächtige Aktivitäten oder Anomalien frühzeitig melden. Diese "Stolperdrähte" bilden die Grundlage für ein Security Information and Event Management (SIEM). Solche Systeme ermöglichen es, Angriffe schneller zu erkennen und Security Operations Schritt für Schritt aufzubauen.

Auf dieser Basis sollte eine dauerhafte Security-Operations-Struktur entstehen – technisch, organisatorisch und personell.

• Das Regelwerk zur Überwachung muss laufend aktualisiert werden, um auch neue Angriffsmuster zu erkennen.
• Die Automatisierung von Response-Prozessen befähigt Security-Teams, im Ernstfall schneller und gezielter zu reagieren.

Ein professionelles SIEM-/SOAR-System (Security Orchestration, Automation and Response) schafft die technische Grundlage für ein Security Operations Center (SOC). Ob intern aufgebaut oder extern betrieben – ein SOC ermöglicht die kontinuierliche Überwachung und Reaktion auf Sicherheitsvorfälle. Gerade für kleine und mittlere Unternehmen kann ein teilweises Outsourcing dieser Aufgaben wirtschaftlich sinnvoll sein, um ein hohes Sicherheitsniveau zu erreichen.

Fazit: Die Application Security Gap ist beherrschbar

Cloudbasierte Anwendungen gehören heute zu den wichtigsten, aber auch riskantesten Bestandteilen moderner IT-Infrastrukturen. Die unklare Verteilung von Zuständigkeiten zwischen Unternehmen und Cloudanbietern muss aktiv adressiert werden – durch klare Prozesse, technische Maßnahmen und einheitliche Sicherheitsstandards. Auch Mitarbeitende spielen eine zentrale Rolle: Themen wie Schatten-IT oder das unbedachte Teilen von Clouddokumenten erfordern kontinuierliche Sensibilisierung und klare Richtlinien.

Absolute Sicherheit gibt es in einer dynamischen IT-Landschaft nicht. Doch Unternehmen, die vorhandene Security-Tools gezielt nutzen, Verantwortlichkeiten klar definieren und eine konsistente Sicherheitsarchitektur aufbauen, schaffen eine stabile Ausgangslage. Letztlich gilt: IT-Sicherheit ist Teamarbeit – nur wenn Fachbereiche, IT und Management gemeinsam handeln, lassen sich Sicherheitslücken nachhaltig schließen.(ln)

Über den Autor: Andreas Mihm, Director Cloud Solution Architecture bei diva-e Conclusion, ist seit 25 Jahren im Aufbau digitaler Geschäftsmodelle tätig.