Nach Angaben von TrustCloud arbeiten viele CISOs bei der Beurteilung, ob ihre produktiven Unternehmensanwendungen vertrauenswürdig sind, noch immer mit Fragebögen. Teams, die die Anwendungen betreiben, müssen diese ausfüllen; anschließend werden die Antworten eingesammelt, zusammengeführt und ausgewertet. Dabei geht es laut dem Unternehmen nicht in erster Linie darum, Schwachstellen und Bedrohungen zu zählen, sondern die grundsätzliche Vertrauenswürdigkeit der betriebenen Anwendungen einzuschätzen.

Tejas Ranade, Mitgründer und CPO von TrustCloud, kritisiert dieses Vorgehen als Momentaufnahme. CISOs seien seit Jahren gezwungen, der Führungsebene punktuelle Zustandsbilder als Risikobild zu präsentieren. Sowohl sie selbst als auch die Vorstände wüssten, dass diese Sicht unvollständig sei, sagte Ranade. Das Problem verschärfe sich, weil Unternehmen heute nicht mehr einige hundert, sondern tausende Anwendungen in Produktion betrieben und diese Zahl weiter steige.

TrustClouds Antwort darauf heißt „Application Assurance“. Das Produkt bindet sich laut Ranade in das gesamte Ökosystem einer Anwendung ein. Dazu zählen Sicherheitswerkzeuge zur Überwachung der App, Infrastrukturwerkzeuge für die Laufzeitumgebung, Dokumentationsablagen für Richtlinien und Verfahren sowie Ticketsysteme. Über diese Quellen wolle TrustCloud fortlaufend für den CISO überwachen, ob eine Anwendung ausreichend abgesichert sei und welches Risiko von ihr ausgehe.

Die Datenerfassung erfolgt laut Unternehmen über Hunderte von Connectors, die an Datenquellen im Unternehmen andocken, Informationen zusammenführen, normalisieren und automatisiert analysieren. TrustCloud beschreibt zwei zentrale Effekte: Zum einen werde die manuelle, punktuelle Datensammlung durch eine kontinuierliche automatisierte Überwachung ersetzt. Zum anderen solle eine KI-gestützte Auswertung subjektive Interpretationen durch objektivere Bewertungen ablösen.

Die Zentralisierung dieser Informationen wirft laut dem Bericht zugleich neue Fragen auf: Datenresidenz und das Vertrauen in TrustCloud selbst. Ranade sagt, das Unternehmen arbeite mit stark regulierten Kunden aus verschiedenen Branchen, darunter Fertigung, Pharma und Behörden. Deshalb sei die Plattform auf unterschiedliche Modelle zur Datenresidenz ausgelegt. Daten könnten in einer von TrustCloud betriebenen Cloud als verwalteter Dienst liegen, aber auch in der Umgebung des Kunden verbleiben, während nur ausgewählte Daten zur Analyse an TrustCloud übertragen würden.

Auch die eigene Sicherheitsarchitektur des Anbieters ist ein Thema, weil TrustCloud Informationen über produktive Anwendungen sammelt und zentralisiert, die für Angreifer wertvoll sein könnten. Das Unternehmen versucht nach eigener Darstellung, hier größtmögliche Transparenz zu schaffen. Die eigene Sicherheit werde häufig von potenziellen Kunden auditiert; der Betrieb folge dem Prinzip der geringsten Rechte; TrustCloud verwende und speichere nur die benötigten Daten; Kunden könnten festlegen, welche Daten TrustCloud überhaupt halten dürfe; zudem orientiere sich das Sicherheitsprogramm an allen regulatorischen Vorgaben.

Ranade verweist außerdem auf neue Anwendungstypen als zusätzlichen Treiber für solche Bewertungen. Mit leicht erzeugbaren intern entwickelten oder von Dritten bezogenen produktiven Anwendungen sowie agentischen Systemen nehme die Komplexität weiter zu. Zu den drängenden Fragen für CISOs gehöre heute, welche agentischen Anwendungen im Unternehmen gebaut werden, welche Sicherheitsleitplanken dafür nötig sind und wie Anbieter mit agentischen Fähigkeiten bewertet werden sollen.

TrustCloud arbeite nach Angaben von Ranade bereits mit Kunden an der Bewertung solcher agentischen Anwendungen. Dabei gehe es darum, dem CISO sichtbar zu machen, welche Agenten in der Umgebung vorhanden sind, welche Schutzmaßnahmen erforderlich sind und welche Datenpunkte überwacht werden können, um Absicherung und Governance nach Unternehmensrichtlinien nachzuweisen. Das Produkt sichere die Anwendungen selbst nicht ab, soll aber laut TrustCloud helfen, das richtige Schutzniveau rund um diese Anwendungen zu überprüfen und deren Vertrauenswürdigkeit gegenüber dem Vorstand nachweisbar zu machen.