Share
Beitragsbild zu DevSecOps – Mehr als nur ein Hype

DevSecOps – Mehr als nur ein Hype

Es ist 10 Jahre her, dass DevOps zum ersten Mal die Runde machte. Seitdem können Entwicklungs- und Betriebsteams dank dieses damals noch neuen Ansatzes zur Softwareentwicklung ihre Zusammenarbeit verbessern und gemeinsame Geschäftsziele schneller erreichen. Die einzelnen Teams wurden flinker und reaktionsschneller, nicht nur gegenüber Kunden, sondern auch gegenüber sich ändernden Technologien, Marktbedingungen und externen Ereignissen. Erfolgreich eingesetzte DevOps-Praktiken stellten eine Bereicherung für den Arbeitsalltag der Mitarbeitenden dar und sorgten für höhere Zufriedenheit sowie geringere Fluktuation im Unternehmen. Die klar erkennbaren Vorteile sorgten dafür, dass die Einführung von DevOps für viele Unternehmen zur Priorität wurde.

Von DevOps zu DevSecOps

Und heute? Heute ist DevOps wichtiger denn je, und unerlässlich für den Aufbau und Betrieb marktführender Dienste und Anwendungen. Doch die Entwicklerlandschaft verändert sich stets und die digitale Welt wird immer tückischer. Sicherheitsrisiken und Cyberangriffe häufen sich und Unternehmen, die ihre Daten nicht angemessen verwalten oder die Integrität der Daten nicht gewährleisten, sind nun ernsthaften wirtschaftlichen Risiken ausgesetzt. Erst kürzlich wurden Media Markt und Saturn Opfer eines Hackerangriffs, bei welchem die Angreifer eine Ransomware einschleusten und damit alle Daten auf den Systemen des Unternehmens verschlüsselten. Infolgedessen waren die Kassen- und Warenwirtschaftssysteme aller Filialen außer Betrieb, sodass ausschließlich der Verkauf von Bestandsware möglich war.

Um wettbewerbsfähig zu bleiben, müssen Unternehmen diesen Gefahren immer einen Schritt voraus sein. Und hier kommt DevSecOps ins Spiel, als eine absolut notwendige Weiterentwicklung der 10 Jahre alten DevOps-Bewegung. Viele Projekte verzögern sich, weil Schwachstellen und Sicherheitsprobleme nicht angemessen berücksichtigt und zu spät entdeckt werden. Geändert Fristen, zusätzliche Ressourcen, höhere Ausgaben und frustrierte Teams sind die Folge. DevOps ohne Sec führt zu Glaubwürdigkeitsproblemen im Unternehmen und macht Anwendungen und Systeme angreifbar, was sowohl für Unternehmen als auch ihre Kunden gefährlich werden kann. Daher führt an DevSecOps kein Weg vorbei. Damit Unternehmen sowohl wettbewerbsfähig als auch widerstandsfähig bleiben, müssen Sicherheitsteams viel stärker in die Softwareentwicklung und -bereitstellung integriert werden. Es gibt einige Strategien, die erfolgreich angewendet dafür sorgen können, dass Sicherheitsteams und Entwicklungs- und Betriebsteams näher zusammenrücken.

Klein anfangen

Zunächst muss klar sein, dass DevSecOps ein kontinuierlicher Prozess ist, der mit kleinen Schritten beginnt. Teamleiter können die Einführung von DevSecOps einleiten, indem sie Sicherheitsexperten einladen und diese bitten, an DevOps-Teambesprechungen teilzunehmen, sich und ihre Arbeit vorzustellen und somit das Gespräch in Gang zu bringen. Gemeinsam können die Teams nun beispielsweise einen vorangegangenen Sicherheitsvorfall besprechen. Dabei ist es besonders wichtig, aufgeschlossen zu bleiben und sich Zeit zu nehmen, die Prioritäten der Sicherheitsexperten zu verstehen und die DevOps-Ziele damit in Einklang zu bringen. Somit können Sicherheitsteams zukünftig zur Softwareentwicklung beitragen und erhalten gleichzeitig Unterstützung von DevOps-Teams, um ihre eigenen Ziele zu erreichen – eine absolute Win-Win-Situation!

Es ist außerdem wichtig, sich nicht von großen, etablierten Unternehmen wie Facebook, Netflix oder Google entmutigen zu lassen, auch wenn diese in Sachen DevSecOps schon einige Schritte weiter sind und die neuen Praktiken bereits gewinnbringend einsetzen. Vielmehr sollte man sich davon motivieren lassen. Was die können, das können Sie schon lange! Große Unternehmen sind eher in der Lage, Prozessänderungen umfassend und auf Spitzenniveau zu implementieren. Es empfiehlt sich, deren Erfahrungen als Referenzmaterial heranzuziehen. Doch der Fokus sollte stets auf dem eigenen Unternehmen liegen und darauf, schrittweise Verbesserungen vorzunehmen, die sich schnell in besseren Geschäftsergebnissen und geringeren Risiken niederschlagen werden. Ob dabei die gleichen Prozesse wie in großen Unternehmen zum Tragen kommen, ist unerheblich.

Ein Schritt nach links

Eine DevSecOps-Umfrage von Datadog enthält einige aufschlussreiche Erkenntnisse und Möglichkeiten, die Führungskräften helfen, die Einführung von DevSecOps in ihrem Unternehmen weiter voranzutreiben. Ein wichtiges Element dabei ist beispielsweise das „Shifting Left“, bei dem Sicherheitskontrollen, -praktiken und -fachwissen viel früher im Arbeitszyklus der Softwareentwicklung eingeführt werden. Die unter 400 Teilnehmern durchgeführte Umfrage ergab, dass bisher in erschreckend wenig Unternehmen „Shifting Left“-Praktiken angewandt werden: Nur 33 Prozent der Unternehmen führen während der Entwurfsphase bereits eine Risikobewertung für einen neuen Dienst durch. 50 Prozent führen während der Entwicklungsphase eine statische Codeanalyse durch, um die Übertragung von anfälligem Code zu verhindern, und nur 35 Prozent greifen auf eine dynamische Codeüberprüfung von festgeschriebenem Code zurück. Die Einführung dieser Verfahren sollte Priorität haben und es gibt zahlreiche Anbieter, die Teams bei der Umsetzung unterstützen können.

Auch bei der Durchführung von Belastungstests gibt es definitiv noch Luft nach oben. Gerade einmal 17 Prozent der Unternehmen führen Chaostests oder Game Days durch, anhand derer Ausfälle oder spezifische Ereignisse simuliert werden, um Systeme, Prozesse und Teamreaktionen zu testen. 28 Prozent führen Red-Team-Tests und Abwehrsimulationen durch, um die Gefahrenerkennung sowie die operativen Fähigkeiten der Mitarbeiter zu verbessern, und immerhin 43 Prozent verfügen über eine Disaster-Recovery-Strategie, die in regelmäßigen Abständen getestet wird.

Die Kosten, die solche Vorgänge verursachen, sind nicht besonders hoch – vor allem wenn man ihren Mehrwert bedenkt. Heutzutage ist es unerlässlich, Ernstfälle wie Ransomware-Attacken zu proben, denn die Frage ist nicht ob, sondern wann ein solcher Vorfall eintritt. Entwickler- und Securityteams müssen wissen, wie sie in diesen Situationen schnellstmöglich handeln können, um die Geschäftsfähigkeit durch möglichst kurze Ausfallzeiten sicherzustellen.

Auf die Menschen kommt es an

Täglich bekommen Führungskräfte Angebote von verschiedensten Serviceanbietern mit den Versprechen, Geld einzusparen oder Sicherheit in einer immer gefährlicheren Online-Welt zu gewährleisten. Da ist es verständlich, dass manche Führungskräfte denken, bei DevSecOps handle es sich einfach um ein weiteres Tool. Doch DevSecOps ist vor allem eine Denkweise, eine spezielle Einstellung und eine Art der Zusammenarbeit, die einem Unternehmen dabei hilft, die Softwarebereitstellung und den Kundenservice zu verbessern, flexibler zu werden und Veränderungen besser umzusetzen. Tools sollten diese Flexibilität unterstützen, aktuelle Daten und Erkenntnisse zur Verfügung stellen und dabei flexibel genug sein, um den individuellen Prozessablauf nicht zu behindern.

Sich eine auf Sicherheit ausgerichtete Denkweise anzueignen, benötigt Zeit, doch die Messung von klar sichtbaren Fortschritten ist dabei ein nicht zu unterschätzender Motivator. Beispielsweise kann ein Dashboard erstellt werden, auf welchem die Fähigkeiten und Praktiken festgehalten werden, die DevSecOps-Ziele unterstützen. Auf diesem Dashboard werden dann die Teams aufgeführt, die jede Fähigkeit oder Praxis unterstützen, und sobald die Teams ihre Namen und ihr Leistungsniveau darauf sehen, werden sie motiviert, sich noch weiter zu verbessern.

Auch während der Service-Reviews sollten die einzelnen Teammitglieder zu ihren (Scan-)Ergebnissen befragt und ermutigt werden, Erfolge und Herausforderungen mit anderen Teams zu teilen. So machen Führungskräfte deutlich, dass für sie noch immer der Mensch im Mittelpunkt steht, nicht etwaige Tools. Dieser Ansatz trägt dazu bei, die Fähigkeiten der Mitarbeiter weiter zu verbessern, ihre Verantwortlichkeit zu erhöhen und Prozessänderungen zu implementieren. Beispielsweise können durch die Befragung zum Schwachstellen-Scanning die Bereitstellungsregeln angepasst und die Freigabe je nach Scan-Ergebnis automatisiert werden.

Die Zukunft heißt DevSecOps

Es ist unbestreitbar, dass DevSecOps eine gute und gewinnbringende Geschäftspraxis ist. In dem Maße, in dem die Prozesse eines Unternehmens reifen und Sicherheit in den Arbeitsalltag der Mitarbeiter integriert wird, eröffnen sich auch neue Möglichkeiten. DevSecOps stärkt Unternehmen und macht sie agiler, was ihnen einen Wettbewerbsvorteil und ihren Kunden mehr Sicherheit verschafft. Wer DevSecOps im eigenen Unternehmen voranbringt, der investiert in seine Zukunft.

 

Der Autor:

Stefan Marx ist Director Product Management für die EMEA-Region beim Cloud-Monitoring-Anbieter Datadog. Marx ist seit über 20 Jahren in der IT-Entwicklung und -Beratung tätig. In den vergangenen Jahren arbeitete er mit verschiedenen Architekturen und Techniken wie Java Enterprise Systemen und spezialisierten Webanwendungen. Seine Tätigkeitsschwerpunkte liegen in der Planung, dem Aufbau und dem Betrieb der Anwendungen mit Blick auf die Anforderungen und Problemstellungen hinter den konkreten IT-Projekten.

Datadog ist eine Monitoring-, Security- und Analyseplattform für Entwickler, IT-Operations-Teams, IT-Sicherheitsexperten und Business User im Cloud-Zeitalter. Die Saas-basierte Plattform integriert und automatisiert Infrastrukturmonitoring, Application Performance Monitoring und Log Management für eine ganzheitliche Echtzeit-Betrachtung des gesamten Technologie-Stacks. Unternehmen aller Größen und aus verschiedensten Branchen setzen auf Datadog im Zuge ihrer digitalen Transformation und Cloud Migration. Datadog stärkt die Zusammenarbeit von Entwicklung, Betrieb, IT-Security und Management, beschleunigt die Time to Market von Anwendungen, hilft Lösungen für auftretende Probleme schneller zu finden, Anwendungen und Infrastruktur abzusichern, das Nutzerverhalten besser zu verstehen sowie Geschäftsmetriken im Blick zu behalten.