:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
DevSecOps in Unternehmen Auf dem Weg zu einer erfolgreichen DevSecOps-Kultur
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Technologie, klare Prozesse, mehr Eigenverantwortlichkeit: Der DevSecOps-Ansatz ermöglicht mehr Sicherheit in der Anwendungsentwicklung. Doch wenn dieses hilfreiche Konzept in Unternehmen eingeführt wird, gibt es einige Aspekte zu beachten.
Das Konzept DevOps gibt es schon seit etwas mehr als zehn Jahren in der Anwendungsentwicklung. Dadurch sollen Silos zwischen Entwickler- und Betriebsteams aufgebrochen werden, da diese oft eine reibungslose Zusammenarbeit und eine ganzheitliche Sicht auf die Anwendungsentwicklung erschweren. Eine umfassendere Kollaboration bietet dagegen viele Vorteile: Produkte können zum Beispiel schneller auf den Markt gebracht werden – und das in besserer Qualität.
Auch der neue DevSecOps-Ansatz bricht Silos auf – legt aber einen besonderen Fokus auf Produktsicherheit. Diese höhere Sicherheit wird durch die Zusammenarbeit von Entwicklern, Operations- und Sicherheitsexperten erreicht, da diese mit vereinter Expertise noch fundiertere Entscheidungen treffen können. Auch die Rolle der Teamleitung ändert sich dadurch: Früher war der Chef oder die Chefin oft die Schnittstelle zwischen den Teams – und saß dann manchmal auch sprichwörtlich zwischen allen Stühlen. Im Rahmen von DevSecOps unterstützen Teamleiter dagegen das gesamte Team bei ihren Entscheidungen und schaffen einen Rahmen für eine umfassende Zusammenarbeit. Eine erfolgreiche DevSecOps-Kultur bedeutet auch, dass jeder Mitarbeiter und Mitarbeiterin seinen Teil zu allen drei Bereichen beiträgt und die Kollegen am eigenen Fachwissen teilhaben lässt. Eigenverantwortlichkeit und der Blick über den eigenen Tellerrand, aber auch gegenseitige Unterstützung, sind hierfür entscheidende Grundlagen.
Ein solcher tiefgreifender Wandel findet natürlich nicht über Nacht statt, sondern braucht seine Zeit – zumal auch die Umsetzung in jedem Unternehmen variieren kann. Und auch der CEO ist gefragt: Schließlich hängt es auch von ihm oder ihr ab, welche Kollaborationskultur im Unternehmen gelebt wird. Dabei spielen verschiedene Aspekte eine Rolle: Neben der Befähigung und Unterstützung der Mitarbeiter sind auch Kontrollmechanismen und konkrete Erfolgsmessung beim Thema Sicherheit relevant.
Vertrauen als Grundlage für Transformationsprozesse
Wie auch immer die Zusammenarbeit in einem Unternehmen konkret gestaltet wird – ganz entscheidend ist immer das gegenseitige Vertrauen, in diesem Fall zwischen den IT-Sicherheitsexperten und den Kollegen aus dem DevOps-Bereich. Eine vertrauensvolle Zusammenarbeit entsteht aber nicht von selbst, sondern beruht auf vier Aspekten: Fachkompetenz, Zuverlässigkeit, Engagement und Sorgfalt. Wenn ein Kollege zwar die Sicherheits-Scans kompetent durchführt, aber nicht auf Nachfragen reagiert oder sich nicht um eventuell auftretende Probleme kümmert, ist eine gute Zusammenarbeit schwierig. Und hier gilt wie bei vielem im Leben: Vertrauen ist keine Einbahnstraße – man sollte immer auch zuerst an sich selbst arbeiten, und die eigene Arbeitsweise und das eigene Auftreten selbstkritisch hinterfragen.
Die vier entscheidenden Bereiche bei DevSecOps
In der Regel besteht DevSecOps aus vier Bereichen – und in all diesen Bereichen gibt es neue Verantwortlichkeiten für Entwickler, die über ihren traditionellen Aufgabenbereich hinausgehen.
1. Der Einsatz von geeigneter Technologie: Gerade im IT- und Entwicklerbereich sind die verwendeten Tools die entscheidende Grundlage für Transformationsprozesse. Wenn die eingesetzten Lösungen die neuen Anforderungen nicht unterstützen, ist die Transformation schon von vornherein zum Scheitern verurteilt. Aus Entwicklerperspektive ist dabei entscheidend, dass Anwendungen möglichst sicher entwickelt und sicher eingesetzt werden können. In der Vergangenheit war der Code selbst das ausschlaggebende Kriterium. Doch im Rahmen von DevSecOps sollten auch andere Aspekte stärker berücksichtigt werden, etwa Code-Abhängigkeiten, die Infrastruktur und auch eventuelle Herausforderungen bei Lösungen von externen Anbietern. Und das ist noch nicht alles: Auch Aspekte wie Benutzeridentitäten, relevante Richtlinien und der Umgang mit auftretenden Problemen sollten bei DevSecOps mitgedacht werden. Und sogar solche Unternehmensbereiche wie Lizenzen- und Datenmanagement gehören zu DevSecOps.
2. Die sichere und einheitliche Bereitstellung von Anwendungen: Dafür benötigen die Teams geeignete Lösungen, die sich nahtlos in die Entwicklungspipeline integrieren lassen. Entwicklern geht es wie Menschen in anderen Berufen auch: Sie möchten möglichst effizient optimale Ergebnisse erzielen. Und das gilt in ganz besonderem Maße für verwendete Tools. Diese sollten umfassend integrierbar sein, und die Arbeit erleichtern – und nicht etwa komplizierter gestalten. Genau aus diesem Grund ist auch eine möglichst umfassende Automatisierung der Arbeitsabläufe so wichtig. DevSecOps ist ein sehr vielschichtiger Ansatz, der mit automatisierten Prozessen besser zu bewältigen ist. Und auch ein „Ausmisten“ ist empfehlenswert: Welche unserer eingesetzten Technologie können wir automatisieren, was können wir vereinfachen – und was brauchen wir vielleicht auch gar nicht mehr? Diese Fragen sollten sich Unternehmen dringend stellen. Denn gerade in der Softwareentwicklung gilt: Weniger ist mehr. Je weniger (aber dafür effizientere) Lösungen eingesetzt werden, desto weniger Schritte sind auch im Entwicklungsprozess nötig – und die Software kann schneller auf den Markt gebracht werden. Ein Beispiel für eine solch umfassende Lösung ist die Snyk Plattform.
3. Effiziente Prozesse für mehr Sicherheit: DevSecOps verändert die Arbeitsweise tiefgreifend, und erfordert deshalb auch neue Richtlinien und neue Prozesse – immer mit dem Ziel der geteilten und gemeinsamen Verantwortung.
Ganz konkret sollten in diesem Rahmen Gating-Modelle überprüft und nach Möglichkeit ganz beseitigt werden. Herkömmliche Sicherheitsstrategien basieren oft auf definierten Projektabschnitten bzw. Meilensteinen. Wenn ein Problem auftritt, wird das Projekt dann oft an diesen Punkten ganz gestoppt, bis eine Lösung gefunden ist. Dies führt aber zu langwierigen Feedback-Schleifen, verursacht Verzögerungen und verstärkt auch das Silo-Denken zwischen den Teams. Deshalb sollte Gating vom Konzept der gegenseitigen Verantwortung abgelöst werden.
Um DevSecOps erfolgreich zu steuern, sind auch umfassende Erfolgsmessungen sinnvoll. Schließlich müssen sich gerade neue Ansätze immer erst im Unternehmen beweisen, und die Verantwortlichen wollen konkrete Erfolge sehen. Ein guter Startpunkt wäre etwa, relevante Daten für bestehende und behobene Schwachstellen zu erheben. Weitere relevante Aspekte sind das Sicherheitsmanagement, das Bedrohungs- und Risikomanagement – aber auch die generelle Einhaltung von Bestimmungen oder auch das Supplier-Management.
Während die drei Säulen Technologie, Anwendungsbereitstellung und Mitarbeiterunterstützung eng miteinander verwoben sind, ermöglicht eine klare Steuerung einen umfassenden Überblick über alle relevanten Aspekte.
4. Unterstützung der Mitarbeiter – die vierte und wichtigste Säule. Viele Entwickler wollen aktiv und von sich aus mehr Verantwortung für die Anwendungssicherheit übernehmen – und genau das ermöglicht ihnen DevSecOps. Durch die Umstrukturierung und die stärkere Verzahnung von DevOps- und Sicherheitsteams wird das Thema Sicherheit zunehmend zu einer Selbstverständlichkeit, und wird nicht mehr als Hindernis betrachtet.
Eine Transformation hin zu DevSecOps benötigt Zeit und einen Kulturwandel. Eine solche langfristige Investition sollte deshalb nicht von Beginn an schon nur auf ein Endergebnis ausgerichtet sein. DevSecOps ist vielmehr ein kontinuierlicher Prozess – und deshalb sollten auch Teilerfolge gewürdigt werden. So kann dieses neue Konzept erfolgreich im Unternehmen verankert werden.
Über den Autor: Patrick Dubois ist Director of Market Strategy bei Snyk. Auf der Agile 2008 in Toronto stellte er erstmals Konzepte einer agilen Infrastruktur vor. 2009 organisierte er daraufhin die ersten DevOpsDays. Seitdem fördert er den Begriff „DevOps“/ „DevSecOps“, bringt dadurch die verschiedenen Bereiche näher zusammen und zeigt, wie sie sich gegenseitig unterstützen können.
(ID:47800641)
:quality(80)/images.vogel.de/vogelonline/bdb/1917400/1917436/original.jpg "DevSecOps ist eine Erweiterung des DevOps-Konzepts um Sicherheitsaspekte. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1934600/1934668/original.jpg "Je besser Security und DevOps verzahnt sind, desto schneller können Features bereitgestellt werden. (Alex – stock.adobe.com)")