Das durchschnittliche große Unternehmen verfügt heute wahrscheinlich über fast 80.000 Anwendungen, die auf Copilot- und Low-Code-Plattformen erstellt werden. Dies stellt einen potenziellen Sicherheitsalptraum dar, da laut einer aktuellen Studie mehr als sechs von zehn Unternehmen, nämlich 62 %, Sicherheitslücken aufweisen.
Das Studie Die von Zenity veröffentlichte Studie ergab, dass die Nutzung dieser Tools im Enterprise Copilot- und Low-Code-Entwicklungs-Jahresvergleich um 40 % zunahm. Die Studie basiert auf befragten und gesammelten Daten großer Organisationen, die Implikationen gelten jedoch auch für kleine und mittlere Unternehmen. Heutzutage verfügen typische Unternehmenskunden in dieser Studie über durchschnittlich 79.602 Anwendungen, die auf Copilot- und Low-Code-Plattformen erstellt wurden. Im Vergleich dazu schätzen die Studienautoren, dass das durchschnittliche Großunternehmen über mindestens 473 SaaS-basierte Anwendungen verfügt.
Außerdem: Die Grenzen zwischen Bürgerentwicklern und IT-Experten verschwimmen zunehmend – ist das ein Problem?
Die Autoren der Studie definieren „Copilot“ als eine Reihe von No-Code- und Low-Code-Tools und -Plattformen, darunter Microsoft Copilot, Power Platform, Salesforce, ServiceNow, Zapier, OpenAI und mehr. Ihren Schätzungen zufolge sind in einer durchschnittlichen großen Organisation etwa sieben Copilot- und Low-Code-Plattformen im Einsatz.
Unter den 80.000 Anwendungen und Copiloten, die außerhalb des traditionellen Softwareentwicklungszyklus entwickelt wurden, gab es etwa 50.000 Schwachstellen, heißt es in der Studie. Als Hauptrisiko wird angeführt, dass „Geschäftsbenutzer die Möglichkeit haben, Anwendungen und Copiloten zu erstellen, ohne dass Programmierkenntnisse erforderlich sind und die entsprechenden Leitplanken nicht vorhanden sind“, stellen die Autoren der Studie fest. Zu den größten technischen Risiken, die auf Copilot- und Low-Code-Plattformen beobachtet werden, gehören Autorisierungsmissbrauch, Authentifizierungsfehler sowie der Umgang mit Daten und Geheimnissen, so die Studie.
„Bei der traditionellen Anwendungsentwicklung werden Anwendungen während des gesamten Softwareentwicklungslebenszyklus sorgfältig erstellt, wobei jede Anwendung kontinuierlich geplant, entworfen, implementiert, gemessen und analysiert wird“, erklären sie. „In der modernen Geschäftsanwendungsentwicklung gibt es jedoch keine solchen Kontrollen und Abwägungen und es entsteht eine neue Form der Schatten-IT.“
Im Bereich der Copilot-Lösungen kann „jeder leistungsstarke Geschäfts- und Copilot-Anwendungen erstellen und darauf zugreifen, die mit nur wenigen Mausklicks oder der Verwendung von Textbefehlen in natürlicher Sprache auf sensible Daten zugreifen, diese übertragen und speichern und zu kritischen Geschäftsabläufen beitragen.“ Studie warnt. „Die Geschwindigkeit und das Ausmaß dieser neuen Welle der Anwendungsentwicklung schaffen eine neue und weitreichende Angriffsfläche.“
Außerdem: Daten zeigen, dass KI der nächsten Generation die Softwareproduktivität steigert – für diese Entwickler
Viele Unternehmen, die Copilot- und Low-Code-Entwicklung vorantreiben, „verstehen nicht ganz, dass sie nicht nur die Anzahl der erstellten Anwendungen und Copiloten kontextualisieren und verstehen müssen, sondern auch den Geschäftskontext, z. B. mit welchen Daten die Anwendung interagiert und mit wem die Anwendung.“ ist gedacht und die Funktionalität, die Sie erreichen möchten.“
Infolgedessen „gibt es viele Schwachstellen und Fehlkonfigurationen, die schwer zu kontextualisieren und herauszufinden sind, wer was tun muss, um das Risiko zu mindern.“
Ein weiteres Problem ist der nicht vertrauenswürdige Gastzugriff über Copilot- und Low-Code-Anwendungen. „Das durchschnittliche Unternehmen in der Studie hatte mehr als 8.641 Fälle von nicht vertrauenswürdigen Gastbenutzern, die Zugriff auf Anwendungen hatten, die über Copilot und Low-Code entwickelt wurden“, zeigt die Studie. Mehr als 72 % dieser Fälle „verschafften nicht vertrauenswürdigen Gästen privilegierten Zugang; Das bedeutet, dass nicht überwachte und nicht verwaltete Gäste diese Anwendungen erstellen, ändern oder löschen können.“
Außerdem: Programmieren Sie mit generativer KI schneller, aber seien Sie sich dabei der Risiken bewusst
Hier sind einige Schritte, die die Studienautoren empfehlen, um diese Schwachstelle zu beheben:
- Sicherheit vorab konfigurieren: Stellen Sie sicher, dass Kontrollen vorhanden sind, „um Anwendungen zu kennzeichnen, die streng codierte Geheimnisse oder unsichere Schritte bei der Erfassung von Anmeldeinformationen enthalten“, fordern sie. „Kontextualisieren Sie Anwendungen, die erstellt werden, um sicherzustellen, dass geschäftskritische Anwendungen, die auch vertrauliche interne Daten berühren, über ordnungsgemäße Authentifizierungskontrollen verfügen.“ Sobald dies erledigt ist, hat die Sicherstellung einer ordnungsgemäßen Authentifizierung für Anwendungen, die Zugriff auf sensible Daten erfordern, oberste Priorität.“
- Leitplanken setzen: „Aufgrund der Natur von Copiloten und KI im Allgemeinen müssen strenge Barrieren eingeführt werden, um eine übermäßige gemeinsame Nutzung von Anwendungen, die Überbrückung des Zugriffs auf sensible Daten über KI, die gemeinsame Nutzung von Endbenutzerinteraktionen mit Copiloten und mehr zu verhindern.“ Ohne sie sind Unternehmen einem höheren Risiko der böswilligen Befehlsinjektion und Datenlecks ausgesetzt.“
- Gastzugang einstellen: Gastnutzer „sind als Vollzeitmitarbeiter gezwungen, andere Sicherheitsstandards einzuhalten, haben aber dennoch privilegierten Zugriff auf Anwendungen und Copiloten, die auf verschiedenen Low-Code-Plattformen basieren“, betonen die Autoren der Studie. Es sei wichtig, „den Anwendungs- und Copilotenzugriff nur auf diejenigen zu beschränken, die ihn zur Erfüllung ihrer jeweiligen Aufgaben benötigen.“
- Überdenken Sie Verbindungen zu sensiblen Daten: Verstehen Sie, welche Apps eine Verbindung zu sensiblen Daten herstellen, schlagen die Autoren vor. „Bestimmen Sie dann, wie Daten an diese Anwendungen gesendet und empfangen werden, und stellen Sie sicher, dass alle Konnektoren, insbesondere diejenigen, die auf sensible Daten zugreifen, HTTPS-Aufrufe verwenden.“
