CNAPP – das unbekannte Wesen?!

Thomas Boele, Regional Director Sales Engineering, CER/DACH bei Check Point Software Technologies, antwortete uns: „Gartner definiert CNAPPs als ein umfassendes Sicherheits- und Compliance-Framework für moderne, cloudnative Anwendungen. CNAPP ist dabei eher als ein Ansatz oder ein Konzept zu verstehen, das mehrere Sicherheits- und Schutzfunktionen in einer integrierten Plattform vereint. Die Idee hinter CNAPP ist, die Sicherheitsanforderungen von cloudnativen Anwendungen von der Entwicklung bis hin zum Betrieb ganzheitlich abzudecken.“

Ähnlich äußerte sich Ellen Schäfer (bei Drucklegung: Ellen Dankworth), Partnerin im Bereich Cyber bei Deloitte: „Bei CNAPPLösungen handelt es sich primär um ein Konzept, das verschiedene Cloud-Sicherheitskomponenten in einer Plattform integriert. Dazu gehören unter anderem Cloud-Security- Posture-Management (CSPM), Cloud-Infrastructure-Entitlements- Management (CIEM), Cloud-Workload-Protection (CWP) und Security-Posture-Management auf Basis künstlicher Intelligenz (AI-SPM). Früher isoliert betrachtet, ermöglichen CNAPP-Lösungen die Aggregation von Sicherheitsinformationen, um neue Angriffsszenarien besser zu erkennen und zu adressieren.“

„CNAPPs konsolidieren verschiedene Cloud-Sicherheits-Tools in einer einzigen Plattform“, bekräftigt Harold Butzbach, Director Sales for Central Europe at Sysdig Germany GmbH: „Was jedoch als wesentlich oder optional gilt – da scheiden sich die Geister. Fest steht: CNAPP definiert eine Reihe von Funktionen, die die Cloud-Infrastruktur umfassend schützen.“

„CNAPP beschreibt sowohl ein Konzept als auch eine Strategie, die durch konkrete Produkte und Lösungen realisiert wird“, sagt Roland Stritt, VP Central EMEA bei SentinelOne: „Es handelt sich um integrierte Sicherheits- und Compliance- Lösungen, die Cloud-Anwendungen in dynamischen Umgebungen schützen.“ Im Sinne einer umfassenden Sicherheitsstrategie sollen Sicherheitsprobleme frühzeitig im Entwicklungszyklus zu erkennen und zu beheben sein – im Sinne von Produkten, welche diese Sicherheitsstrategie umsetzen, seien CNAPPs als integrierte Suite am Markt, die mehrere Werkzeuge vereine und eine einheitliche Sicht auf Sicherheitsrisiken und Compliance biete: CSPM überwacht Cloud-Umgebungen kontinuierlich auf Risiken wie Fehlkonfigurationen und Schwachstellen, CWP schützt Workloads in der Cloud und erkennt Bedrohungen in Echtzeit, CIEM dient der Verwaltung von Berechtigungen und Zugriffsrechten in der Cloud zur Minimierung von Datenlecks und Infrastructure-as-Code-(IaC)-Scanning gewährleistet die Sicherheit von Konfigurationsdateien während des gesamten Entwicklungsprozesses.

Strategische Aspekte

„Anstatt verschiedene Einzellösungen zu verwenden, die nur bestimmte Sicherheitsprobleme lösen und manuell zusammengefügt werden müssen, haben Unternehmen damit begonnen, mit CNAPP einen integrierten Plattformansatz zu verwenden“, konstatiert Arne Jacobsen, Director of Sales EMEA bei Aqua Security: „CNAPP wird zwar als plattformbasierte Lösung betrachtet, stellt aber auch eine Reise dar: In der Regel implementieren unsere Kunden bestimmte Aspekte von CNAPP, je nachdem, wie weit sie mit ihrer Cloud-Reife und Transformation sind und wo ihre größten Probleme liegen. Aus dieser Perspektive ist CNAPP sowohl eine Lösung als auch eine Strategie.“

„Durch die Breite und Tiefe der Abdeckung ermöglicht eine CNAPP Unternehmen, die Sicherheit ihrer Clouds ganzheitlich im Blick zu haben, anstatt verschiedene Lösungen mit unterschiedlichem Fokus in Silos einzusetzen“, betont Matthias Fraunhofer, Manager Security Engineering bei Tenable: „Eine echte CNAPP sollte die Komplexität nachhaltig reduzieren und die Assets eines Unternehmens überall und jederzeit schützen. Dafür gilt es, die Sicherheit der cloudnativen Anwendungen holistisch zu sehen, statt lediglich die Infrastruktur-Ebene im Blick zu haben. Die Lösung sollte darüber hinaus unter anderem in der Lage sein, Fehlkonfigurationen zu erkennen und zu korrigieren, Identitäten in der Cloud-Infrastruktur zu verwalten und unternehmensweit durchgehend Least-Privilege-Access durchzusetzen und verhindern, das unsichere Software in die Produktivumgebung übernommen wird.“

„CNAPPs kombinieren ein einheitliches Konzept für Cloud-Sicherheit mit spezifischen Produkten. Diese Produkte bieten verschiedene Sicherheitsfunktionen wie Serverless Security und Runtime-Security, abgestimmt auf die Cloud-Sicherheitsstrategie und den Bedarf eines Unternehmens“, sagt Aleksei Resetko, Partner im Bereich Cyber Security & Privacy bei PwC Deutschland.

„Der Begriff CNAPP beschreibt eine Kategorie von Sicherheitslösungen zur Absicherung von Cloud-Infrastrukturen. Diese meist als Software as a Service (SaaS) angebotenen Lösungen zielen auf eine Absicherung etablierter Public- Cloud-Infrastrukturen und -Plattformen (IaaS/PaaS), wie auch eigener Private-Cloud-Umgebungen ab“, so Lars Koch, Deputy Director of Security Technology Evaluation, DCSO – CNAPPs würden damit eine Konsolidierung von Lösungen in den Bereichen CSPM, CWPP und CIEM darstellen.

Elmar Albinger, Regional Sales Director bei AlgoSec, gibt zu bedenken: „Obwohl CSPM als Grundlage für CNAPP gilt, gibt es keine einheitliche, allgemein anerkannte Definition – auch nicht unter Anbietern. Das liegt häufig an den Anbietern selbst: In vielen Fällen fokussieren sich diese nämlich erst auf ihre vorhandenen Stärken – zum Beispiel ihr Kernprodukt – und integrieren grundlegende CSPM Funktionen auf Basis dieser, um das Angebot dann als umfassende CNAPP-Lösung zu positionieren.“ Tatsächlich handele es sich bei CNAPP jedoch um eine Suite von Sicherheitsprodukten, die darauf ausgelegt seien, cloudnative Anwendungen ganzheitlich zu schützen: „CNAPP ist mehr als nur CSPM und umfasst Aspekte wie den Schutz von Containern und serverlosen Funktionen, mit einem Fokus auf die Auswirkungen von sicherheitsrelevanten Ereignissen auf das Unternehmen als Ganzes. Im Kern ist CNAPP also eine Konsolidierung (Suite) von Sicherheitsprodukten, die dabei unterstützen sollen, cloudnative Anwendungen zu schützen.“

Begriff im Wandel?

Klassisch sieht auch Markus Tomanek, Senior Manager bei KPMG im Geschäftsbereich Financial Services, CNAPPs als Zusammenschluss konkreter Produkte und CSPM und CWPP als deren Herzstück an: „Auf Dauer werden diese beiden Bezeichnungen meiner Einschätzung nach in Vergessenheit geraten – sie werden im Begriff CNAPP aufgehen. Das entschlackt auch die große Komplexität des Themas Cloud-Sicherheit. Da noch weitere Funktionalitäten (bspw. Runtime-Protection, DevSecOps-Tools) zur CNAPP zählen, hat man mit der fortschreitenden dynamischen Entwicklung der Cloud- Services diese Teil-Komponenten unter dem Mantelbegriff zusammengefasst. Wichtig zu betonen ist aber auch, dass eine CNAPP nicht nur eine Security-Lösung darstellt: Eine
CNAPP vereinfacht auch die Compliance- Steuerung der Cloud-Umgebungen und ist – richtig eingesetzt – das derzeit stärkste Tool, um eine gesamtheitliche Cloud-Governance sicherzustellen.“

„Mit CNAPP war ursprünglich die Zusammenfassung aller speziell im Cloud-Umfeld ansässigen Sicherheitslösungen unter einer Konsole gemeint. Die Ansprache richtete sich vorwiegend an Cloud-Architekten und -Verantwortliche“, äußerte Richard Werner, Security Advisor bei Trend Micro, aber: „Wie alles in der IT-Security unterliegt der Begriff stetigem Wandel. Spätestens seit NIS-2 ist klar, dass Security primär die Aufgabe von Security-Abteilungen ist und deshalb wurden auch CNAPPs angepasst und gelten heute als Teilkonzept einer Security-Strategie.“

„Der Begriff CNAPP wird bereits sehr weit gefasst und er wird vermutlich auch nicht mehr klarer definiert werden“, kommentiert Dr. Jörg Schneider, Senior Expert bei Hi-Solutions: „Viele Anbieter von Lösungen nutzen diese breite Definition, um die Cloud-Fähigkeiten ihrer bestehenden Produkte hervorzuheben oder um neue cloudspezifische Lösungen mit einem Wort beschreiben zu können. Für die Beschaffung und die Bewertung von Lösungen und Strategien wird man sich daher auch in Zukunft nicht auf den Begriff CNAPP verlassen können, sondern genauer überlegen müssen, welche Lücke man in der eigenen Sicherheitslandschaft in der Cloud schließen will und welche Fähigkeiten die Tools und Strategien dafür liefern.“

Wer braucht CNAPPs?

Etliche der befragten Experten sehen CNAPPs für ein breites Feld von Anwendern als sinnvoll an. „Jedes Unternehmen, welches Cloud-Umgebungen nutzt oder dies plant, sollte die Implementierung eines CNAPPs in Betracht ziehen“, empfiehlt etwa Alexander Hose, Experte Cyber & Strategic Risk bei Deloitte: „Unternehmen sollten bewerten, welche Module zu ihrer Cloud-Strategie passen – cloudnative CNAPP-Komponenten könnten kosteneffizienter sein, während cloudagnostische Lösungen mehr Flexibilität bieten.“

Auch Resetko (PwC) rät: „Jedes Unternehmen, das Cloud-Technologie nutzt, insbesondere bei hybriden Umgebungen, sollte die Implementierung einer CNAPP in Betracht ziehen.“ Diese biete wesentliche Funktionen wie Laufzeitschutz für Anwendungen, Unterstützung von DevSecOps, Identity- und Access-Management für Cloud-Anwendungen sowie Threat-Intelligence.

„Im Wesentlichen benötigt jede Organisation, die cloudnative Technologien verwendet und auf Sicherheit und Compliance angewiesen ist, eine CNAPP“, bestätigt Boele (Check Point) und fordert: „Eine CNAPP-Implementierung muss eine umfassende Sicherheitslösung bieten, die den gesamten Lebenszyklus cloudnativer Anwendungen abdeckt, Sicherheitslücken frühzeitig erkennt und automatisch darauf reagiert, kontinuierliche Compliance sicherstellt und gleichzeitig flexibel und skalierbar bleibt.“

Christoph Schuhwerk, CISO in Residence EMEA bei Zscaler, sagt: „CNAPP sollte als selbstverständlicher Teil der Security und als Basishygiene jeder Organisation angesehen werden, wenn Cloud-Dienste im Einsatz sind. Es dient als zusätzliche Quelle für ein Security-Informationand-Event-Management (SIEM), das – neben den klassischen Quellen Identity-Management (IDM), Device- Posture, aber auch Zero-Trust-Kommunikation – alle Telemetriedaten zusammenführt.“

Einen etwas beschränkteren Adressatenkreis sieht Werner (Trend Micro): „CNAPPs wurden für eine dynamische Cloud-Entwicklung geschaffen. Sie umfassen Sicherheitstechnologien, die dann relevant sind, wenn Cloud-Umgebungen häufig neue Werkzeuge verwenden oder neue Inhalte erschließen – wie das beispielsweise in Entwicklungsabteilungen der Fall ist. Auch für sehr dynamische Cloud-Einsätze im Bereich von Multi- und Hybrid-Umgebungen sind sie gut geeignet.“

„Unternehmen, die umfangreiche Cloud-Anwendungen entwickeln und betreiben, sollten die Implementierung einer CNAPP erwägen. Besonders DevOps- und DevSecOps-Teams sowie Sicherheits- und Compliance-Teams profitieren von CNAPPs“, antwortete Stritt (SentinelOne).

Und Jacobsen (Aqua Security) sagt: „Jeder, der in einer stark regulierten Branche tätig ist sowie Organisationen mit geschäfts- und unternehmenskritischen Anwendungen müssen unbedingt eine robuste CNAPP-Lösung einsetzen, die ihre cloudnativen Anwendungen schützt.“ Mit der zunehmenden Einführung solcher Verfahren, der steigenden Komplexität von Cloud-Umgebungen und wachsenden Cybersecurity-Bedrohungen müsse eine robuste CNAPP-Lösung einen vollständigen Lebenszyklus-Schutz für cloudnative Anwendungen ermöglichen – von der Entwicklung bis zur Produktion und zurück.

Als einen der spannendsten Aspekte von CNAPP nennt Fraunhofer (Tenable): „Die Lösung kann zwar alle Bereiche holistisch adressieren, aber auch sehr gut mit Unternehmen und deren Anforderungen mitreifen. Auf diese Weise lässt sich sicherstellen, dass die Anforderungen aller Stakeholder berücksichtigt werden. Also profitiert letztlich so gut wie jeder, der sich mit Cloud- Security beschäftigt, von CNAPP: Security-, DevOps-, DevSecOps-, IAM- und IT-Teams können enger zusammenarbeiten und die Cloud- Security-Posture kontinuierlich verbessern.“ Gute Lösungen helfen diesen Gruppen außerdem, Zugriffe effizienter zu managen, ohne dass dies zulasten der Verfügbarkeit der Apps oder der Time-to-Market ginge.

Funktionen und Haupteinsatzzwecke

„Nach unserem Verständnis stehen CNAPPs vor allem für die Idee, ergänzend oder als Ersatz für Sicherheitsmechanismen der Hyperscaler eigene Sicherheitslösungen mitzudeployen, die dann auch über die Grenzen von einzelnen Cloud- Anbietern hinweg wirksam sind“, erläutert Schneider (HiSolutions): „Ein klarer Vorteil ist dann eine übergreifende Sicht und vergleichbare Sicherheitslevel über die verschiedenen genutzten Anbieter hinweg. In vielen Fällen können vergleichbare Leistungen auch direkt bei den großen Cloud Anbietern dazu gebucht werden. Durch einen direkteren Blick in den Unterbau könnten die Hyperscaler eine bessere Sichtbarkeit auf akute Probleme haben und besser reagieren. Im Detail können Third-Party-CNAPP-Tools aber auch bessere Fähigkeiten mitbringen und vor allem können sie das Vendor- Lock-in-Problem verringern.“ CNAPP-Lösungen gebe es mittlerweile für viele Sicherheitsbereiche – von der Malware-Detektion über die Erkennung von Security-Events bis hin zum Monitoring des Patch- und Konfigurationsmanagements. Nicht alle Lösungen decken jedoch alle Bereiche ab und die tatsächlichen Fähigkeiten unterscheiden sich ebenfalls, weswegen generell ein genauer Blick auf die benötigten und gebotenen Funktionen notwendig sei.

Grundsätzlich sollte eine CNAPP-Lösung eine einheitliche Sichtbarkeit herstellen, sagt Albinger (AlgoSec), sprich: „Sie sollte dem Nutzer einen umfassenden Einblick in alle Cloud-Ressourcen über verschiedene Anbieter hinweg ermöglichen. Außerdem sollte sie Sicherheitsfehlkonfigurationen und Schwachstellen innerhalb der Cloud-Umgebung proaktiv erkennen können und dabei unterstützen, für das Unternehmen relevante Compliance-Vorgaben einzuhalten, indem sie potenzielle Cloud- Compliance-Risiken proaktiv identifiziert. Weitere wichtige Funktionen sind der Schutz von containerbasierten Anwendungen und Kubernetes (KSPM).“ Grundsätzlich sollte die Plattform alle Anwendungen in der Cloud identifizieren und analysieren sowie die Netzwerktopologie selbst kartieren und visualisieren können.

„Eine echte CNAPP sollte in der Lage sein, Echtzeit-Sichtbarkeit zu bieten, denn Angreifer brauchen in der Cloud meist nicht länger als zehn Minuten für eine Infiltration“, kommentiert Butzbach (Sysdig): „Um das rechtzeitig festzustellen, reichen statische Scans, die nur in gewissen zeitlichen Abständen erstellt werden, nicht aus. Viele Unternehmen sollten daher eine CNAPP in Erwägung ziehen, die über moderne Technologie-Stacks verfügt und zu einem hohen Anteil selbst cloudbasiert ist.“

Tomanek (KPMG) sieht eine Investition gerade auch vor dem Hintergrund der von DORA und NIS-2 geforderten Erhöhung der Cyber Resilienz als sinnvoll an: „Das Tool-Set ist eine Art Schweizer Taschenmesser für die Cloud-Landschaft: Wer wünscht sich nicht auf einer stürmischen Reise ein Multitool, auf das man sich jederzeit verlassen kann und das in jeder Gefahrensituation Abhilfe verspricht?! In Zukunft wird damit zu rechnen sein, dass die verschiedenen CNAPP-Lösungen der einzelnen Hersteller verstärkt KI-gestützte Sicherheitsscans und Schwachstellenbehebungen anbieten.“ Auch mit AI-SPM sei künftig verbreitet zu rechnen.

Abgrenzung zum und Integration ins SIEM

„CNAPPs müssen sich heute in die übergelagerte IT-Security- Strategie eingliedern“, unterstreicht Werner (Trend Micro) – dementsprechend bräuchten sie Schnittstellen zu zentralen Verwaltungseinheiten, um in Konzepten wie XDR- oder SIEMgestützten SOCs nicht als Blindspot oder Zusatzaufwand zu fungieren.

Auch Boele (Check Point) sagt: „Die nahtlose Integration von CNAPPs in verschiedene IT- und Sicherheitsinfrastrukturen ist entscheidend, um eine effektive Sicherheitsstrategie für cloudnative Anwendungen zu gewährleisten. In einer umfassenden Security-Strategie spielen CNAPPs und SIEMs komplementäre Rollen: CNAPPs sind spezialisiert auf den Schutz cloudnativer Anwendungen und bieten spezifische Sicherheitsfunktionen und -transparenz für diese Umgebungen. SIEM-Systeme hingegen bieten eine zentrale Plattform für die Aggregation, Korrelation und Analyse von Sicherheitsdaten aus dem gesamten IT-Ökosystem und unterstützen so eine ganzheitliche Sicherheitsüberwachung und -verwaltung. Die Integration beider Systeme ermöglicht es, eine tiefgehende und breit gefächerte Sicherheitsstrategie umzusetzen, die sowohl spezifische als auch allgemeine Sicherheitsbedrohungen abdeckt.“

CNAPPs erachtet Tomanek (KPMG) als wichtige Ergänzung für ein SIEM, diese seien jedoch getrennt zu betrachten: „Um somit die Sicherheitssteuerung zu vereinfachen, sollte – sobald eine Cloud im Einsatz ist – sowohl ein SIEM als auch eine CNAPP im Einsatz sein. Es sprechen zu wenige Argumente dagegen, als dass sich der finanzielle wie auch der personelle Aufwand nicht lohnen. Der langfristige und nachhaltige Effekt einer einfachen und automatisierten Cloud-Steuerung sind Mehrwert genug.“

Wichtig sei es, zu verstehen, was eine CNAPP kann und was nicht: „Eine CNAPP hat beispielsweise Stärken in der Echtzeiterkennung von Schwachstellen und Bedrohungen – außerdem eröffnet sie die Möglichkeit, eine Kollaborationsplattform zwischen Anwendern, Sicherheitsfachkräften und den Cloud-Administratoren zu errichten. Jedoch ersetzt eine CNAPP nicht die Notwendigkeit eines dedizierten Bedrohungsanalysetools und ebenso wenig die eines klaren, einheitlichen Operating-Model. Das heißt: Die CNAPP ist das beste Werkzeug, um die Cloud resilient zu gestalten – jedoch kein Ersatz für den Einsatz geeigneter Tools.“, so Tomanek weiter.

„Alle Hauptquellen für Telemetriedaten sollten nicht nur in einen gemeinsamen Datenpool (SIEM) fließen, sondern auch untereinander Informationen austauschen, um sich gegenseitig mit sicherheitsrelevanten Informationen anzureichern und bessere Policies erstellen zu können“, antwortete Schuhwerk (Zscaler): „So könnte zum Beispiel ein CNAPP-System identifizieren, dass ein Webserver mit einer ungepatchten Schwachstelle offen im Internet steht und dieses Signal mit dem Zero-Trust-System teilen. Dieses kann dann Versuche sehen, diese Schwachstelle auszunutzen, und den Zugriff automatisch unterbinden oder einschränken. Zudem würde das EDR-System (Device-Posture) ein Signal erhalten, um jede Veränderung am betroffenen System sofort zu melden und zu unterbinden.“

Julian Gundacker, Information Security Consultant bei DCSO, ergänzt: „Da einige CNAPP-Anbieter einen großen Teil des Anwendungslebenszyklus umfassen, sind weitere Integrationen mit Entwicklungs- und Deployment-Lösungen in DevOps-Teams gängig. CNAPPs nehmen hier eine ‚Expertenrolle‘ bei der Erkennung von Problemen und der Durchsetzung von Lösungen in Cloud-Umgebungen ein, während die Aufarbeitung und das klassische Security-Incident-Management im SIEM verweilt.“

„SIEM wird für die Datenaggregation und Alarmierung verwendet – CIEM steht für Cloud- Infrastructure-Entitlements-Management, ist eine Unterkategorie von CNAPP und ein wenig anders, aber trotz der Ähnlichkeit des Akronyms bedeutet es, dass es nur die Berechtigungen, die identitäts- und zugangsbezogenen Konfigurationseinstellungen und so weiter einer bestimmten Cloud Infrastruktur betrachtet, während es beim traditionellen SIEM darum geht, alle Protokolle und Warnmeldungen an einem zentralen Ort zu sammeln“, erläutert Frank Kim, Certified Instructor beim SANS Institute. Den Begriff CIEM habe etwa Microsoft in [3] gut erläutert und zusammengefasst.

Aktuelle Probleme

Auf unsere Frage nach Problemen bei derzeitigen Angeboten und Praktiken rund um CNAPPs antwortete Schneider (HiSolutions): „Da viele CNAPPs die Datenaggregation, Auswertung und Darstellung selbst wieder als Cloud-Lösung anbieten, stellen sich automatisch Fragen zum Datenschutz und der Sicherheit der dort erhobenen Daten. Um die volle Sichtbarkeit auf mögliche Probleme zu haben, müssen die lokalen Komponenten der CNAPPs auf allen Cloud-Instanzen mit hohen Berechtigungen laufen und/oder die CNAPP Lösung einen privilegierten Zugriff auf die administrativen Schnittstellen des Cloud-Anbieters erhalten.“

Das hiermit verbundene Risiko hätten unlängst etwa die Veröffentlichung vertraulicher Kundendaten des Cloud-Anbieters Snowflake sowie der weltweite IT-Ausfall durch das CrowdStrike-Update im Juli gezeigt: „Beides könnte so auch einem CNAPP-Anbieter passieren – und da dann nicht nur die Cloud-Instanzen eines Anbieters betroffen wären, wäre auch der Ausfallsicherheitsgewinn durch einen Multi-Cloud-Ansatz verloren. Man muss also genau schauen, ob die zusätzlichen Risiken durch die erworbenen Fähigkeiten ausreichend kompensiert werden“, sagt Schneider.

Koch (DCSO) mahnt ebenfalls: „Das CNAPP-Sicherheitsversprechen erfordert weitreichende Zugriffsrechte der Lösung in die Cloud- Umgebungen des Kunden, was Auswirkungen auf die Vertraulichkeit von Daten mit sich bringen kann, die jeder Kunde im Detail evaluieren sollte.“ Darüber hinaus beobachte die DCSO, dass einige der Funktionen, die CNAPP explizit bewirbt, von bestimmten Infrastructure-as-a-Service-(IaaS)-Anbietern bereits nativ bereitgestellt würden – teils ohne erheblichen Aufpreis.

„Derzeit besteht Uneinigkeit über die genauen Funktionen von CNAPPs“, konstatiert Resetko (PwC): „Es gibt einige proprietäre Lösungen und Ansätze, die oft mangels Standardisierung nicht vergleichbar und/oder nicht kompatibel sind. Das führt wiederum noch zu Zurückhaltung beim Einsatz von CNAPPs bei Unternehmen.“

Albinger (AlgoSec) sieht einerseits einen häufig fehlenden Kontext der Ergebnisse für das Gesamtgeschäft als heikel an: „CNAPP Lösungen generieren ein hohes Volumen an Warnmeldungen, was eine Priorisierung und Einordnung erschwert. Denn aktuell liegt der Fokus von CNAPP-Lösungen auf der Analyse von Bedrohungspfaden und CIS- beziehungsweise regulatorischen Risiken – aber der Kontext der generierten Ergebnisse für das Unternehmen als Ganzes ist oft nicht ersichtlich. Ein effektives Reporting an die Geschäftsführung und im nächsten Schritt eine fundierte Entscheidungsfindung auf Basis der generierten Ergebnisse wird so beeinträchtigt.“ Eine weitere Herausforderung stelle die vielfach eingeschränkte Transparenz von Netzwerken dar: „Die meisten CNAPP-Angebote fokussieren ausschließlich auf konfigurationsbasierte Risiken. Dabei geht jedoch in einigen Fällen dann der Blick auf die ‚erste Verteidigungslinie‘ für die Netzwerkinfrastruktur verloren.“

Viele als CNAPPs angebotene Lösungen böten nur eine oder zwei der vielen wesentlichen Funktionen, bemängelt Butzbach (Sysdig): „Herkömmliche Sicherheitsanbieter zum Beispiel setzen oft unzusammenhängende Tools zusammen, können aber nicht das notwendige Tempo bei der Erkennung und Reaktion liefern. In der Cloud ist die Geschwindigkeit entscheidend: CNAPPs müssen Informationen über verschiedene Sicherheitsdomänen hinweg korrelieren, um eine Reaktion auf Bedrohungen in Echtzeit zu ermöglichen.“

Unvollständig und mit inkonsistenter Qualität?

Bei knappen Mitteln verlagern sich Sicherheitsteams gern in Richtung von Plattformen, gerade bei großen Anbietern, beobachtet Kim (SANS Institute): „Der Haken dabei ist, dass diese großen Anbieter ihr CNAPP-Portfolio in der Regel durch Akquisitionen erweitern, sodass es sich nicht unbedingt um die beste Lösung für eine bestimmte Kategorie unter dem CNAPPDach handeln muss – je nachdem, wie ausgereift die jüngste Akquisition ist und wie ausgereift die internen Integrationen sind.“ Bestimmte Teilfunktionen einer CNAPP-Lösung könnten daher mehr oder weniger gut ausgereift sein: „Es geht also immer darum, zu verstehen, was
das Sicherheitsteam zu erreichen versucht – ob die Fähigkeiten des Anbieters dafür ausgereift genug sind oder ob sie eine andere Lösung suchen müssen.“

Hose (Deloitte) warnt: „Oft werden CNAPPs als All-in-one-Lösungen dargestellt. Doch ohne umfassende Schulung der Entwickler und sichere Migration der Anwendungen und Services in die Cloud bleiben Vorteile aus – nicht-optimal integrierte CNAPP-Lösungen werden als Hindernisse wahrgenommen. Unternehmen sollten eine ganzheitliche Herangehensweise anstreben und ihre Prozesse anpassen, damit CNAPP-Lösungen ihr volles Potenzial als Enabler entfalten können.“

„Eines der größten Missverständnisse in Bezug auf CNAPP ist, dass man mit einem Cloud-Security- Posture-Management-(CSPM)-Tool über eine vollständige Abdeckung der Cloud-Sicherheit verfügt“, nimmt Jacobsen (Aqua Security) wahr: „Tatsächlich konzentriert sich CSPM aber in erster Linie auf die Identifizierung und Verwaltung von Sicherheitsrisiken in Cloud-Konfigurationen und bietet keinen Shift-Links- oder Shield-Rechts-/Echtzeit- Laufzeitschutz, um Sicherheitsrisiken proaktiv fernzuhalten und die laufende Anwendung in Echtzeit zu schützen. „Obwohl Sichtbarkeit und Posture-Management wichtig seien, sollte man sich bei CNAPPs in erster Linie auf die Sicherheit der Cloud-Applikationen konzentrieren: „Dazu gehört der Schutz der cloudnativen Anwendung von der Code-Phase über die Build-, Deployment- und Runtime-Phase bis hin zum vollständigen Schutz vor bekannten und unbekannten Bedrohungen während des gesamten Softwareentwicklungszyklus und darüber hinaus.“

„Wer erstmalig in eine CNAPP investiert, verfügt über kein Benchmarking, ob Resilienz und Sicherheit der Cloudplattform gestärkt werden – diese könnte ohnehin schon nach ‚State of the Art‘ konfiguriert sein oder erhebliche Lücken aufweisen. Das erfährt man allem voran durch das CSPM“, stellt Tomanek (KPMG) fest. Die Komplexität des CNAPP-Portfolios sorge jedoch oft für Unsicherheit, welche Teilkomponenten man tatsächlich benötigt, was einen fragmentierten und uneinheitlichen Einsatz der Anwendungen bewirken kann. Eine weitere Problematik beziehe sich auf das Fachwissen und die richtige Konfiguration einzelner Komponenten: „Will man primär die Compliance seiner Cloud-Landschaft sicherstellen, funktioniert das bereits mit wenigen Klicks. Möchte man allerdings benutzerdefinierte Kontrollen implementieren, braucht es mehr Steuerung. Will man die verschiedenen Anwendungsbereiche der Cloud- Landingzone (gemeint ist hier Entwicklung, Testen und Produktion) überwachen, braucht es bereits detailliertes Wissen über den jeweiligen Hyperscaler, die Besonderheiten der Verzeichnis- und Unterverzeichnisstrukturen sowie über die Netzwerk-Perimeter.“

„Aktuelle CNAPP-Angebote stehen vor Herausforderungen wie Komplexität der Integration und fehlender Standards“, sagt Stritt (SentinelOne): „Dies kann durch benutzerfreundlichere Schnittstellen und bessere Zusammenarbeit zwischen Entwicklern und Sicherheitsteams gelöst werden. Industriestandards und KI-basierte Lösungen könnten die Interoperabilität verbessern und die Priorisierung von Sicherheitsalarmen erleichtern.“

Verbreitung und Ausblick

„CNAPPs haben sich von einer aufkommenden Technologie zu einer verbreiteten Lösung entwickelt“, berichtet Stritt (SentinelOne): „Laut Gartner haben 2023 60 % der Unternehmen die Konsolidierung von CWPP- und CSPM-Funktionen bei einem Anbieter durchgeführt, im Vergleich zu 25 % im Jahr 2022. Die Marktentwicklung wird von Trends wie verbesserter Integration, erweiterter Bedrohungserkennung und -abwehr sowie automatisierter Compliance beeinflusst. KI und maschinelles Lernen werden eine zentrale Rolle spielen, um Bedrohungen proaktiv zu erkennen und automatisch zu reagieren.“

Tomanek (KPMG) beobachtet: „Während vollständige Integrationen der kompletten Anwendungslandschaft einer CNAPP noch nicht stark verbreitet sind, hat ein Großteil der Unternehmen in der Regel mindestens ein cloudnatives CSPM des jeweiligen Hyperscalers im Einsatz. Auch ein Großteil der DAX-Konzerne verlässt sich richtigerweise auf eine Dritt-Parteien-Lösung ihrer Wahl.“ Vom Reifegrad der Implementierung sei mittlerweile für viele Nutzer von Cloud-Services der Zeitpunkt erreicht, den bisherigen Einsatz ihrer CNAPP kritisch zu überprüfen und möglicherweise zu entscheiden, in die gesamte CNAPP-Palette zu investieren.

„Es gibt bereits eine Reihe von reifen Produkten am Markt, zu deren Findung sicher auch zahlreiche Akquisen und Merger stattgefunden haben. Wettbewerbsfähige Lösungen umfassen CSPM, CWPP und CIEM in einem Ausmaß, welches Kunden einen zügigen Sicherheitsmehrwert bieten kann“, erläutert Gundacker (DCSO), sieht allerdings einen Bedeutungsverlust für dedizierte CNAPP Lösungen, da immer mehr Funktionen über die Cloud-Anbieter bereitgestellt werden und diese für einen Großteil der Kunden ausreichend sind: „Dies wird dadurch verstärkt, dass Cloud-Anbieter teilweise Funktionen nicht an externe Anbieter herausgeben beziehungsweise hierüber eine Monopolisierung forcieren – oder Mitbewerber durch Akquise integrieren.“

Position im Hype-Cycle

„CNAPPs rutschen bereits in die ‚Talsohle der Desillusionierung‘, in der sich der Markt befindet“, sagt Jacobsen (Aqua Security): „Das bedeutet nicht, dass der CNAPP-Markt nicht wächst – es zeigt nur die Kluft zwischen dem Hype, der entstanden ist, und der Reife sowohl der Plattformen als auch, was noch wichtiger ist, der Fähigkeit der Kunden, sie richtig zu implementieren und den größtmöglichen Nutzen aus ihnen zu ziehen. Dies wird noch einige Jahre dauern, da viele organisatorische und verfahrenstechnische Änderungen erforderlich sind.“ Zukünftig gehe man davon aus, dass sich die Anwendungsfälle für CNAPP über das „Tag-1-Szenario“ der Sichtbarkeit und Priorisierung hinaus zu einer kontinuierlichen Verbesserung der Sicherheitslage, automatisierten Abhilfemaßnahmen und proaktivem Laufzeitschutz entwickeln werden.

Schäfer (Deloitte) verortet CNAPPs derzeit ebenfalls im „Trough of Disillusionment“: „Viele Unternehmen haben CNAPPLösungen implementiert, aber sehen noch keine deutlichen Vorteile – oft wegen mangelnder Integration in Geschäftsprozesse. Ohne systematische Einbindung werden CNAPPs eher als Hindernis denn als Enabler wahrgenommen.“

„CNAPPs befinden sich derzeit zwischen dem ‚Trough of Disillusionment‘ und ‚Slope of Enlightenment‘“, meint Resetko (PwC): „Die Technologie wird reifer und immer mehr Unternehmen befassen sich mit dem Thema. Es wird dennoch noch etwas dauern, bis CNAPP sich zum ‚Standard-Werkzeugkasten‘ für Cloud-Security entwickelt. Die Akzeptanz wird durch erfolgreiche Leuchtturmprojekte, Standardisierung und die Entwicklung von Best Practices vermutlich zunehmen. Besonders regulierte Unternehmen mit komplexen hybriden Multi-Cloud- Umgebungen werden CNAPPs einsetzen. Zudem werden KI und verbesserte Integration mit SIEM und Threat-Intelligence die Verbreitung beschleunigen.“

Bereits klar im „Pfad der Erleuchtung“ sieht Boele (Check Point) die CNAPPs: „Das Verständnis für ihre realen Anwendungen und den Nutzen wächst, während die anfängliche Überhitzung der Erwartungen abklingt. Es gibt bereits bedeutende Implementierungen von CNAPPs – beziehungsweise ‚CNAPP&P‘, wobei das zusätzliche ‚P‘ für ‚Prävention‘ steht –, insbesondere in großen Unternehmen, die cloudnative Sicherheitslösungen integrieren, um ihre Anwendungen über den gesamten Softwareentwicklungszyklus hinweg zu schützen. Diese Entwicklung zeigt eine steigende Akzeptanz und Reife der Technologie – der CNAPP-Markt befindet sich in einer starken Wachstumsphase.“

„CNAPP-Lösungen werden sowohl in großen als auch in kleineren Unternehmen bereits umfassend genutzt“, sagt Albinger (AlgoSec) und ordnet CNAPPs ebenfalls in der Phase des „Slope of Enlightenment“ ein: „Die anfängliche Begeisterung weicht derzeit einem Verständnis für die Grenzen und Herausforderungen der Technologie, bevor dann eine breitere Akzeptanz und Adoption der Technologie folgt.“

Werner (Trend Micro) antwortete: „Der Hype-Cycle verlief bisher außergewöhnlich flach. Unternehmen sind in Bezug auf IT-Sicherheit darauf angewiesen, aus Compliance-Gründen in der Außendarstellung einen kompletten Überblick zu vermitteln. Zudem erlauben es technische Fortschritte immer mehr, Daten zentral zu verwalten und beispielsweise durch KI mit größerem Nutzen auszuwerten. Die Verantwortlichen legen deshalb größten Wert darauf, die Daten zu korrelieren. So werden CNAPPs auch in größere IT-Sicherheitsstrukturen integriert.“

Wie bei allen Spartenbereichen der IT-Sicherheit werde es zukünftig Spezialanbieter geben, die nach „Best-of-Breed“-Konzeption eigenständige Lösungen bewerben: „Die größeren IT-Sicherheitsanbieter mit Fokus auf umfassende Sicherheitsstrategien wie XDR werden CNAPPs dagegen als Teilaspekt ihrer Lösungen offerieren und vor allem die Integration in den Vordergrund stellen.“, so Werner weiter.

Entwicklungen im Anbietermarkt

„Es gibt einige CNAPPs, die mit Blick auf Tiefe und Geschwindigkeit entwickelt und von cloudnativen Sicherheits-Startups entwickelt wurden. Im Gegensatz dazu bemühen sich ältere Anbieter um die Integration von Einzellösungen in größere Plattformen und schaffen es nicht, ein kohärentes, effektives Ergebnis zu bieten“, bedauert Butzbach (Sysdig). Heutzutage würden sich die meisten Lösungen entweder auf Prävention oder Erkennung konzentrieren, aber effektive Cloud-Sicherheit erfordere beides: „CNAPPs müssen Cloud- Erkennung und -Reaktion in Echtzeit mit präventiven Maßnahmen verbinden, um Bedrohungen einen Schritt voraus zu sein.“

Kim (SANS Institute) berichtet: „Wir sehen den Trend zu mehr Konsolidierung – wir werden viele Übernahmen sehen und wir werden weiterhin sehen, dass Best-of-Breed-Startups auf den Markt kommen und Lösungen für die potenziellen Lücken im Portfolio anbieten. Diese Lücken werden unter anderem bestehende Probleme der Kunden wie Identitätsrechte und ‚Remediation‘ adressieren.“

„Es findet eine Konsolidierung im CNAPP-Markt statt, was auf weitere Integration hindeutet“, beobachet auch Hose (Deloitte): „In Zukunft könnten CNAPP-Lösungen stärker mit SIEM-Systemen integriert werden, um bidirektionale Informationsflüsse zu ermöglichen. Diese Entwicklungen könnten in den nächsten Jahren zu einer verstärkten Adoption und Weiterentwicklung von CNAPP-Lösungen führen, mit zunehmendem Fokus auf Integration und Effizienz.“

Tomanek (KPMG) sieht nicht zuletzt die Hyperscaler in der Pflicht, die fortan mehr in native Security- Suites und CNAPPs investieren müssten, „insbesondere vor dem Hintergrund von Drittparteischwächen und Fehlern wie bei der jüngsten weltweiten IT-Panne, die auf einem fehlerhaften Update beruhte“. Hierzu sei die Übernahme eines Technologie-Experten der richtige Schritt: „Weder Hyperscaler noch Drittanbieter können ohne Kooperation das Detailwissen über die Sicherheitsinfrastruktur des jeweiligen Mandanten aufbauen. Der Weg führt somit mittelfristig weg von allgemeinen hin zu spezialisierten, auf den Anwender zugeschnittenen Sicherheitskonfigurationen.“

„CNAPP-Anforderungen werden ihren Weg in zukünftige regulatorische Bestimmungen wie ISO 27001 und SOC2 [Systemand- Organization-Controls-Zertifizierung des American Institute of Certified Public Accountants, AICPA] finden“, erwartet Albinger (Algo- Sec). Außerdem dürften Fragen nach CNAPP-Lösungen für Cloud-Umgebungen zunehmend Teil der Sicherheitsfragebögen von Drittanbietern werden.

Literatur

[1] Susan Moore, 4 unverzichtbare Technologien aus dem Gartner Hype Cycle für Cloud-Sicherheit 2021, Gartner Insights, September 2021, www.gartner.de/de/artikel/4-unverzichtbare-technologien-aus-dem-gartner-hype-cycle-fuer-cloud-sicherheit-2021

[2] Lawrence Pingree, The Expanding Enterprise Investment in Cloud Security, Gartner Q&A, Mai 2024,
www.gartner.com/en/newsroom/press-releases/2024-06-05-the-expanding-enterprise-investment-in-cloud-security

[3] Microsoft Security, Evolving Identity and Permissions Management for the Multicloud World, Whitepaper, 2022, https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5fHqq