Multi- und Hybrid-Cloud-Umgebungen bergen Herausforderungen für DevOps-Teams in Unternehmen. Über solche Umgebungen hinweg ist es schwierig, die Performance und Sicherheit von Anwendungen zu gewährleisten. Ein DevSecOps-Ansatz kann die Lösung darstellen.
Für DevOps-Teams stellt der Übergang zu modernen, Cloud-basierten Anwendungsumgebungen eine große Herausforderung dar.
Unternehmen aller Branchen verlassen sich zunehmend auf Cloud-Technologien, um ihre digitale Transformation voranzutreiben. Indem sie ihre Anwendungen in einer Multi- oder einer hybriden Cloud-Umgebung neu konzipieren, können sie Entwicklungsprozesse flexibler gestalten und Innovationen mit einer noch nie dagewesenen Geschwindigkeit liefern.
Für DevOps-Teams stellt der Übergang zu modernen Anwendungsumgebungen jedoch eine enorme Herausforderung dar: die Verwaltung von Verfügbarkeiten und Performance über Cloud-native Umgebungen und Infrastrukturen hinweg ist komplex und gestaltet sich entsprechend schwierig. IT-Teams erhalten riesige Datenmengen aus diesen hochdynamischen Umgebungen.
Bislang fehlt es ihnen jedoch an den richtigen Tools, Einblicken und Prozessen, um sie effektiv zu nutzen. Dieser Zustand ist jedoch nicht tragbar, denn Unternehmen müssen immer schneller auf den sich stetig verändernden Markt reagieren und den gestiegenen Anforderungen ihrer Kunden gerecht werden – und diese erwarten zu jeder Zeit eine nahtlose digitale Nutzererfahrung.
Bessere Application Performance durch einheitliche Transparenz
In vielen Fällen verlassen sich Unternehmen immer noch auf mehrere Monitoring-Tools, um die Performance ihrer gesamten IT-Infrastruktur zu verwalten. Herkömmliche Lösungen sind der dynamischen Natur Cloud-nativer Umgebungen jedoch nicht gewachsen. Die stark verteilten Systeme basieren auf Tausenden von Containern und erzeugen jede Sekunde eine riesige Menge an Metriken, Events, Logs und Traces (MELT).
IT-Teams haben keine Möglichkeit, dieses Datenrauschen zu durchdringen, um Probleme mit der Anwendungsperformance zu beheben, wenn diese durch infrastrukturbezogene Probleme über Multi-Cloud- oder hybride Umgebungen hinweg verursacht werden. Zudem fehlt ihnen ein einheitlicher Überblick über die zunehmend fragmentierte IT-Landschaft.
Aber nicht nur auf Anwendungsebene benötigen IT-Fachkräfte mehr Transparenz, sondern auch in den unterstützenden digitalen Diensten – wie etwa Kubernetes – und den zugrundeliegenden Infrastructure-as-Code-Diensten, die ihre Cloud-Anbieter zur Verfügung stellen.
Für DevOps-Teams ist das unerlässlich, um einen vollständigen Überblick über die Performance ihrer Anwendungen zu erhalten. Sie brauchen eine Plattform, die es ihnen ermöglicht, verteilte und dynamische Cloud-native Anwendungen umfassend zu beobachten. Eine solche Lösung sollte offene Standards wie insbesondere OpenTelemetry unterstützen und sowohl AIOps und Business Intelligence nutzen, um Probleme schneller identifizieren und beheben zu können.
Wichtig ist, dass DevOps-Teams in der Lage sind, Daten zur IT-Performance und Geschäftsmetriken miteinander in Beziehung zu setzen. So können sie fundiertere Entscheidungen treffen.
Kultureller Wandel von DevOps zu DevSecOps
Trotz der Fortschritte, die DevOps-Methoden in den letzten Jahren erzielt haben, werden viele IT-Abteilungen weiterhin durch isolierte Teams, Prozesse und Daten gebremst. Die Umstellung auf native Cloud-Technologien erfordert auch eine bessere Zusammenarbeit innerhalb der IT-Abteilung. Sicherheitsteams zum Beispiel können nicht länger isoliert arbeiten – der Sicherheitsaspekt muss von Anfang an in den Entwicklungsprozess von Anwendungen integriert werden.
Gerade durch die Umstellung auf moderne Anwendungsstacks haben sich die Angriffsflächen von Unternehmen erheblich vergrößert. Die Einführung von Multi-Cloud- und hybriden Umgebungen bedeutet, dass Anwendungskomponenten jetzt auf einer Mischung aus Plattformen und lokalen Datenbanken ausgeführt werden.
Das führt zu Lücken in der Transparenz und erhöht das Risiko eines Sicherheitsvorfalls. IT-Abteilungen müssen daher dringend die Sicherheit ihrer Anwendungen verbessern und schnell handeln, wenn Sicherheitslücken entdeckt werden, um gravierende Sicherheitsverstöße zu vermeiden.
In einer aktuellen Studie von AppDynamics gaben allerdings nur 24 Prozent der IT-Fachkräfte an, dass ITOps und Sicherheitsteams kontinuierlich zusammenarbeiten. Tatsächlich agieren viele DevOps- und Sicherheitsteams völlig getrennt voneinander. So suchen Entwickler oft nicht nach Input von Sicherheitskollegen, weil sie befürchten, dass dies den Veröffentlichungsprozess verlangsamt. Zur Zusammenarbeit kommt es nur, wenn ein potenzielles Problem erkannt wird – was oft zu spät ist, um mögliche Auswirkungen auf die Endbenutzer zu vermeiden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
DevSecOps bringt ITOps- und SecOps-Teams zusammen, sodass Anwendungssicherheit und Compliance Testing in jede Phase des Anwendung-Lebenszyklus integriert werden – von der Planung bis zur Bereitstellung. Mit diesem Ansatz können Entwickler Sicherheit in jede Code-Zeile einbetten, was zu mehr Anwendungssicherheit und einer einfacheren Sicherheitsverwaltung vor, während und nach der Veröffentlichung führt.
Sicherheitsschwachstellen werden aktuell erst in letzter Minute vor der Markteinführung behoben oder gar erst nach Freigabe der Anwendung erkannt. Diese Situation können IT-Abteilungen künftig vermeiden. So lassen sich Sicherheitsrisiken und -prioritäten während der Planungsphasen von Sicherheitsteams analysieren und bewerten, um die Grundlage für eine reibungslose Entwicklung zu schaffen.
Fazit
Immer mehr IT-Führungskräfte erkennen, dass ein DevSecOps-Ansatz für ihr Unternehmen jetzt unerlässlich ist, um sich effektiv gegen einen mehrstufigen Sicherheitsangriff auf den gesamten Anwendungsstack zu schützen. Zudem wissen sie, dass der Wechsel zu DevSecOps ihnen und ihrem Team auf persönlicher Ebene die Möglichkeit bietet, ihre Fähigkeiten und ihr Wissen zu erweitern.
Tommy Ziegler
(Bild: AppDynamics)
Für DevOps-Teams ist der Wechsel zu DevSecOps die natürliche Weiterentwicklung der Arbeit, die sie in den letzten drei Jahren geleistet haben. Der Schlüssel liegt nun darin, sicherzustellen, dass sie über die richtigen Tools, Insights und Fähigkeiten verfügen, um den Übergang ohne Probleme zu vollziehen.
* Tommy Ziegler ist Leader Sales Engineering bei AppDynamics.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/49/f0/49f0dcf29f3c7961c16d8f24bf5cd8dd/0128852664v2.jpeg "Nutzen Cyberkriminelle die kritische Sicherheitslücke in HPE OneView erfolgreich aus, sind sie in der Lage, Zugriff auf Systemressourcen zu erlangen und schädliche Änderungen vorzunehmen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ab/c4/abc4346adf0d031c478a138dd10e3ec9/0128637719v2.jpeg "Die Schwachstelle, die HashJack ausnutzt, besteht laut Cato darin, dass KI-Browser unsichtbare URL-Fragmente lokal verarbeiten und deren versteckte Befehle ungeprüft in den Kontext des KI-Assistenten übernehmen. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/1b/d6/1bd65487872c5a13507782e703434a9e/0128868304v1.jpeg "KI kann als Enabler für effektive Compliance und Governance dienen, indem sie die Automatisierung von Risikoanalysen und Richtlinienentwicklungen unterstützt und somit die Herausforderungen der rasant wachsenden KI-Regulierungen in praktikable Lösungen umwandelt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6e/2d/6e2dae8dfad47cd031d8727dc87e578b/0128886755v1.jpeg "Lohn- und Gehaltsabrechnungen enthalten besonders sensible personenbezogene Daten und unterliegen strengen datenschutzrechtlichen Anforderungen. (Bild: © StockPhotoPro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/9a/c99a8808294a5aafcf9b076f7e8f9f1e/0122470970v1.jpeg "Der Microsoft Patchday im Januar 2026 zeigt erneut eine starke Konzentration auf lokale Rechteausweitungen und komplexe Angriffsketten, die Speicherlecks, Kernel-Bugs und Virtualisierungskomponenten kombinieren. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6e/25/6e25fe25fd017458e7c3c2cca2629623/0128786853v2.jpeg "Mit FRITZ!OS 8.20 bringt AVM neue Funktionen, u.a. Fritz! Failsafe als Ausfallschutz für die Internetverbindung. (Bild: AVM GmbH)")
:quality(80)/p7i.vogel.de/wcms/94/d1/94d1da55da4af6da014a7d9d42576ca8/0128830479v2.jpeg "Crowdstrike übernimmt den Identitätsspezialisten SGNL. Diese Akquisition zielt darauf ab, die Next-Gen Identity Security auszubauen und Zugriffe von menschliche sowie nicht-menschliche Identitäten sicherer zu verwalten. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1c/f5/1cf5cfb8d1888abeecba82e9c7e396f1/0127320123v1.jpeg "SSoT ist keine neue Technologie, spielt aber eine immer wichtigere Rolle in modernen Netzwerken. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/94/8a/948a5edd42fe80e9ebea60a60ec4af59/0128868821v2.jpeg "Schatten-IT verursacht Kosten und Sicherheitsrisiken. IT-Teams können dem entgegenwirken, indem sie Benutzerfeedback sammeln, die Nutzung von Software analysieren, offizielle Tools optimieren, Compliance in tägliche Workflows integrieren und Sicherheitskultur durch ständige Schulungen fördern. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/59/c4/59c4f2a04e0ef7b4f54adb068ab8b3b3/0124178820v1.jpeg "Um seine Multi-Cloud-Umgebungen zu schützen, müssen die Risiken erstmal erkannt und analysiert werden. Daraufhin gibt es einen möglichen Sicherheits-Fahrplan, den Security-Spezialist Thorsten Henning von Fortinet empfiehlt. (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/d9/41d92513855f8edc365b723bc094a6bb/0123813981v2.jpeg "ASPM-Lösungen erleichtern die Zusammenarbeit im DevSecOps-Team und helfen die Aufgabenbereiche nahtlos miteinander zu verbinden. (Bild: stone36 - stock.adobe.com)")