Die Art und Weise, wie Unternehmen Entscheidungen über Technologie und deren Sicherheit tätigen, hat sich in den letzten zehn Jahren grundlegend verändert. Traditionell liegen Verantwortung und Entscheidungskraft bei den CISOs und Sicherheitsexperten. Doch zusammen mit dem wachsenden Verständnis zu den unterschiedlichen Bedrohungen in der Cloud wird klar: Auch Entwickler spielen eine zentrale Rolle bei der Zusammenstellung einer ganzheitlichen Sicherheit.
Laut dem 2023 State of Application Security-Report von Forrester bestätigen 53 % aller globalen Sicherheitsexperten, dass Entwicklungsteams bei der Einführung neuer Tools das letzte Wort haben. Gleichzeitig antworteten nur 2 %, dass die Entwicklung bei derartigen Entscheidungen überhaupt keine Rolle spiele. Es zeigt sich: Das grundsätzliche Mindset in der Cybersicherheit hat sich verändert. Was also müssen Sicherheitsteams verstehen, um effektiv mit Entwicklern zusammenarbeiten zu können?
Eine Hand wäscht die andere
Während eine derartige Veränderung Chancen bietet, müssen sich Sicherheitsexperten der neuen Situation trotzdem erst einmal bewusstwerden. Entwicklerteams übernehmen neue Aufgaben, die sie vorher nicht in der gleichen Art und Weise ausgeführt haben. Sie bekommen zwar ein Mitspracherecht und können die Werkzeuge wählen, die sie verwenden möchten – gleichzeitig benötigen sie nun aber ein grundlegendes Verständnis von Sicherheit und den gängigen Praktiken.
Nicht nur die Entwicklung, sondern auch die Sicherheit verändert sich. Es geht nicht mehr nur darum, die besten Sicherheitspraxen zu garantieren. Sicherheitsexperten müssen Entwicklerteams leiten können. Das Profil verändert sich in Richtung der Rolle des Lehrenden – Sicherheitsexperten der Zukunft führen und unterstützen andere Teams, um die beste Sicherheit zu garantieren.
Die richtigen Partner finden – und zu Sicherheit-Profis machen
Dabei kann es hilfreich sein, in den Entwicklerteams besonders interessierte und fähige Kollegen zu identifizieren. In einem schnelllebigen Feld wie der Sicherheit ist es unmöglich, ganze Abteilungen zu Experten zu machen. Es lohnt sich daher, spezifische Ziele auszumachen und vorher ausgewählte Mitarbeiter fokussiert zu schulen. Gleichzeitig wird es Mitglieder in Entwicklungsteams geben, die wenig Interesse am Thema Sicherheit haben. Für diese sind speziell trainierte Experten im Team von unschätzbarem Wert: Sie können komplexe Themen aus dem Bereich Sicherheit verarbeiten und an ihre weniger fachlich vertrauten Peers weitergeben.
DevSecOps: Alles oder Nichts?
DevSecOps ist in der Cybersicherheit nicht unumstritten. Schon eine einheitliche Definition des Konzepts ist nicht ganz einfach. Manche stellen den Nutzen infrage, andere glauben, es sei genau der richtige Weg, um die Rolle der Sicherheit in DevOps zu betonen.
Für viele Entwickler ist DevSecOps aber nur ein Buzzword von vielen – und eine weitere Aufgabe auf der eigenen To-Do-Liste.
Dabei stecken hinter DevSecOps großartige Chancen. Richtig eingeführt, löst es die Grenzen zwischen den Teams auf. Doch dafür braucht es wichtige Voraussetzungen: Das richtige Mindset im eigenen Unternehmen sorgt für die nötige Unterstützung bei der Umsetzung einer solchen Transformation. Auch die Führungsetage muss davon überzeugt sein, dass Sicherheit für die Zukunft der Organisation von großem Wert ist – sonst fehlt die nötige Rückendeckung für Treibende eines Umschwungs. Gleichzeitig müssen die unterschiedlichen Teams für eine solche Umstellung an Bord sein. Wenn man ihnen die Vorteile von DevSecOps klarmacht und Perspektiven aufzeigt, hilft ihre Unterstützung bei der Veränderung enorm.
Am Ende muss ein solches Vorhaben kein Alles oder Nichts bedeuten. Mit genügend Zeit kann ein Unternehmen nach und nach auf DevSecOps umstellen – und somit in Zukunft deutlich sicherer und effektiver agieren.
Die richtigen Fragen finden die richtigen Tools
Für Entwicklerteams ist es wichtig, dass die Sicherheitstoolbox in ihren täglichen Workflow passt. Für Sicherheitsexperten gilt es daher, den Entwicklern die richtigen Fragen zu stellen: Was wollen sie, welche Tools passen zu ihren Bedürfnissen? Muss es sich in GitHub integrieren lassen? Benachrichtigungen an Slack oder Jira schicken können? Kapazitäten für Java und Python haben? Erfahrene Profis lernen so die Bedürfnisse ihrer Entwickler kennen – und können die Wünsche ihrer Teams und ihr eigenes Fachwissen über die verfügbaren Tools zur richtigen Entscheidung für das Unternehmen verbinden.
Prioritäten klar kommunizieren
Entwickler werden die Nuancen in der Sicherheit nicht immer verstehen. Klarheit in der Kommunikation ist daher wichtig: Was ist für das Unternehmen gerade am relevantesten? Eine Schwachstelle im Code ist keine Katastrophe – solange alle entdeckt und behoben werden. Solche Priorisierungen basieren auf dem Fachwissen der Sicherheit, es besteht keine Garantie, dass Entwickler sie kennen. Gleichzeitig müssen Trends und Veränderungen kommuniziert werden: Es ist die Aufgabe der Sicherheitsexperten, andere Teams wissen zu lassen, was gut läuft und wo sich aus Fehlern lernen lässt.
Entwickler verstehen lernen
Dass die Ziele von Sicherheits- und Entwicklerteams oft nicht die gleichen sind, ist kein Geheimnis. Aber auch innerhalb von Entwicklerteams gibt es häufig unterschiedliche Vorstellungen und Wünsche. So haben Teamleads häufig die Ziele Tempo und eine klare Organisation, während Entwickler gerne Neues erschaffen und Probleme lösen. Diese unterschiedlichen Erwartungen zu verstehen und darauf eingehen zu können, führt zu einer reibungslosen Zusammenarbeit zwischen den Teams.
Gemeinsame Ziele finden
Gemeinsamkeiten verbinden: Darum ist es wichtig, gemeinsame Ziele und Metriken aufzustellen. Gleichwertige und realistische Ideen sorgen dafür, dass beide Teams im gleichen Rhythmus arbeiten. Zum Beispiel mögen beide Gruppen keine Ausfallzeiten. Es ist für alle von Nachteil, wenn das System nicht funktioniert. Das ist eine Metrik, die für beide Teams interessant und realistisch ist – ein solches gemeinsames Unterfangen hilft. Derartige Ziele müssen aber erreichbar bleiben – ein fehlerloser Code ist unrealistisch.
Wie funktioniert Entwicklung?
Genauso wie Entwicklerteams über Sicherheit lernen sollen, müssen Sicherheitsexperten ein Verständnis für Entwicklung entwickeln. Auch hier geht es nicht darum, sich in dem neuen Bereich vollständig auszukennen. Vielmehr müssen Sicherheitsexperten verstehen, wie Entwicklungsprozesse und Herausforderungen aussehen. Wie wird Code geprüft? Welche Tools werden bereits eingesetzt? Dieser relativ kleine Aufwand kann viel bewirken: Er ermöglicht Austausch und gegenseitige Unterstützung.
Entwicklerteams auf ihrem Stand abholen
Die Weiterbildung von Entwickler braucht die richtige Form – und die richtigen Inhalte. Eine stundenlange Weiterbildung im Gießkannenstil wird den meisten Entwickler nicht weiterhelfen. Stattdessen führt ein falscher Ansatz zu fehlendem Grundwissen und Motivationsverlust. Sicherheitsexperten müssen sich anstrengen, um Entwickler auf ihrem aktuellen Stand abzuholen. In Einzelgesprächen kann der aktuelle Wissenstand zur Sicherheit abgefragt werden. Die daraus entstehende Bindung und das Wissen erlauben dann eine deutlich effektivere Einführung von Sicherheit in den Entwicklungszyklus.
Was nun?
Die sich stetig ändernden Dynamiken der Cybersicherheit erfordern einen kollaborativen Ansatz zwischen Sicherheits- und Entwicklerteams. Wenn diese Gruppen ihre gegenseitigen Perspektiven und Ideen verstehen, kann eine effektive Zusammenarbeit entstehen. Auf diese Weise kann ein Fortschritt in der Cybersicherheit von Unternehmen gewährleistet werden, der sich nahtlos in den Softwareentwicklungszyklus einfügt.
ÜBER DEN AUTOR
Andy Schneider, geboren und aufgewachsen in München, begann seine Karriere im Bereich der IT-Sicherheit bereits im Jahr 2000 bei einer Landesbank. In den letzten 10 Jahren hatte er verschiedene CISO-Positionen inne, immer mit dem Ziel, Cybersicherheit agiler und nutzerorientierter zu gestalten und Security by Design in digitale Produkte zu integrieren. Schneider ist derzeit als Field CISO EMEA für Lacework tätig und arbeitet zusätzlich als Berater für TX Ventures und verschiedene Security-Start-ups. Er lebt mit seiner Frau und seinen zwei Söhnen in Zürich, Schweiz.