Mitunter klafft eine Sicherheits-Lücke, wenn die IT-Abteilung interne Prozesse überwacht, während der Cloud Provider lediglich die Infrastruktur abdeckt, nicht aber die spezifischen Applikationen, die unternehmenseigenen Datenbanken und Kundenportale verbinden.
Die Sicherheitslücke „Application Security Gap“ entspringt einem Abgrenzungsproblem bei den Zuständigkeiten zwischen der hausinternen IT-Abteilung und den eingesetzten Cloud-Providern.
(Bild: Midjourney / KI-generiert)
Das „Application Security Gap“ (ASG) ist mancherorts ein blinder Fleck in der IT-Sicherheitslandschaft. Andreas Mihm, Director Cloud Solution Architecture bei Diva-e Conclusion, spricht von einer „deutlichen Lücke“ in der Security-Überwachung, die im Grunde aus einem Zuständigkeitsproblem heraus entsteht und häufig nicht erkannt wird.
Wer ist verantwortlich?
Andreas Mihm, Director Cloud Solution Architecture, Diva-e Conclusion
(Bild: Diva-e Conclusion)
Die hauseigene IT-Abteilung kann zwar interne Prozesse überwachen, ein cloud-basiertes Kundenportal oder einen Onlineshop beispielsweise hingegen nicht. Der Cloud Provider wiederum überwacht zwar die Infrastruktur seiner Clouds, nicht jedoch die Applikation, die diese mit den unternehmensinternen Prozessen und Datenbanken verbindet. Eine Sicherheitslücke, die sogenannte „Application Security Gap“, entsteht. Und da die meisten Unternehmen mittlerweile cloud-basierte Applikationen einsetzen, sind sie dieser potenziellen Gefahr ausgesetzt. Eine digitale Flanke, durch die sich Angreifer fast ungehindert Zutritt verschaffen können.
Praxisbeispiel
Mihm veranschaulicht die Problematik mit einem Praxisbeispiel, nämlich den im April dieses Jahres bekannt gewordenen Cyberangriff auf das britische Unternehmen Marks & Spencer, das den Mode- und Lebensmittelkonzern teuer zu stehen gekommen sei. Der Angriffsweg verlief demnach über manipulierte Login-Zugangsdaten bei einem Helpdesk-Dienstleister. Auch das ist eine klassische Application Security Gap.
Ärger durch Umsatzausfall
Allein der Wegfall des Online-Geschäfts durch die Stilllegung sämtlicher digitaler Bestellwege, die mehrere Monate andauerte, sorgte für immense finanzielle Einbußen im operativen Geschäft. Dazu kommt ein erheblicher Imageschaden, da auch persönliche Kundendaten gestohlen wurden.
Die Auswirkungen dieses Hacker-Angriffs auf alle Unternehmensbereiche waren immens: Filialen mussten auf manuelle Prozesse zurückgreifen, ganz „altmodisch“ auf Stift und Papier, die logistischen Kosten stiegen und sogar die Lebensmittel wurden zum Teil knapp, beschreibt der Cloud-Solution-Architekt.
Fluch und Segen der Arbeitsteilung
Mihm führt aus, dass in modernen IT-Landschaften eine strikte Arbeitsteilung zwischen Entwicklung, Betrieb, Infrastruktur und Sicherheit herrscht. Dieses Modell steigere zwar Effizienz und Spezialisierung, führe jedoch häufig zu unklaren Verantwortlichkeiten. Besonders problematisch sei dies bei Cloud-nativen Applikationen zu sehen: „Die Infrastruktur wird vom Provider überwacht, die Businesslogik liegt bei den Entwicklern, und das Monitoring – wenn überhaupt vorhanden – konzentriert sich häufig auf technische Metriken wie CPU-Auslastung oder Verfügbarkeit, nicht jedoch auf sicherheitsrelevante Aspekte“, bringt es der Manager auf den Punkt.
Die Tücke des Application Security Gap
Die Application Security Gap sei deshalb so tückisch, weil sie weder durch klassische Firewalls noch durch gängige Intrusion Detection Systeme zuverlässig erkannt wird, beschreibt Mihm. Viele IT-Verantwortliche würden sich demnach auf eine zertifizierte Cloud-Infrastruktur verlassen und dabei verkennen, dass Applikationssicherheit explizit nicht Bestandteil vieler Cloud-Service-Level-Vereinbarungen ist. „Besonders gefährlich ist die Kombination aus fehlendem Wissen über die ASG, den auf mehrere Personen verteilten Verantwortlichkeiten und fehlenden Sicherheitsmaßnahmen in der DevOps-Pipeline“, so Mihm. Letzteres bezieht sich auf das Fehlen oder die unzureichende Implementierung von Sicherheitsmechanismen während des gesamten Lebenszyklus der Softwareentwicklung, insbesondere in automatisierten Continuous Integration beziehungsweise Continuous Deployment (CI/CD)-Pipelines, wie sie in DevOps-Prozessen typisch sind.
Eine Frage der Verantwortlichkeiten
Doch wie kann ein IT-Dienstleister die Abgrenzung und Verantwortlichkeiten zwischen der internen IT-Abteilung eines Unternehmens und externen Cloud Providern bei der Überwachung von Anwendungen klar definieren?
Laut dem Cloud-Spezialisten übernimmt bei der Implementierung einer Anwendung der IT-Dienstleister typischerweise immer die Aufgabe, die Anforderungen und Rahmenbedingungen des Kunden mit den Features und Services eines SaaS- oder Cloud Providers in Einklang zu bringen. Damit sei er geradezu prädestiniert, die Abgrenzung der Verantwortlichkeiten für die Sicherheit der Systemarchitektur einer Anwendung klar zu definieren, denn er wisse exakt – so Mihm –, welche Security-Features die SaaS- oder Cloud-Plattform bietet und er kenne auch die Security-Anforderungen und Aufgabenbereiche der internen IT-Abteilung.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Hintergrund
Shadow-IT: die stille Bedrohung
In vielen Unternehmen entsteht eine weitere Gefahr von Sicherheitslücken an einer ganz anderen Stelle, als man sie vermuten mag: bei den Mitarbeitenden. Unter dem Stichwort ShadowIT („SchattenIT“) versteht man alle IT-Systeme, CloudDienste, SoftwareTools oder Geräte, die Mitarbeitende in einem Unternehmen nutzen, ohne dass diese durch die IT-Abteilung oder Geschäftsführung freigegeben wurden. ShadowIT entsteht meist aus gutem Willen, etwa um Prozesse zu beschleunigen, komplexe Genehmigungswege zu umgehen oder Arbeitsabläufe besser an die eigenen Anforderungen anzupassen. Doch ein scheinbar harmloser, nicht autorisierter Download, von dem die interne IT-Abteilung keine Kenntnis hat, kann schnell zu finanziell und rechtlich riskanten Situationen führen, und entstehende Sicherheitslücken werden durch die fehlende Überwachung nicht rechtzeitig erkannt.
Sicherheitsstrategie anpassen
Doch welche Schritte sind konkret notwendig, um bestehende Sicherheitskonzepte zu modernisieren und effektiv gegen Application Security Gaps vorzugehen? Mihm schöpft aus der Erfahrung aus dem Projektgeschäft und empfiehlt seinen Kunden die folgenden Schritte, um ein Sicherheitskonzept für eine Anwendung zu erstellen. Es reicht von der Entwicklung bis zur kontinuierlichen Security-Operations:
Security Best Practices in der Entwicklung sicherstellen,
Bedrohungslage für die jeweilige Applikation analysieren,
Security Alerts und Response Plans einrichten und testen,
Dauerhafte Security Operations und Reporting für jede Applikation etablieren.
Bestandsaufnahme und Analyse
Die Security-Analyse in cloud-basierten Anwendungen führt Diva-e Conclusion bei Kunden immer in zwei Schritten aus, verrät Mihm.
Schritt 1 prüft die Verwendung von Security-Best-Practices in der Entwicklung und Konfiguration der Anwendung. Dabei werden die eingesetzten Technologien in einzelnen Reviews auf den Prüfstand gestellt, also beispielsweise in einem Secure Frontend Review, einem Secure Azure Review, in einem Secure Salesforce Review et cetera.
Schritt 2 führt ein Threat Modelling durch und erfasst dabei die Bedrohungslage der Anwendung über die Gesamtarchitektur hinweg. Dabei werden auch Threats erfasst, die nicht durch Codeänderungen abgeschwächt werden können, sondern durch Monitoring, Threat Hunting und Prepared Reponses.
Hintergrund
Der Experte
Andreas Mihm, Director Cloud Solution Architecture bei Diva-e Conclusion, ist seit 25 Jahren im Aufbau digitaler Geschäftsmodelle tätig und Experte für Cybersecurity-Lösungen. Er leitet das Application Security Team bei Diva-e Conclusion und ist unter anderem für die Entwicklung und Umsetzung von Sicherheitsstrategien für digitale Plattformen und Cloud-Technologien verantwortlich.
Fazit: Die Application Security Gap ist beherrschbar
„Die Application Security Gap und die Risiken von Cloud-Lösungen sind nicht zu unterschätzende strukturelle Schwachstellen – aber sie sind kein unausweichliches Schicksal“, zieht Mihm Fazit. Entscheidend sei nicht die Größe des Unternehmens, sondern das Bewusstsein, dass Applikationen und Cloud-Lösungen heute die primäre Angriffsebene sind – und damit im Zentrum jeder IT-Sicherheitsstrategie stehen müssen. Das grundsätzliche Zuständigkeitsproblem und damit die Lücke zwischen Cloud-Anbieter und Unternehmen muss seiner Ansicht nach stärker ins Blickfeld genommen werden. Mihm fügt hinzu: „Bei Themen wie Shadow-IT und dem Erteilen von Zugriffsrechten, beispielsweise auf in der Cloud ablegte Dokumente, sollten auch die Mitarbeitenden einbezogen und entsprechend sensibilisiert werden.“
:quality(80)/p7i.vogel.de/wcms/24/c2/24c27aeefdf93876a395faa9790e6e40/0128909922v2.jpeg "Das Vorspiel ist vorbei. NIS2 fordert Unternehmen heraus, endlich aus ihrem Tiefschlaf zu erwachen und Cybersicherheit zur Priorität zu machen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/4b/ee/4bee19d172fd9c8c8993590986ba9c06/0129260266v2.jpeg "Enrique Lores, Präsident und CEO von HP, ist zurückgetreten und wechselt zum Zahlungsdienstleister Paypal. (Bild: HP)")
:quality(80)/p7i.vogel.de/wcms/81/37/8137ad44f55d3228683ef68cc3d96963/0129235950v1.jpeg "Peter Zils, Gründer und langjähriger Vorstandsvorsitzender von Ecotel, übernimmt nach dem Rücktritt von Markus Hendrich die Leitung des TK-Lösungsanbieters interimsmäßig. (Bild: Ecotel Commmunication AG)")
:quality(80)/p7i.vogel.de/wcms/ea/44/ea4421ef6d8dcea0d10d9ab51823fe67/0129193951v1.jpeg "Monika Schmetzer ist neue Leiterin der Lenovo ISG Business Group Deutschland und Österreich. Sie folgt auf Dieter Stehle, der das Unternehmen verlässt. (Bild: Lenovo)")
:quality(80)/p7i.vogel.de/wcms/ff/64/ff64c80bbb54c2cc5bd3192564ca9b3f/0129132936v1.jpeg "Dr. Nils Schwerdfeger ist COO bei Myra Security. (Bild: Myra Security)")
:quality(80)/p7i.vogel.de/wcms/66/22/66221b7a2c23107b972d002a3c8f6253/0129110244v1.jpeg "Wahrnehmung zählt: Erwartungen an KI prägen Vertrauen in Demokratie stärker als ihr realer Einsatz. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/16/27/1627c7f25a427ab5c4135f0cc60022ba/0128572571v1.jpeg "NIS 2 setzt Mindestanforderungen für Governance, Incident-Meldungen und Lieferkettenrisiken, doch Formate und Schnittstellen unterscheiden sich bislang je Mitgliedstaat. (Bild: © NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/17/fd1778d08449fea134998137a6b60297/0129245350v1.jpeg "Nur 1.034 Gramm bringt das Acer Travelmate P6 14 AI in der von uns getesteten Version auf die Waage. In dem Chassis aus Aluminium-Magnesium-Legierung sitzt ein Mainboard mit einem Intel Core Ultra 7 258V. Das 14-Zoll-IPS-Display liefert die Full-HD+-Auflösung, allerdings nur mit 60 Hz. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0f/77/0f771deb5ec0e397df095a914782ba79/0128876251v1.jpeg "Stefan Fritz, Senior Director Channel Sales EMEA Central bei Sophos: „Unser Partnerportal ist neben der persönlichen Betreuung die wichtigste Schnittstelle zwischen Sophos und unseren Partnern.“ (Bild: Sophos)")
:quality(80)/p7i.vogel.de/wcms/64/95/64952f6ea7a90e5b05cfee86750f54a9/0129232332v1.jpeg "Der CM5-Pico von Zotac ist als Gerät auf Basis des Raspberry Pi Compute Module 5 für Linux als Betriebssystem ausgelegt. Der kleine Rechner kommt ohne aktive Kühlung aus und soll sich für den 24/7-Betrieb eignen. (Bild: Zotac)")
:quality(80)/p7i.vogel.de/wcms/04/f6/04f6ddd72255faee9ff9922cfedea951/0129047993v2.jpeg "Deepfakes sind ein zweischneidiges Schwert: Sie bieten kreative Möglichkeiten, bergen aber auch ernsthafte Risiken für Unternehmen und deren Sicherheit. (Bild: © ludariimago - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/24/d82467f22cedecb6b9e352aed1e7761f/0129130135v1.jpeg "Die EU erarbeitet Vorschläge für Google mit Blick auf deren KI-Einsatz. (Bild: © bluedesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/71/7371e98d1d3083c53e9c2e4547e1a95c/0129134273v2.jpeg "KI-Projekte erfordern eine leistungsfähige Infrastruktur. Ohne Partner, die das Know-how dafür mitbringen, ist der Weg zu erfolgreichen Lösungen schwer zu finden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/11/0f/110f00f836727507d8d29697099001f0/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v. l.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/8a/3c/8a3ca24fcd1aad93d9217fad474cf3b4/0129050382v2.jpeg "Der Europa-Park Rust wird vom 23.03.-26.03.2026 wieder von den Cloud-Enthusiasten bevölkert. (Bild: René Lamb Fotodesign GmbH)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/61900/61906/65.jpg "HDIT_LOGO RZ_130920_F_RGB.jpg ()")
:quality(80)/p7i.vogel.de/wcms/91/65/91659aa82b5279faf185a44a81656e75/0123763745v2.jpeg "Ein wesentliches Problem bei der Auslagerung von IT-Dienstleistungen ist, dass Unternehmen sich in erster Linie auf Funktionalität und Kosteneffizienz konzentrieren, während Cybersicherheitsanforderungen oft nur am Rande berücksichtigt werden. (Bild: deagreez - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/43/88/43881382e370753b1702199f83f8002d/0128155533v2.jpeg "NIS2 verankert Verantwortung im Management und verschärft Meldepflichten. Wir zeigen sechs typische Fehler von Geltungsbereich bis Lieferketten- und Incident-Readiness. (Bild: © FARIHA - stock.adobe.com)")