:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
DevSecOps effizient umgesetzt So klappt eine reibungslose DevSecOps-Einführung
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Die Abwehr von intelligenter Malware oder raffinierten Phishing-Angriffen, das sichere Auslagern von Assets in die Cloud sowie das Einhalten von immer komplexeren Datenschutzrichtlinien erfordert von Unternehmen eine nachhaltige Sicherheitsstrategie. Diese muss unternehmensweit adaptiert werden und möglichst alle Schwachstellen abdecken. Die Umsetzung eines DevSecOps-Ansatzes kann dies unterstützen.
Was versteht man unter DevSecOps? Kurz gesagt meint DevSecOps ein effizientes, reibungsloses Zusammenspiel zwischen der IT-Security eines Unternehmens und den IT-Operations mit dem Ziel, Sicherheitsrisiken zu minimieren.
Wer DevSecOps besser verstehen möchte, sollte zunächst einen Blick auf das mittlerweile allseits bekannte Pendant – den DevOps-Ansatz – werfen. Der Sinn dieser Prozessverbesserungsmethode ist es, das isolierte Arbeiten der Entwicklungs- und Operation-Teams hinter sich zu lassen und stattdessen eine effizientere Zusammenarbeit und Prozessautomatisierung zu forcieren. Dies geschieht durch von Integration von Tools, Praktiken und Prozessen und hat eine Optimierung der Entwicklungsgeschwindigkeit, Software-Qualität und Markteinführungszeit zur Folge.
DevSecOps geht nun noch einen Schritt weiter und bezieht hier auch den Sicherheitsaspekt mit ein, indem Sicherheitsüberlegungen und -maßnahmen in alle Entwicklungs- und Operation-Prozesse integriert werden.
Was sind die Ziele von DevSecOps?
Die Idee hinter DevSecOps ist es, den Sicherheitsstatus eines Unternehmens sowie seiner Produkte und Dienstleistungen zu verbessern, indem IT-Security zur gemeinsamen Verantwortung aller IT-Mitarbeiter gemacht wird. Verfolgt ein Unternehmen bereits erfolgreich einen DevOps-Ansatz, ist die Einführung von DevSecOps letztlich eine natürliche und unkomplizierte Erweiterung. Für alle anderen gilt es, zunächst eine verständliche Roadmap zu erstellen. Dabei sollte man ein Bewusstsein dafür schaffen, wie sich neue Sicherheitsmaßnahmen auf den Alltag der Teams und den gesamten Geschäftsbetrieb auswirken. Gemäß der Weisheit „Man ist nur so stark wie das schwächste Glied“, sollte das Ziel sein, das Sicherheitsbewusstsein aller Beteiligten zu schärfen, und dafür zu sorgen, dass sie über das gesamte operative „Spielfeld“ hinweg im Sinne der Security zusammenarbeiten.
Der Schlüssel zur Vereinfachung und Standardisierung von Sicherheitsoperationen ist dabei eine flächendeckende Automatisierung. Um diese zu erreichen, müssen nutzerfreundliche Tools zum Einsatz kommen, die teamübergreifend eingesetzt werden können. Besonders erfolgversprechend sind Werkzeuge mit starken und konsistenten APIs, die in die Entwicklungs-, Betriebs- und Sicherheitsbereiche integriert werden können, diese unterstützen und gemäß dem Wachstum von Projekten oder skalierbar sind.
Welche Vorteile bieten DevSecOps?
Die Adaption des DevSecOps-Modells geht wirtschaftlich betrachtet mit mehreren entscheidenden Vorteilen einher. Allen voran sorgen ein reduziertes Risiko für Cyberangriffe und Datenschutzverletzungen sowie erhöhte Reaktionszeiten für geringere Ausfälle und damit verbunden weniger Kosten und mehr Vertrauen der Verbraucher und Partner in die Produkte und Services des Unternehmens. Da die Sicherheitsfunktionen in jede Phase des Entwicklungszyklus integriert werden, können Patches schneller und häufiger durchgeführt und Code stabiler entwickelt und sicherer versendet werden, was Betriebsstörungen und Ausfallzeiten drastisch reduziert. Dies führt zudem zu einer Produktivitätssteigerung, da die Mitarbeiter effizienter zusammenarbeiten und von verständlichen Vorgaben profitieren.
Außerdem wirkt sich die Integration eines DevSecOps-Ansatzes in der Regel positiv auf den ROI aus, da die Automatisierung und vergemeinschaftete Verantwortung den Bedarf an teuren Sicherheitsmaßnahmen wie etwa externen Analysten deutlich reduziert und auch die dank Fachkräftemangel hohen Personalkosten im Bereich interner SOC nachhaltig senkt.
Best Practices für eine reibungslose DevSecOps-Implementierung
Damit die Implementierung von DevSecOps gelingt, empfiehlt sich eine schrittweise Umsetzung verschiedener Maßnahmen. Folgende fünf Best Practices können Unternehmen dabei helfen.
1. Durchführung eines Risiko-Audits
Die Basis einer effektiven DevSecOps-Implementierung ist die Durchführung eines umfangreichen Risiko-Audits. Dabei wird abgeklärt, welche Risiken ein Unternehmen bzw. dessen Projekte besonders bedrohen. Dazu können Schwachstellen in der Lieferkette, Industriespionage, Datendiebstahl oder Insider-Bedrohungen gehören. Die Herausforderung ist dabei, nicht bloß ein allgemeines Bedrohungsprofil zu erstellen, sondern unternehmens- und branchenspezifische Risikofaktoren herauszuarbeiten.
2. Risiken priorisieren
Der nächste Schritt ist schließlich eine Bewertung und Priorisierung der Risiken nach Schweregrad und Wahrscheinlichkeit. So dürfte ein vollständiger Stillstand des Geschäftsbetriebs aufgrund eines kompletten Ausfalls der Cloud-Infrastruktur zwar schwerwiegende Konsequenzen bedeuten, aber wie wahrscheinlich ist es, das dies passiert? Deutlich wahrscheinlicher dürfte hingegen der Verlust oder Diebstahl eines Firmen-Laptops sein, wenngleich die damit verbundenen Sicherheitsrisiken und Konsequenzen eventuell deutlich geringer ausfallen würden. Auf Fragen wie diese, müssen Sicherheitsverantwortliche quantifizierbare Antworten geben können.
3. Sicherstellen einer grundlegenden Cyberhygiene
Zu den Grundlagen einer guten Cyberhygiene gehören heutzutage unter anderem 2-Faktor-Authentifizierung, starke Passwörter, VPN, Phishing-Erkennung sowie eine automatisierte Endpunktschutzlösung, die Malware wirksam identifiziert. Maßnahmen wie diese müssen konsequent umgesetzt sein, um eine Basis an Prävention gewährleisten zu können, die Grundlage für weitere Security-Prozesse ist.
4. Für Transparenz über das Netzwerk hinweg sorgen
Mit einer zunehmenden Anzahl von Endpunkten, die sich von außerhalb des traditionellen Netzwerkperimeters mit den Cloud-Ressourcen eines Unternehmens verbinden, ist eine umfassende Netzwerktransparenz für DevSecOps von entscheidender Bedeutung. Hier muss sichergestellt werden, dass die Teams über Sicherheitswerkzeuge verfügen, die keine spezielle Schulung erfordern und die Produktivität nicht beeinträchtigen.
5. Kommunikation und Zusammenarbeit fördern
IT-Sicherheit in Unternehmen ist ein Gemeinschaftsprojekt, das mit dem Engagement jedes einzelnen Mitarbeiters steht und fällt. Für DevSecOps-Prozesse gilt dies umso mehr, weshalb der Aufbau von kollaborativen Teams und Arbeitspraktiken von entscheidender Bedeutung ist.
Fazit
Beim DevSecOps-Ansatz liegt die Sicherheit in der Verantwortung aller Teammitglieder und wird gleichzeitig in allen Phasen und Entwicklungen mitgedacht. Schritt für Schritt eingeführt und umgesetzt minimiert DevSecOps unternehmensweite Schwachstellen, verbessert die Compliance sowie das Vorfallmanagement und vereinfacht Patches, was wesentlich zu einer Erhöhung der Produktivität und Kundenzufriedenheit beiträgt.
Über den Autor: Matthias Canisius ist Regional Director CE & EE von SentinelOne und trägt in dieser Position die Gesamtverantwortung für die strategische und operative Geschäftsentwicklung des Unternehmens in Zentral- und Osteuropa.
(ID:46488216)
:quality(80)/images.vogel.de/vogelonline/bdb/1917400/1917436/original.jpg "DevSecOps ist eine Erweiterung des DevOps-Konzepts um Sicherheitsaspekte. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1934600/1934668/original.jpg "Je besser Security und DevOps verzahnt sind, desto schneller können Features bereitgestellt werden. (Alex – stock.adobe.com)")