Suchen

DevSecOps effizient umgesetzt So klappt eine reibungslose DevSecOps-Einführung

| Autor / Redakteur: Matthias Canisius / Peter Schmitz

Die Abwehr von intelligenter Malware oder raffinierten Phishing-Angriffen, das sichere Auslagern von Assets in die Cloud sowie das Einhalten von immer komplexeren Daten­schutz­richtlinien erfordert von Unternehmen eine nachhaltige Sicherheitsstrategie. Diese muss unternehmensweit adaptiert werden und möglichst alle Schwachstellen abdecken. Die Umsetzung eines DevSecOps-Ansatzes kann dies unterstützen.

Firmen zum Thema

Beim DevSecOps-Ansatz liegt die Sicherheit in der Verantwortung aller Teammitglieder und wird gleichzeitig in allen Phasen und Entwicklungen mitgedacht.
Beim DevSecOps-Ansatz liegt die Sicherheit in der Verantwortung aller Teammitglieder und wird gleichzeitig in allen Phasen und Entwicklungen mitgedacht.
(Bild: gemeinfrei / Pixabay )

Was versteht man unter DevSecOps? Kurz gesagt meint DevSecOps ein effizientes, reibungsloses Zusammenspiel zwischen der IT-Security eines Unternehmens und den IT-Operations mit dem Ziel, Sicherheitsrisiken zu minimieren.

Wer DevSecOps besser verstehen möchte, sollte zunächst einen Blick auf das mittlerweile allseits bekannte Pendant – den DevOps-Ansatz – werfen. Der Sinn dieser Prozess­verbesserungs­methode ist es, das isolierte Arbeiten der Entwicklungs- und Operation-Teams hinter sich zu lassen und stattdessen eine effizientere Zusammenarbeit und Prozessautomatisierung zu forcieren. Dies geschieht durch von Integration von Tools, Praktiken und Prozessen und hat eine Optimierung der Entwicklungsgeschwindigkeit, Software-Qualität und Markteinführungszeit zur Folge.

DevSecOps geht nun noch einen Schritt weiter und bezieht hier auch den Sicherheitsaspekt mit ein, indem Sicherheitsüberlegungen und -maßnahmen in alle Entwicklungs- und Operation-Prozesse integriert werden.

Was sind die Ziele von DevSecOps?

Die Idee hinter DevSecOps ist es, den Sicherheitsstatus eines Unternehmens sowie seiner Produkte und Dienstleistungen zu verbessern, indem IT-Security zur gemeinsamen Verantwortung aller IT-Mitarbeiter gemacht wird. Verfolgt ein Unternehmen bereits erfolgreich einen DevOps-Ansatz, ist die Einführung von DevSecOps letztlich eine natürliche und unkomplizierte Erweiterung. Für alle anderen gilt es, zunächst eine verständliche Roadmap zu erstellen. Dabei sollte man ein Bewusstsein dafür schaffen, wie sich neue Sicherheits­maßnahmen auf den Alltag der Teams und den gesamten Geschäftsbetrieb auswirken. Gemäß der Weisheit „Man ist nur so stark wie das schwächste Glied“, sollte das Ziel sein, das Sicherheitsbewusstsein aller Beteiligten zu schärfen, und dafür zu sorgen, dass sie über das gesamte operative „Spielfeld“ hinweg im Sinne der Security zusammenarbeiten.

Der Schlüssel zur Vereinfachung und Standardisierung von Sicherheitsoperationen ist dabei eine flächendeckende Automatisierung. Um diese zu erreichen, müssen nutzerfreundliche Tools zum Einsatz kommen, die teamübergreifend eingesetzt werden können. Besonders erfolgversprechend sind Werkzeuge mit starken und konsistenten APIs, die in die Entwicklungs-, Betriebs- und Sicherheitsbereiche integriert werden können, diese unterstützen und gemäß dem Wachstum von Projekten oder skalierbar sind.

Welche Vorteile bieten DevSecOps?

Die Adaption des DevSecOps-Modells geht wirtschaftlich betrachtet mit mehreren entscheidenden Vorteilen einher. Allen voran sorgen ein reduziertes Risiko für Cyberangriffe und Datenschutzverletzungen sowie erhöhte Reaktionszeiten für geringere Ausfälle und damit verbunden weniger Kosten und mehr Vertrauen der Verbraucher und Partner in die Produkte und Services des Unternehmens. Da die Sicherheitsfunktionen in jede Phase des Entwicklungszyklus integriert werden, können Patches schneller und häufiger durchgeführt und Code stabiler entwickelt und sicherer versendet werden, was Betriebsstörungen und Ausfallzeiten drastisch reduziert. Dies führt zudem zu einer Produktivitätssteigerung, da die Mitarbeiter effizienter zusammenarbeiten und von verständlichen Vorgaben profitieren.

Außerdem wirkt sich die Integration eines DevSecOps-Ansatzes in der Regel positiv auf den ROI aus, da die Automatisierung und vergemeinschaftete Verantwortung den Bedarf an teuren Sicherheitsmaßnahmen wie etwa externen Analysten deutlich reduziert und auch die dank Fachkräftemangel hohen Personalkosten im Bereich interner SOC nachhaltig senkt.

Best Practices für eine reibungslose DevSecOps-Implementierung

Damit die Implementierung von DevSecOps gelingt, empfiehlt sich eine schrittweise Umsetzung verschiedener Maßnahmen. Folgende fünf Best Practices können Unternehmen dabei helfen.

1. Durchführung eines Risiko-Audits

Die Basis einer effektiven DevSecOps-Implementierung ist die Durchführung eines umfangreichen Risiko-Audits. Dabei wird abgeklärt, welche Risiken ein Unternehmen bzw. dessen Projekte besonders bedrohen. Dazu können Schwachstellen in der Lieferkette, Industriespionage, Datendiebstahl oder Insider-Bedrohungen gehören. Die Herausforderung ist dabei, nicht bloß ein allgemeines Bedrohungsprofil zu erstellen, sondern unternehmens- und branchenspezifische Risikofaktoren herauszuarbeiten.

2. Risiken priorisieren

Der nächste Schritt ist schließlich eine Bewertung und Priorisierung der Risiken nach Schweregrad und Wahrscheinlichkeit. So dürfte ein vollständiger Stillstand des Geschäftsbetriebs aufgrund eines kompletten Ausfalls der Cloud-Infrastruktur zwar schwerwiegende Konsequenzen bedeuten, aber wie wahrscheinlich ist es, das dies passiert? Deutlich wahrscheinlicher dürfte hingegen der Verlust oder Diebstahl eines Firmen-Laptops sein, wenngleich die damit verbundenen Sicherheitsrisiken und Konsequenzen eventuell deutlich geringer ausfallen würden. Auf Fragen wie diese, müssen Sicherheitsverantwortliche quantifizierbare Antworten geben können.

3. Sicherstellen einer grundlegenden Cyberhygiene

Zu den Grundlagen einer guten Cyberhygiene gehören heutzutage unter anderem 2-Faktor-Authentifizierung, starke Passwörter, VPN, Phishing-Erkennung sowie eine automatisierte Endpunktschutzlösung, die Malware wirksam identifiziert. Maßnahmen wie diese müssen konsequent umgesetzt sein, um eine Basis an Prävention gewährleisten zu können, die Grundlage für weitere Security-Prozesse ist.

4. Für Transparenz über das Netzwerk hinweg sorgen

Mit einer zunehmenden Anzahl von Endpunkten, die sich von außerhalb des traditionellen Netzwerkperimeters mit den Cloud-Ressourcen eines Unternehmens verbinden, ist eine umfassende Netzwerktransparenz für DevSecOps von entscheidender Bedeutung. Hier muss sichergestellt werden, dass die Teams über Sicherheitswerkzeuge verfügen, die keine spezielle Schulung erfordern und die Produktivität nicht beeinträchtigen.

5. Kommunikation und Zusammenarbeit fördern

IT-Sicherheit in Unternehmen ist ein Gemeinschaftsprojekt, das mit dem Engagement jedes einzelnen Mitarbeiters steht und fällt. Für DevSecOps-Prozesse gilt dies umso mehr, weshalb der Aufbau von kollaborativen Teams und Arbeitspraktiken von entscheidender Bedeutung ist.

Fazit

Beim DevSecOps-Ansatz liegt die Sicherheit in der Verantwortung aller Teammitglieder und wird gleichzeitig in allen Phasen und Entwicklungen mitgedacht. Schritt für Schritt eingeführt und umgesetzt minimiert DevSecOps unternehmensweite Schwachstellen, verbessert die Compliance sowie das Vorfallmanagement und vereinfacht Patches, was wesentlich zu einer Erhöhung der Produktivität und Kundenzufriedenheit beiträgt.

Über den Autor: Matthias Canisius ist Regional Director CE & EE von SentinelOne und trägt in dieser Position die Gesamtverantwortung für die strategische und operative Geschäftsentwicklung des Unternehmens in Zentral- und Osteuropa.

(ID:46493375)