Gemeinsam zu sichereren Anwendungen Woran es bei DevSecOps noch hakt

Anbieter zum Thema

PresseBox - unn | UNITED NEWS NETWORK GmbH

PROGRESS SOFTWARE GmbH

Mit der Einführung von DevOps haben viele Unternehmen bereits einen wichtigen Schritt in Richtung mehr Anwendungssicherheit getan. Die Erweiterung auf DevSecOps fällt ihnen aber oft noch schwer. Entwicklungs- und Sicherheits-Teams müssen effizienter zusammenarbeiten und kulturelle Barrieren überwinden.

Es ist kein Geheimnis, dass die Bedrohungslage durch Cyberkriminelle extrem angespannt ist und das auch bis auf weiteres bleiben wird. Die Gefahr für Unternehmen, sensible Kundeninformationen, Finanzdaten oder geistiges Eigentum zu verlieren, ist hoch. Dadurch drohen ihnen empfindliche Geldbußen, Umsatzverluste und eine nachhaltige Beschädigung ihrer Reputation. Bei der Softwareentwicklung müssen Unternehmen deshalb der Sicherheit eine hohe Priorität einräumen.

Die inzwischen weit verbreitete Agilität steht dem allerdings im Weg. Viele Unternehmen entwickeln Anwendungen heute mit agilen Methoden, um neue Software so schnell wie möglich auf den Markt zu bringen. Das geht oft zu Lasten der Sicherheit, weil mögliche Schwachstellen erst spät erkannt werden und nicht mehr ausreichend Zeit bleibt, angemessene Security-Maßnahmen zu implementieren. Häufig wären dazu sogar grundlegende Änderungen an der Architektur einer Anwendung erforderlich.

Was in der Theorie gut klingt, ist in der Praxis oft schwierig

Unternehmen müssen die Sicherheit bei der Softwareentwicklung früher berücksichtigen. Einen ersten Schritt in diese Richtung haben viele mit der Einführung von DevOps und zugehörigen Automatisierungspraktiken wie Infrastructure as Code (IaC) bereits gemacht. Indem sie IT-Infrastrukturen durch Code und nicht durch manuelle Prozesse verwalten und bereitstellen, können Unternehmen beispielsweise Fehlkonfigurationen in Public Clouds verhindern, die zu Schwachstellen führen könnten.

Der nächste logische Schritt ist die Erweiterung von DevOps auf DevSecOps, sprich: die Berücksichtigung der Sicherheit über sämtliche Lebenszyklusphasen einer Software hinweg. Was in der Theorie gut klingt, ist in der Praxis aber oft schwierig. Das zeigt eine aktuelle DevSecOps-Studie von Progress, für die auch deutsche Entscheidungsträger aus den Bereichen IT, IT-Security, Anwendungsentwicklung und DevOps befragt wurden. Nur 27 Prozent davon vertrauen der Zusammenarbeit von IT-Security und Entwicklung in ihrem Unternehmen. Mit 57 Prozent gab außerdem die Mehrheit der deutschen Befragten an, nicht wirklich zu verstehen, wie genau sich IT-Sicherheit in DevSecOps einfügt.

DevOps- und Security-Teams agieren noch viel zu unabhängig

Ein großes Problem ist, dass in den meisten Unternehmen DevOps- und Security-Teams nach wie vor unabhängig voneinander arbeiten und über Ticketsysteme und Excel-Tabellen miteinander kommunizieren. Das macht die Security-Teams zu einer Art Stopper, der unnötige Verzögerungen verursacht. Dieses Problem können Unternehmen mit „Policy as Code“ lösen. Bei diesem Ansatz werden Sicherheitsrichtlinien in maschinenlesbaren Dateien kodiert, mit denen sich dann automatisiert überprüfen lässt, ob eine Software diesen Richtlinien entspricht.

Das hat zahlreiche Vorteile: Security- und DevOps-Teams erhalten eine gemeinsame Sprache für ihre Zusammenarbeit und Unternehmen können Sicherheitstests vom Ende des Entwicklungsprozesses so weit wie möglich an den Anfang verlagern. Zudem können sie Sicherheitsrichtlinien konsistent, wiederholbar und zuverlässig über ein einzelnes System hinaus skalieren und den Sicherheitsstatus von Software kontinuierlich überwachen.

Darüber hinaus sollten die Entwickler die Sicherheitsverantwortlichen in ihre Entscheidungen über die Softwarearchitektur einbeziehen. Idealerweise führen Unternehmen dazu bereits für die Proof-of-Concept-Phase des Softwarelebenszyklus einen Prozess zur Sicherheitsüberprüfung ein. Dadurch wird es vielleicht nötig, dass die Entwickler in der Anfangsphase Änderungen vornehmen müssen, die Zeit in Anspruch nehmen, dafür sinkt aber der Aufwand für spätere Überarbeitungen und das Schließen von architekturbedingten Sicherheitslücken.

Sicherheit als gemeinsame Verantwortung begreifen

Ein großes Hindernis auch sind kulturelle Barrieren zwischen Entwicklern und Sicherheitsverantwortlichen. Damit die Einführung von DevSecOps ein Erfolg wird, müssen die beiden Parteien transparent zusammenarbeiten und kooperieren. Die Entwickler müssen sich die neue Denkweise aneignen, dass Sicherheit eine gemeinsame Verantwortung ist und sie Cybersicherheit immer mitdenken sollten. Ein guter Hebel zum Abbau kultureller Barrieren sind übergreifende Schulungen und Weiterbildungen zur IT-Sicherheit. Sie helfen den Entwicklungs- und Security-Teams dabei, sich gegenseitig besser zu verstehen und dadurch bei ihrer Zusammenarbeit ein höheres Niveau zu erreichen.

Führungskräfte eines Unternehmens können ebenfalls eine DevSecOps-Kultur fördern, indem sie die Organisation auf Sicherheit ausrichten und der funktionsübergreifenden Kommunikation hohe Priorität einräumen. Eine einzelne Taktik, die Wunder bewirkt, gibt es aber nicht. Damit DevSecOps in der Praxis hält, was es in der Theorie verspricht, braucht es eine Reihe verschiedener und unternehmensbezogener Schritte, die aufeinander abgestimmt sind und die Zusammenarbeit von Entwickler- und Security-Teams Tag für Tag verbessert.

* Prashanth Nanjundappa ist Vice President Product Management bei Progress.

(ID:49325498)