:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
DevSecOps effizient umgesetzt So klappt eine reibungslose DevSecOps-Einführung
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Die Abwehr von intelligenter Malware oder raffinierten Phishing-Angriffen, das sichere Auslagern von Assets in die Cloud sowie das Einhalten von immer komplexeren Datenschutzrichtlinien erfordert von Unternehmen eine nachhaltige Sicherheitsstrategie. Diese muss unternehmensweit adaptiert werden und möglichst alle Schwachstellen abdecken. Die Umsetzung eines DevSecOps-Ansatzes kann dies unterstützen.
Was versteht man unter DevSecOps? Kurz gesagt meint DevSecOps ein effizientes, reibungsloses Zusammenspiel zwischen der IT-Security eines Unternehmens und den IT-Operations mit dem Ziel, Sicherheitsrisiken zu minimieren.
Wer DevSecOps besser verstehen möchte, sollte zunächst einen Blick auf das mittlerweile allseits bekannte Pendant – den DevOps-Ansatz – werfen. Der Sinn dieser Prozessverbesserungsmethode ist es, das isolierte Arbeiten der Entwicklungs- und Operation-Teams hinter sich zu lassen und stattdessen eine effizientere Zusammenarbeit und Prozessautomatisierung zu forcieren. Dies geschieht durch von Integration von Tools, Praktiken und Prozessen und hat eine Optimierung der Entwicklungsgeschwindigkeit, Software-Qualität und Markteinführungszeit zur Folge.
DevSecOps geht nun noch einen Schritt weiter und bezieht hier auch den Sicherheitsaspekt mit ein, indem Sicherheitsüberlegungen und -maßnahmen in alle Entwicklungs- und Operation-Prozesse integriert werden.
Was sind die Ziele von DevSecOps?
Die Idee hinter DevSecOps ist es, den Sicherheitsstatus eines Unternehmens sowie seiner Produkte und Dienstleistungen zu verbessern, indem IT-Security zur gemeinsamen Verantwortung aller IT-Mitarbeiter gemacht wird. Verfolgt ein Unternehmen bereits erfolgreich einen DevOps-Ansatz, ist die Einführung von DevSecOps letztlich eine natürliche und unkomplizierte Erweiterung. Für alle anderen gilt es, zunächst eine verständliche Roadmap zu erstellen. Dabei sollte man ein Bewusstsein dafür schaffen, wie sich neue Sicherheitsmaßnahmen auf den Alltag der Teams und den gesamten Geschäftsbetrieb auswirken. Gemäß der Weisheit „Man ist nur so stark wie das schwächste Glied“, sollte das Ziel sein, das Sicherheitsbewusstsein aller Beteiligten zu schärfen, und dafür zu sorgen, dass sie über das gesamte operative „Spielfeld“ hinweg im Sinne der Security zusammenarbeiten.
Der Schlüssel zur Vereinfachung und Standardisierung von Sicherheitsoperationen ist dabei eine flächendeckende Automatisierung. Um diese zu erreichen, müssen nutzerfreundliche Tools zum Einsatz kommen, die teamübergreifend eingesetzt werden können. Besonders erfolgversprechend sind Werkzeuge mit starken und konsistenten APIs, die in die Entwicklungs-, Betriebs- und Sicherheitsbereiche integriert werden können, diese unterstützen und gemäß dem Wachstum von Projekten oder skalierbar sind.
Welche Vorteile bieten DevSecOps?
Die Adaption des DevSecOps-Modells geht wirtschaftlich betrachtet mit mehreren entscheidenden Vorteilen einher. Allen voran sorgen ein reduziertes Risiko für Cyberangriffe und Datenschutzverletzungen sowie erhöhte Reaktionszeiten für geringere Ausfälle und damit verbunden weniger Kosten und mehr Vertrauen der Verbraucher und Partner in die Produkte und Services des Unternehmens. Da die Sicherheitsfunktionen in jede Phase des Entwicklungszyklus integriert werden, können Patches schneller und häufiger durchgeführt und Code stabiler entwickelt und sicherer versendet werden, was Betriebsstörungen und Ausfallzeiten drastisch reduziert. Dies führt zudem zu einer Produktivitätssteigerung, da die Mitarbeiter effizienter zusammenarbeiten und von verständlichen Vorgaben profitieren.
Außerdem wirkt sich die Integration eines DevSecOps-Ansatzes in der Regel positiv auf den ROI aus, da die Automatisierung und vergemeinschaftete Verantwortung den Bedarf an teuren Sicherheitsmaßnahmen wie etwa externen Analysten deutlich reduziert und auch die dank Fachkräftemangel hohen Personalkosten im Bereich interner SOC nachhaltig senkt.
Best Practices für eine reibungslose DevSecOps-Implementierung
Damit die Implementierung von DevSecOps gelingt, empfiehlt sich eine schrittweise Umsetzung verschiedener Maßnahmen. Folgende fünf Best Practices können Unternehmen dabei helfen.
1. Durchführung eines Risiko-Audits
Die Basis einer effektiven DevSecOps-Implementierung ist die Durchführung eines umfangreichen Risiko-Audits. Dabei wird abgeklärt, welche Risiken ein Unternehmen bzw. dessen Projekte besonders bedrohen. Dazu können Schwachstellen in der Lieferkette, Industriespionage, Datendiebstahl oder Insider-Bedrohungen gehören. Die Herausforderung ist dabei, nicht bloß ein allgemeines Bedrohungsprofil zu erstellen, sondern unternehmens- und branchenspezifische Risikofaktoren herauszuarbeiten.
2. Risiken priorisieren
Der nächste Schritt ist schließlich eine Bewertung und Priorisierung der Risiken nach Schweregrad und Wahrscheinlichkeit. So dürfte ein vollständiger Stillstand des Geschäftsbetriebs aufgrund eines kompletten Ausfalls der Cloud-Infrastruktur zwar schwerwiegende Konsequenzen bedeuten, aber wie wahrscheinlich ist es, das dies passiert? Deutlich wahrscheinlicher dürfte hingegen der Verlust oder Diebstahl eines Firmen-Laptops sein, wenngleich die damit verbundenen Sicherheitsrisiken und Konsequenzen eventuell deutlich geringer ausfallen würden. Auf Fragen wie diese, müssen Sicherheitsverantwortliche quantifizierbare Antworten geben können.
3. Sicherstellen einer grundlegenden Cyberhygiene
Zu den Grundlagen einer guten Cyberhygiene gehören heutzutage unter anderem 2-Faktor-Authentifizierung, starke Passwörter, VPN, Phishing-Erkennung sowie eine automatisierte Endpunktschutzlösung, die Malware wirksam identifiziert. Maßnahmen wie diese müssen konsequent umgesetzt sein, um eine Basis an Prävention gewährleisten zu können, die Grundlage für weitere Security-Prozesse ist.
4. Für Transparenz über das Netzwerk hinweg sorgen
Mit einer zunehmenden Anzahl von Endpunkten, die sich von außerhalb des traditionellen Netzwerkperimeters mit den Cloud-Ressourcen eines Unternehmens verbinden, ist eine umfassende Netzwerktransparenz für DevSecOps von entscheidender Bedeutung. Hier muss sichergestellt werden, dass die Teams über Sicherheitswerkzeuge verfügen, die keine spezielle Schulung erfordern und die Produktivität nicht beeinträchtigen.
5. Kommunikation und Zusammenarbeit fördern
IT-Sicherheit in Unternehmen ist ein Gemeinschaftsprojekt, das mit dem Engagement jedes einzelnen Mitarbeiters steht und fällt. Für DevSecOps-Prozesse gilt dies umso mehr, weshalb der Aufbau von kollaborativen Teams und Arbeitspraktiken von entscheidender Bedeutung ist.
Fazit
Beim DevSecOps-Ansatz liegt die Sicherheit in der Verantwortung aller Teammitglieder und wird gleichzeitig in allen Phasen und Entwicklungen mitgedacht. Schritt für Schritt eingeführt und umgesetzt minimiert DevSecOps unternehmensweite Schwachstellen, verbessert die Compliance sowie das Vorfallmanagement und vereinfacht Patches, was wesentlich zu einer Erhöhung der Produktivität und Kundenzufriedenheit beiträgt.
Über den Autor: Matthias Canisius ist Regional Director CE & EE von SentinelOne und trägt in dieser Position die Gesamtverantwortung für die strategische und operative Geschäftsentwicklung des Unternehmens in Zentral- und Osteuropa.
(ID:46488216)
:quality(80)/p7i.vogel.de/wcms/0e/23/0e230de1c20fb230dcb9f53eb72377e1/0111159525.jpeg "Das rasant zunehmende Entwicklungstempo und die zunehmenden Risiken unterstreichen die Notwendigkeit für CISOs, sich mit DevSecOps zu befassen. (Bild: Rawf8 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/1a/bd1ac90224b6e4fccd241ea079a4bd0a/0110982133.jpeg "Die Mitarbeiter spielen bei der Sicherheit in Cloud-nativen Umgebungen ebenso eine Rolle wie auch technische Maßnahmen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")