:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
DevSecOps in Unternehmen Auf dem Weg zu einer erfolgreichen DevSecOps-Kultur
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Technologie, klare Prozesse, mehr Eigenverantwortlichkeit: Der DevSecOps-Ansatz ermöglicht mehr Sicherheit in der Anwendungsentwicklung. Doch wenn dieses hilfreiche Konzept in Unternehmen eingeführt wird, gibt es einige Aspekte zu beachten.
Das Konzept DevOps gibt es schon seit etwas mehr als zehn Jahren in der Anwendungsentwicklung. Dadurch sollen Silos zwischen Entwickler- und Betriebsteams aufgebrochen werden, da diese oft eine reibungslose Zusammenarbeit und eine ganzheitliche Sicht auf die Anwendungsentwicklung erschweren. Eine umfassendere Kollaboration bietet dagegen viele Vorteile: Produkte können zum Beispiel schneller auf den Markt gebracht werden – und das in besserer Qualität.
Auch der neue DevSecOps-Ansatz bricht Silos auf – legt aber einen besonderen Fokus auf Produktsicherheit. Diese höhere Sicherheit wird durch die Zusammenarbeit von Entwicklern, Operations- und Sicherheitsexperten erreicht, da diese mit vereinter Expertise noch fundiertere Entscheidungen treffen können. Auch die Rolle der Teamleitung ändert sich dadurch: Früher war der Chef oder die Chefin oft die Schnittstelle zwischen den Teams – und saß dann manchmal auch sprichwörtlich zwischen allen Stühlen. Im Rahmen von DevSecOps unterstützen Teamleiter dagegen das gesamte Team bei ihren Entscheidungen und schaffen einen Rahmen für eine umfassende Zusammenarbeit. Eine erfolgreiche DevSecOps-Kultur bedeutet auch, dass jeder Mitarbeiter und Mitarbeiterin seinen Teil zu allen drei Bereichen beiträgt und die Kollegen am eigenen Fachwissen teilhaben lässt. Eigenverantwortlichkeit und der Blick über den eigenen Tellerrand, aber auch gegenseitige Unterstützung, sind hierfür entscheidende Grundlagen.
Ein solcher tiefgreifender Wandel findet natürlich nicht über Nacht statt, sondern braucht seine Zeit – zumal auch die Umsetzung in jedem Unternehmen variieren kann. Und auch der CEO ist gefragt: Schließlich hängt es auch von ihm oder ihr ab, welche Kollaborationskultur im Unternehmen gelebt wird. Dabei spielen verschiedene Aspekte eine Rolle: Neben der Befähigung und Unterstützung der Mitarbeiter sind auch Kontrollmechanismen und konkrete Erfolgsmessung beim Thema Sicherheit relevant.
Vertrauen als Grundlage für Transformationsprozesse
Wie auch immer die Zusammenarbeit in einem Unternehmen konkret gestaltet wird – ganz entscheidend ist immer das gegenseitige Vertrauen, in diesem Fall zwischen den IT-Sicherheitsexperten und den Kollegen aus dem DevOps-Bereich. Eine vertrauensvolle Zusammenarbeit entsteht aber nicht von selbst, sondern beruht auf vier Aspekten: Fachkompetenz, Zuverlässigkeit, Engagement und Sorgfalt. Wenn ein Kollege zwar die Sicherheits-Scans kompetent durchführt, aber nicht auf Nachfragen reagiert oder sich nicht um eventuell auftretende Probleme kümmert, ist eine gute Zusammenarbeit schwierig. Und hier gilt wie bei vielem im Leben: Vertrauen ist keine Einbahnstraße – man sollte immer auch zuerst an sich selbst arbeiten, und die eigene Arbeitsweise und das eigene Auftreten selbstkritisch hinterfragen.
Die vier entscheidenden Bereiche bei DevSecOps
In der Regel besteht DevSecOps aus vier Bereichen – und in all diesen Bereichen gibt es neue Verantwortlichkeiten für Entwickler, die über ihren traditionellen Aufgabenbereich hinausgehen.
1. Der Einsatz von geeigneter Technologie: Gerade im IT- und Entwicklerbereich sind die verwendeten Tools die entscheidende Grundlage für Transformationsprozesse. Wenn die eingesetzten Lösungen die neuen Anforderungen nicht unterstützen, ist die Transformation schon von vornherein zum Scheitern verurteilt. Aus Entwicklerperspektive ist dabei entscheidend, dass Anwendungen möglichst sicher entwickelt und sicher eingesetzt werden können. In der Vergangenheit war der Code selbst das ausschlaggebende Kriterium. Doch im Rahmen von DevSecOps sollten auch andere Aspekte stärker berücksichtigt werden, etwa Code-Abhängigkeiten, die Infrastruktur und auch eventuelle Herausforderungen bei Lösungen von externen Anbietern. Und das ist noch nicht alles: Auch Aspekte wie Benutzeridentitäten, relevante Richtlinien und der Umgang mit auftretenden Problemen sollten bei DevSecOps mitgedacht werden. Und sogar solche Unternehmensbereiche wie Lizenzen- und Datenmanagement gehören zu DevSecOps.
2. Die sichere und einheitliche Bereitstellung von Anwendungen: Dafür benötigen die Teams geeignete Lösungen, die sich nahtlos in die Entwicklungspipeline integrieren lassen. Entwicklern geht es wie Menschen in anderen Berufen auch: Sie möchten möglichst effizient optimale Ergebnisse erzielen. Und das gilt in ganz besonderem Maße für verwendete Tools. Diese sollten umfassend integrierbar sein, und die Arbeit erleichtern – und nicht etwa komplizierter gestalten. Genau aus diesem Grund ist auch eine möglichst umfassende Automatisierung der Arbeitsabläufe so wichtig. DevSecOps ist ein sehr vielschichtiger Ansatz, der mit automatisierten Prozessen besser zu bewältigen ist. Und auch ein „Ausmisten“ ist empfehlenswert: Welche unserer eingesetzten Technologie können wir automatisieren, was können wir vereinfachen – und was brauchen wir vielleicht auch gar nicht mehr? Diese Fragen sollten sich Unternehmen dringend stellen. Denn gerade in der Softwareentwicklung gilt: Weniger ist mehr. Je weniger (aber dafür effizientere) Lösungen eingesetzt werden, desto weniger Schritte sind auch im Entwicklungsprozess nötig – und die Software kann schneller auf den Markt gebracht werden. Ein Beispiel für eine solch umfassende Lösung ist die Snyk Plattform.
3. Effiziente Prozesse für mehr Sicherheit: DevSecOps verändert die Arbeitsweise tiefgreifend, und erfordert deshalb auch neue Richtlinien und neue Prozesse – immer mit dem Ziel der geteilten und gemeinsamen Verantwortung.
Ganz konkret sollten in diesem Rahmen Gating-Modelle überprüft und nach Möglichkeit ganz beseitigt werden. Herkömmliche Sicherheitsstrategien basieren oft auf definierten Projektabschnitten bzw. Meilensteinen. Wenn ein Problem auftritt, wird das Projekt dann oft an diesen Punkten ganz gestoppt, bis eine Lösung gefunden ist. Dies führt aber zu langwierigen Feedback-Schleifen, verursacht Verzögerungen und verstärkt auch das Silo-Denken zwischen den Teams. Deshalb sollte Gating vom Konzept der gegenseitigen Verantwortung abgelöst werden.
Um DevSecOps erfolgreich zu steuern, sind auch umfassende Erfolgsmessungen sinnvoll. Schließlich müssen sich gerade neue Ansätze immer erst im Unternehmen beweisen, und die Verantwortlichen wollen konkrete Erfolge sehen. Ein guter Startpunkt wäre etwa, relevante Daten für bestehende und behobene Schwachstellen zu erheben. Weitere relevante Aspekte sind das Sicherheitsmanagement, das Bedrohungs- und Risikomanagement – aber auch die generelle Einhaltung von Bestimmungen oder auch das Supplier-Management.
Während die drei Säulen Technologie, Anwendungsbereitstellung und Mitarbeiterunterstützung eng miteinander verwoben sind, ermöglicht eine klare Steuerung einen umfassenden Überblick über alle relevanten Aspekte.
4. Unterstützung der Mitarbeiter – die vierte und wichtigste Säule. Viele Entwickler wollen aktiv und von sich aus mehr Verantwortung für die Anwendungssicherheit übernehmen – und genau das ermöglicht ihnen DevSecOps. Durch die Umstrukturierung und die stärkere Verzahnung von DevOps- und Sicherheitsteams wird das Thema Sicherheit zunehmend zu einer Selbstverständlichkeit, und wird nicht mehr als Hindernis betrachtet.
Eine Transformation hin zu DevSecOps benötigt Zeit und einen Kulturwandel. Eine solche langfristige Investition sollte deshalb nicht von Beginn an schon nur auf ein Endergebnis ausgerichtet sein. DevSecOps ist vielmehr ein kontinuierlicher Prozess – und deshalb sollten auch Teilerfolge gewürdigt werden. So kann dieses neue Konzept erfolgreich im Unternehmen verankert werden.
Über den Autor: Patrick Dubois ist Director of Market Strategy bei Snyk. Auf der Agile 2008 in Toronto stellte er erstmals Konzepte einer agilen Infrastruktur vor. 2009 organisierte er daraufhin die ersten DevOpsDays. Seitdem fördert er den Begriff „DevOps“/ „DevSecOps“, bringt dadurch die verschiedenen Bereiche näher zusammen und zeigt, wie sie sich gegenseitig unterstützen können.
(ID:47800641)
:quality(80)/p7i.vogel.de/wcms/bd/1a/bd1ac90224b6e4fccd241ea079a4bd0a/0110982133.jpeg "Die Mitarbeiter spielen bei der Sicherheit in Cloud-nativen Umgebungen ebenso eine Rolle wie auch technische Maßnahmen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/5d/ec/5dec5542e11e55307b6b50ea91095dec/0108145971.jpeg "Network Operations (NetOps) braucht zukünftig die Unterstützung von Security Operations (SecOps), um einen optimalen Netzwerkbetrieb sicherzustellen. Das Ziel lautet daher: NetSecOps. (Bild: © momius - stock.adobe.com)")