Security muss kein Spielverderber sein

Passen IT-Compliance und agile Methoden zusammen?

| Autor / Redakteur: Marcus Toussaint * / Stephan Augsten

IT-Compliance und Agile erscheinen wie zwei Gegenspieler, können aber auch gut nebeneinander stehen.
IT-Compliance und Agile erscheinen wie zwei Gegenspieler, können aber auch gut nebeneinander stehen. (Bild: geralt - Pixabay.com / CC0)

Die Stärke agiler Methoden besteht in der übergreifenden Teamzusammenarbeit mit möglichst geringen Hürden. Software-Entwickler nehmen dabei IT-Compliance oder den Security Officer als vermeintliche Spielverderber wahr. Wollen Unternehmen agil arbeiten, funktioniert das aber nur Compliance-konform.

In Firmen, die agile Methoden einsetzen, prallen zwei Welten aufeinander: Die IT-Compliance stellt die Einhaltung von internen Regeln und Vorschriften, Verträgen sowie Gesetzen sicher. Im Kern bedeutet dies vor allem, seine IT im Griff und unter Kontrolle zu behalten.

Die sich nur langsam verändernden, sprichwörtlich „in Stein gemeißelten“ Vorgaben der Compliance und gesetzlicher Richtlinien steht der Welt des agilen Manifests diametral gegenüber. Darin sind die Werte, Prinzipien und Methoden der agilen Softwareentwicklung verankert. Es geht dabei um sich selbst organisierende Teams, die entsprechend für sich beanspruchen, individuell die Interaktion über Prozesse und Werkzeuge gestalten zu können.

Funktionierende Software ist ein höheres Gut als revisionssichere Dokumentation. Ein anarchistisch anmutender Albtraum für die Kollegen aus den Security- und Legal-Abteilungen. Wollen Unternehmen agile Methoden nutzen, müssen sie einen Weg finden, die beiden scheinbar unvereinbaren Ansätze zielführend miteinander zu verquicken. Denn nicht umsonst ist Agile derzeit so stark nachgefragt.

In der Studie „Accelerating Velocity and Costumer Value with Agile and DevOps“ von CA Technologies gaben 88 Prozent der befragten deutschen Unternehmen an, dass agile Methoden und DevOps erfolgsentscheidend für die digitale Transformation sind. 84 Prozent erzielen so eine höhere Kundenzufriedenheit. Die Studie zeigt auch: Unternehmen steigern mit Agile ihr Wachstum.

Compliance schützt auch agile Teams

Das Einführen von agilen Methoden wird also immer stärker zu einem wichtigen Effizienz- und Wettbewerbsfaktor. Um in der Business-Welt wirklich anzukommen, muss Agile jedoch gesetzlichen Standards und internen Compliance-Vorgaben gerecht werden.

Bei marktrelevanten Zertifizierungen wie ISO 27001 für Informationssicherheit oder ISO 9001 für Qualitätsmanagement sowie branchenspezifischen Standards wie PCI-DSS (Payment Card Industry Data Security Standard) sind die Prozesse und Vorgehensweisen ebenfalls klar definiert und vorgegeben. Unternehmen müssen sicherstellen, dass ihre agilen Teams diese Anforderungen auch einhalten.

IT-Compliance hat immerhin ihre Daseinsberechtigung und dient neben dem Schutz des Unternehmens nicht zuletzt auch dem Schutz der agilen Teams selbst. Dafür gibt die Compliance detaillierte Richtlinien zur Informationssicherheit, Verfügbarkeit und Datenaufbewahrung sowie Datenschutz vor. Darunter fallen generell Hardware, Software, IT-Infrastruktur, Services, Rollen und Rechte von Anwendern, personenbezogene Daten sowie gegebenenfalls Rechte von Dritten.

Die Konsequenzen bei Nichteinhaltung: Geldbußen, Schadensersatzansprüche, Freiheitsstrafen, Reputationsverlust oder Geschäftsstilllegungen. Bei AGs und GmbHs haften Vorstände oder Geschäftsführer zudem persönlich.

Compliance als Teil der DevOps-Prozesslandschaft

Die IT-Compliance und Security nach Entwicklungsabschluss und vor Inbetriebnahme auf die Software-Entwickler loszulassen, ist zu spät. Werden erst dann sicherheitsrelevante Fragen gestellt und negativ beantwortet, verzögert sich die Auslieferung des Produkts an den Kunden empfindlich oder kommt schlimmstenfalls gar nicht zustande.

Entscheidend für das Gelingen eines erfolgreichen Entwicklungsprozesses sind daher für Compliance-Themen sensibilisierte Entwicklerteams. Zentrale Rollen beispielsweise bei agiler Entwicklung nach Scrum spielen dann etwa der Product Owner und der Scrum Master.

Der Product Owner verantwortet nicht nur die Release-Planung, sondern auch Risikoanalysen der zu entwickelnden Software. Deshalb wäre es denkbar, dass er von Anfang an die Aufmerksamkeit für projektspezifische Sicherheitsaspekte schafft.

Dem Scrum Master kommt wie erwähnt ebenfalls eine wichtige Rolle zu, die vor allem durch Erfahrungen mit entsprechenden Projekten punktet. Er kennt im Idealfall beide Welten – Compliance und agile Softwareentwicklung – und verwebt Ansprüche sowie Notwendigkeiten sinnvoll während der jeweiligen Projektentwicklungsphasen miteinander.

Der Scrum Master ist dann in der Lage, die agilen Software-Ingenieure einzufangen, die den Kunden am liebsten schnell neueste Versionen bereitstellen und sich möglichst wenig durch starre Vorschriften ausbremsen lassen möchten. Er sensibilisiert die Entwickler mit notwendigen Compliance-Vorschriften und sorgt für deren Einhaltung.

Gleichzeitig will der Scrum Master mit den Compliance-Regeln nicht die Kreativität der Developer bremsen und aushebeln. Vielmehr stehen zum Teil elementare Datenschutzaspekte und Fragen der Informationssicherheit im Fokus, die insbesondere in Deutschland gesetzlich hinterlegt und strafrechtlich geregelt sind.

Gerade, um kreative Prozesse nicht zu unterbinden oder Ergebnisse im Nachhinein nicht rückbauen zu müssen, sollten den Entwicklern von Beginn an und zu jedem Entwicklungszeitpunkt die Parameter ihrer Bewegungsfreiheit klar sein. Der Rechts- und Sicherheitsrahmen muss somit permanent mitdefiniert werden.

Ein häufiger Stolperstein sind beispielsweise Open-Source-Tools, die Entwickler gerne einsetzen, um Prozesse zu automatisieren und effizienter zu arbeiten. Die Krux dabei: Häufig sind diese Tools ausschließlich für den privaten Gebrauch von Lizenzen befreit. Kommen sie dann allerdings im Business-Kontext zum Einsatz, stehen schnell hohe Lizenzgebühren an. Fällt das im Tempo der Sprints unter den Tisch, drohen zusätzlich Geldstrafen und im schlimmsten Fall die Stilllegung der Software.

An einem Strang ziehen

Daher liegt die Lösung in der Zusammenarbeit aller beteiligten Teams im DevOps-Gedanken. Security- und Compliance-Teams ebenso wie alle Partizipierenden wie Manager, Entwickler, Tester oder Administratoren sind von Beginn eines Projektes an fester, integraler Bestandteil einer DevOps-Landschaft. Datenschützer, Juristen, Betriebsingenieure und Softwareentwickler haben vom ersten Projektkontakt über die komplette Vertragswerk-Entwicklung bis hin zu jedem Briefing und Sprint sowie den jeweiligen Auslieferungen Anteil an der Progression.

Unternehmen profitieren am Ende von einer sicheren, zertifizierten und kostengünstigen Lösung. Unterm Strich sind Entwickler schneller, wenn sie im Zweifelsfall kurz Rücksprache mit den Security- oder Legal-Experten halten, als sich langwierig selbst in rechtliche Themen einzuarbeiten. Besitzen Unternehmen keine eigenen Experten dazu, gibt es heute bereits externe Berater mit dem Schwerpunkt IT-Recht.

Im DevOps-Kosmos sensibilisieren sich Entwicklung und Compliance bestenfalls füreinander, tauschen sich regelmäßig aus und unterstützen sich auf diese Weise auf kürzestem Weg mit sachkundigen Informationen. Das trägt zur effektiven und effizienten Produktentwicklung entscheidend bei. Entwickler stellen sich dann auch mal Fragen wie: „Wann halte ich rechtzeitig Rücksprache mit Juristen oder Sicherheitsverantwortlichen?

Durch den Dialog miteinander entwickeln beide Seiten Verständnis für die Arbeitsweise und Notwendigkeiten der Kollegen aus den jeweils anderen fachspezifischen Bereichen. Über die Zeit lernen sie dann, worauf sie wirklich achten müssen.

IT-Compliance ist keine Bremse

Compliance muss also durchaus nicht der größte Spielverderber der Entwickler sein. Das belegt etwa auch der „11th State of Agile Report“ von VersionOne eindrucksvoll: Bei den Gründen nach Hemmnissen der Adaption und Skalierung von Agile im Unternehmen rangieren „Regulatory Compliance and Governance“ mit 15 Prozent nur auf Platz elf.

Im Umkehrschluss bedeutet dies, dass es zehn Faktoren gibt, die sich deutlich gravierender auf die Umsetzung von Agile auswirken. Dazu gehört an erster Stelle eine unpassende Unternehmenskultur (63 Prozent) gefolgt von fehlenden Erfahrungen mit agilen Methoden (47 Prozent).

Vom Trend zum Standard

Was bei vielen Unternehmen noch zu kurz kommt, sollte durchaus zum Standard in der Softwareentwicklung werden: bei einigen großen Unternehmen, vor allem aus dem deutschsprachigen Raum, wird die frühzeitige Integration von Compliance- und Sicherheitsaspekten aus Effizienzgründen bei der Auftragsvergabe zum Teil schon vorausgesetzt.

Im Business-Kontext sind daher für gesetzliche und interne Richtlinien sensibilisierte Entwicklerteams entscheidend, um Compliance-konforme Software zu erstellen. Im Idealfall arbeiten sie eng mit den dafür zuständigen Fachabteilungen zusammen und nehmen Rollen wie den Product Owner oder Scrum Master in die Pflicht, um für die notwendige Aufmerksamkeit für diese Themen im Team zu sorgen.

* Marcus Toussaint ist Chief Personnel & Legal Officer bei Nexinto.

Ergänzendes zum Thema
 
Über Nexinto

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44680406 / Risk Management)