Suchen

Verantwortung von Entwicklern und IT-Entscheidern DevSecOps – Vereinbarkeit von Sicherheit und Agilität

| Redakteur: Stephan Augsten

Sicherheit in der App- und Anwendungsentwicklung obliegt noch immer nicht allein den Entwicklern, oft teilen sie sich die Verantwortung mit den IT-Entscheidern. Dies ist das Ergebnis einer DevSecOps-Studie von MongoDB und CensusWide.

Firmen zum Thema

Während der Softwareentwicklung ist in Deutschland nicht grundsätzlich der Developer für die Sicherheit seiner Anwendung verantwortlich.
Während der Softwareentwicklung ist in Deutschland nicht grundsätzlich der Developer für die Sicherheit seiner Anwendung verantwortlich.
(Bild: MongoDB)

In Großbritannien, Frankreich und Deutschland tragen nur etwa drei von zehn Entwicklern die volle Verantwortung für Sicherheit während der Programmierung. Für diese Erkenntnis haben MongoDB und CensusWide insgesamt 1.516 IT-Experten befragt, wobei diese entweder als Softwareentwickler tätig waren oder strategische IT-Entscheidungsbefugnis besaßen, sprich zum Kreis der IT-Entscheider gehörten.

Gruppenübergreifend sehen nur gut 24 Prozent der deutschen IT-Experten die volle Sicherheitsverantwortung bei sich. Die übrigen ITler verweisen auf interne Security-Spezialisten (14,8 Prozent), Projekt-Initiatoren aus der Führungsriege (20,7 Prozent), das Ops-Team (14,2 Prozent) und sogar auf ihnen nicht bekannte Sicherheitsexperten (23,6 Prozent).

Gleichwohl gaben 92 Prozent der Entwickler und 88 Prozent der IT-Entscheidungsträger an, dass sie beim Erstellen neuer Anwendungen auf angemessene Vorsichtsmaßnahmen Wert legten. In den IT-Unternehmen mit mehr als 500 Mitarbeitern versicherten gruppenübergreifend sogar 93,8 Prozent der ITler, dass sie bei der Erstellung neuer Anwendungen genügend Vorsichtsmaßnahmen treffen.

Umgekehrt verzeichneten 77 Prozent der Unternehmen mit weniger als 50 Mitarbeitern und 73,3 Prozent der Unternehmen mit bis zu zehn Mitarbeitern gewisse Mängel bei der Datensicherheit. MongoDB zufolge liegt das daran, dass in kleinen Unternehmen und Start-ups eine klare Aufteilung der Verantwortlichkeiten häufig fehlt und Sicherheitsmaßnahmen aufgrund der erforderlichen Agilität oft zu kurz kommen. In größeren Unternehmen sei hingegen meist ein Sicherheitsexperte, CISO oder CSO zu finden.

Basierend auf den Ergebnissen empfiehlt Joe Drumgoole, Director of Developer Relations bei MongoDB, DevSecOps als eine Möglichkeit, hohe Sicherheit und Agilität in der Software-Entwicklung zu vereinen. „Die Verantwortung bezüglich der Sicherheit sollte selbstverständlich auf verschiedene Teams verteilt sein“, meint Drumgoole. „Schwierig wird es für Unternehmen, wenn sie sich zwischen Sicherheit und Komfort entscheiden müssen.“

(ID:46369442)