Search Icon
ConnectProfessional Logo
Search Icon

DevSecOps

Warum sichere Softwareentwicklung Teamwork ist

30. Januar 2023, 8:00 Uhr | Autor: Thorben Jändling / Redaktion: Diana Künstler
Team auf einem Segelboot
© Alvov | Shutterstock

Die Cybersicherheitslage verschlechtert sich zusehends. Der ausreichende Schutz sollte dabei nicht nur während des Betriebs eine Rolle spielen, sondern auch bereits bei der Entwicklung von Applikationen berücksichtigt werden. Ein DevSecOps-Team kann hier seine Vorteile ausspielen.

Der Artikel beantwortet unter anderem folgende Fragen:

  • Wie ist die Cybersicherheitslage für Unternehmen in Deutschland?
  • Was ist DevSecOps?
  • Wozu ist DevSecOps eigentlich gut?
  • Welche Rolle spielen die Führungskräfte beim Überdenken von Zusammenarbeit?
  • Wie kann DevSecOps umgesetzt werden?

Die zunehmende Digitalisierung führt zu einer Verschlechterung der  Sicherheitslage – laut BKA stieg die Zahl der registrierten Cyber-Kriminalität in Deutschland im Jahr 2021 um mehr als zwölf Prozent im Vergleich zum Vorjahr. Die Zeiten, in denen ausgeklügelte Angriffe nur große Unternehmen betrafen, gehören der Vergangenheit an. Heute sind Organisationen aller Größen und Branchen potenzielle Ziele und Lieferketten geraten in das Visier der Angreifer. Dabei sind Angriffe auf kleinere Unternehmen oftmals nur ein Umweg, um größere Unternehmen zu infiltrieren, die ihre Software kaufen. Darüber hinaus werden auch systemkritische Einrichtungen wie das Bildungs-, Energie- und Gesundheitswesen sowie Behörden Opfer von Angriffen.

Der wirtschaftliche Schaden geht mittlerweile in die Milliarden, der existenzielle ist noch nicht abschätzbar. Gleichzeitig nimmt die Geschwindigkeit bei der Software-Entwicklung rasant zu. Das höhere Entwicklungstempo und die damit verbundenen Risiken zeigen: Unternehmen und ihre IT-Verantwortlichen müssen Sicherheitsmaßnahmen bereits zu Beginn der Entwicklungsphasen in die Planung einbeziehen. Cyber-Angriffe lassen sich nicht vollständig vermeiden. Allerdings können Organisationen bereits zu Beginn sicherstellen, dass ihre Software so gut wie möglich geschützt ist. Firmen sollten daher geeignete Entwicklungs-, Sicherheits- und IT-Betriebsprozesse (DevSecOps) einführen. Denn nur so ist gewährleistet, dass die Security-Teams potenzielle Schwachstellen in Anwendungen und Workflows identifizieren und schließen.

Anbieter zum Thema

d.velop AG
Gamma Communications GmbH
baramundi software AG
estos GmbH
GoTo Technologies Germany GmbH
Matchmaker+
zu Matchmaker+

Wozu ist DevSecOps eigentlich gut?

DevSecOps bedeutet, dass Security bereits während der Planung von Applikationen berücksichtigt wird. Sie ist fest im Entwicklungszyklus verankert und ist ein zentraler Bestandteil des Prozesses – und kein Nachgedanke. Darüber hinaus werden aber auch die Bereitstellung und der Betrieb berücksichtigt. Sicherheit wird so zu einer gemeinsamen Verantwortung der Entwicklungs-, Sicherheits- und IT-Betriebsteams. Ein Novum, denn in den meisten Unternehmen arbeiten Software-Ingenieure, Security- und Operations-Teams nicht (gut) zusammen. Der Grund war oft ein grundlegender Unterschied in der Prioritätensetzung: Aus Sicht der Entwickler verzögerten die Security-Teams oft die Einführung von Software; die Entwickler berücksichtigten nach Ansicht der Sicherheitsexperten die Risikofaktoren zu wenig. Ein scheinbar unlösbares Paradigma.

Kurzgefasst: DevSecOps
DevSecOps – kurz für Development (Entwicklung), Security (Sicherheit) und Operations (operative Prozesse) – bezeichnet keine Technologie, sondern einen kulturellen Wandel in der Softwareentwicklung. Ziel des DevSecOps-Ansatzes ist es, die IT-Sicherheit in den heutzutage typischerweise rasanten Entwicklungszyklen (Stichwort DevOps) zu verankern.

Genau hier setzt DevSecOps an: Durch die frühzeitige Einbeziehung verschiedener Bereiche in die Planung, Entwicklung und Implementierung wird die Verantwortung für die Sicherheit auf mehrere Parteien verteilt. Die Zusammenarbeit eines DevSecOps-Teams führt nicht nur zu einem besseren Verständnis füreinander, sondern durch die zusätzlichen Kontrollen lassen sich Schwachstellen auch schneller erkennen und beheben. Durch die frühzeitige Zusammenarbeit der Teams werden Sicherheitsaufgaben, die sonst erst später im Entwicklungszyklus anfallen würden, bereits in der Entwurfs- und Planungsphase durchgeführt.

Ein strategischer wie auch kultureller Vorteil der Zusammenarbeit: Die unterschiedlichen Teams nutzen ihr Wissen über die unterschiedlichen Disziplinen hinweg. Die Teams arbeiten so nicht mehr wie bislang in Silos, sondern sie tauschen sich kontinuierlich aus. Sie erkennen und lösen Probleme früher und schneller.

Die Rolle der Führungskräfte

Aber nicht nur die Mitarbeiter müssen ihre Zusammenarbeit neu überdenken, sondern auch die Führungskräfte. Führungskräfte wie CIOs oder CISOs müssen den technologischen Fortschritt in Unternehmen leiten und strategisch ausrichten. Sie spielen aber auch eine wichtige Rolle, wenn es darum geht, moderne Technologien zu implementieren.

Die IT-Welt verändert sich kontinuierlich, und damit auch die technischen Infrastrukturen. Um den zunehmenden Sicherheitsbedrohungen langfristig zu begegnen, müssen CIOs und CISOs die bestehenden Strukturen kontinuierlich überprüfen, ihre Betriebskultur anpassen und neue Bausteine wie DevSecOps integrieren. Wichtig ist, dass das Management dafür sorgt, dass Security-Maßnahmen höchste Priorität haben. Neben der Bereitstellung neuer Tools ist es aber auch wichtig, die Mitarbeiter entsprechend zu schulen und den Austausch zwischen den unterschiedlichen Teams und Abteilungen zu fördern.

Flexible Implementierung und geteilte Verantwortung

Bei DevSecOps gibt es kein Einheitsmodell, die Umsetzung muss individuell und innerhalb der Teams erfolgen. Manager sollten lediglich die notwendigen Spezifikationen entwickeln und dann den Teams die Freiheit geben, innerhalb dieses Rahmens zu arbeiten. Nur wenn eingefahrene Unternehmensstrukturen aufgebrochen werden, können die verschiedenen Teams gemeinsam an den bestmöglichen und sichersten Ergebnissen arbeiten. Eine nachhaltige Integration ist erst möglich, wenn sich die Organisationskultur insgesamt verändern. Die Verantwortung dafür liegt bei allen Mitarbeitern im Unternehmen: Führungskräften, Entwicklungs-, Sicherheits- und Betriebsteams. Angesichts des zunehmenden Innovationstempos und der kritischen Sicherheitslage sollten sie diese Herausforderung nicht länger aufschieben.

Thorben Jändling, Senior Solutions Architect, Global Security Specialist Group bei Elastic

Das könnte Sie auch interessieren

Tangible Ecosystem Design

Design und Software Engineering

Gesucht: Diverse Weltverbesserer

Connected Car

Nachfrage nach Software steigt

Zeitenwende in der Automobilindustrie

Programmierung

Programmierung

Die Skills hinter der Softwareentwicklung

Software-Entwicklung

Sicherheitsstandards

Der Schritt Null in der Software-Lieferkette

Verwandte Artikel

connect professional

Geld, Geschäftsmodell

Geschäftsmodelle in der Digital Society

Wachstumstreiber Subscription Economy

Ferrari

Kundendaten gestohlen

Hackerangriff auf Ferrari

Cloud, SaaS

Datenmanagement-Software

Die Wahl zwischen On-Premises und SaaS

Matchmaker+
estos GmbH

estos GmbH

GN Audio Germany GmbH / Jabra

GN Audio Germany GmbH / Jabra

EPOS Germany GmbH

EPOS Germany GmbH
Gamma Communications GmbH

Gamma Communications GmbH

GoTo Technologies Germany GmbH

GoTo Technologies Germany GmbH
G DATA CyberDefense AG

G DATA CyberDefense AG