Unternehmenskultur, Arbeitsabläufe und technische Werkzeuge entwickeln sich mit einer solch enormen Geschwindigkeit, wie wir sie nie zuvor erlebt haben. Das führt dazu, dass wir uns nicht einfach nur zurücklehnen und darauf warten können, dass der DevOps-Trend vorüberzieht - denn das wird er nicht. DevOps sind keine Modeerscheinung, sondern ein ausgeklügelter neuer Weg der Softwareentwicklung. Damit geht es ihnen genauso wie der IT-Sicherheit an sich - auch um sie kommt niemand herum, und sei sie noch so kompliziert. Kurzum: Security muss sich fließend in SecDevOps verwandeln.
Viele Unternehmen mit aktiven R&D-Departments bringen jeden Tag Dutzende oder sogar Hunderte neuer Releases und Updates heraus - sei es für die internen Abteilungen, für Partner oder Kunden. Mit der Hilfe und Beratung der Security-Teams können Unternehmen sichere Release gleich im ersten Versuch gewährleisten, zudem viel Geld und Zeit sparen.
Der Security-Software-Testing-Anbieter Checkmarx erklärt in seinem Unternehmensblog, warum DevOps die Security-Teams und die allgemeine IT-Sicherheit im Unternehmen weiterbringen. Wir fassen die wichtigsten Punkte für Sie zusammen.
Foto: Yabresse - shutterstock.com
DevOps durchbrechen Silos
Eines der wichtigsten Ziele von DevOps ist, eine Kultur zu schaffen, die Teamarbeit wertschätzt und Wege findet, die die Arbeit für alle beteiligten Teams verbessert. Entwickler kämpfen damit, sicheren Programmcode zu schreiben - viele Million Codezeilen wurden schon verworfen, weil das Entwicklerteam nicht mit seinen Werkzeugen umzugehen wusste oder die Tools sich nicht an den ständig veränderten Software Development Life Cycleanpassen ließen. DevOps reißen die Silos ein und machen Security zu einem besser integrierten, weit besser automatisierten und damit auch einfach zu realisierendem Thema, das das gesamte Entwicklerteam verstehen und gemeinsam optimieren kann.
Foto: Bukhanovskyy - shutterstock.com
DevOps bringen Security und Business zuammen
Neben der verbesserten Zusammenarbeit mit Entwicklern und anderen Teammitgliedern helfen DevOps auch dabei, die Sicherheitsverantwortlichen näher an das restliche Geschäft heran zu führen. Den Ergebnissen einer aktuellen Umfrage von Puppet Labs zufolge verbringen Unternehmen, die DevOps einsetzen im Vergleich zu denen, die es nicht tun, mehr als ein Fünftel weniger Zeit mit Nacharbeiten von bereits abgeschlossenen Projektteilen und anderen eigentlich überflüssigen Arbeiten, die es nicht bräuchte, wenn die Jobs gleich beim ersten Durchlauf ordentlich erledigt worden wären. Integriertes Security-Testing macht es möglich, potenzielle Schwachstellen schon sehr viel früher - während des "System Development Life Cycle" (SDLC) - zu erkennen. Dadurch können auch die Security-Budgets leicht heruntergefahren werden, weil sich Investitionen in das frühe Projektstadium verlagern, wo sie noch weitaus niedriger sind.
Das Wichtigste aber ist, dass das Risiko eines Datenabflusses und die Zeit, bis ein solcher erkannt wird, deutlich abnehmen. Wer früh beginnt, kann viel einfacher Policies und Abläufe festlegen, wie im Fall der Fälle zu reagieren ist und so leichter risikobasierte Entscheidungsbäume definieren. Die potenzielle Geschäftsunterbrechung bleibt so minimal.
DevOps treiben sichere Innovation und agile Entwicklung
Immer mehr Unternehmen setzen auf agile Softwareentwicklung (ASD) - es ist bereits zum De-Facto-Standard in weiten Teilen der Geschäftswelt geworden. Was häufig aber noch fehlt, ist der Security-Aspekt - Schnelligkeit und Integrität sind ohne Sicherheit kaum etwas wert. Für agile Entwicklung braucht es eine saubere Sicherheits-Integration, um optimale Ergebnisse zu erzielen. Je näher die Security-Teams an den Entwicklern dran sind, desto einfacher wird logischerweise auch die sichere Entwicklung. Mit DevOps-Methoden lassen sich Security-Tests nahtlos in die Entwicklungs-Sprints einbauen und neue Features direkt absichern. Innovation immer auch unter Security-Gesichtspunkten zu betrachten, hilft dem Business enorm und stellt das Sicherheitsteam als unabdingbaren Partner im Software-Entwicklungsprozess auf.
Dank DevOps genießt Automatisierung höchste Priorität
DevOps werden durch den Wunsch angetrieben, überall dort einen stromlinienförmigen Ansatz in die Software-Entwicklung zu bringen, wo sich Prozesse automatisieren lassen. Durch die Arbeit mit Manager-Kollegen und Chefentwicklern können Security-Teams automatisierte Prozesse entwickeln, die die Überprüfung von Sicherheitsfunktionen und -policies mit einschließen, unsichere Komponenten und regulatorische Schwachstellen aufspüren und sichere virtuelle Maschinen ans Laufen bringen.
Das führt zu einem völlig neuen Level der Zusammenarbeit, den die Security-Verantwortlichen vorher nicht kannten. Eine statische Code-Analyse-Lösung beispielsweise in einen automatisierten Entwicklungsprozesss zu überführen hilft enorm dabei, dass nur solcher Programmcode genutzt werden kann, der ein bestimmtes Niveau an Sicherheit, regulatorischen und Compliance-Standards erreicht hat.
Foto: Alexander Supertramp - shutterstock.com
DevOps machen Security zur Jedermann-Aufgabe
Besonders herausfordernd an DevOps ist, dass sich nun jeder innerhalb des SDLC mit Security beschäftigt. Eingespielten Security-Teams mag es zunächst Angst machen, dass sie Teile ihrer Aufgaben an andere Kollegen abgeben - es kann aber helfen, den Security-Verantwortlichen einige Lasten abzunehmen und ihnen Kopf und Hände für andere pressierende Aufgaben freizumachen. Zum Beispiel vermeidet derjenige, der das Security-Testing in einem sehr frühen Stadium der Entwicklung einbaut, den häufig auftretenden Fall, dass zum Zeitpunkt des Releases noch immer keine Prüfung stattgefunden hat.
- Fehlende Fachkenntnisse
Die IT-Industrie wächst schneller, als die Universitäten qualifizierte Fachkräfte in den Markt bringen können. So bleiben zahlreiche IT-Abteilungen unterbesetzt und unterqualifiziert. 76 Prozent der von Trustwave für die Studie Befragten fühlen sich deshalb genötigt, sich selbst in ihrer täglichen Arbeit ständig zu übertreffen, um den Fachkräftemangel etwas zu kaschieren. Trustwave-Marketingchef Cas Purdy sieht externe Security-Service-Unternehmen wie sein eigenes in einer guten Position, IT-Abteilungen zu unterstützen. - Ungeduldiger Vorstand
Vier von zehn Security-Experten mögen Vorstandssitzungen überhaupt nicht. Direkt vor oder nach einem solchen Meeting haben sie nämlich den meisten Stress. Damit ist die Zahl derer, die sich von den eigenen Chefs stark unter Druck gesetzt fühlen sogar knapp höher als die Zahl derer, die sich unmittelbar nach einem großen Datendiebstahl gestresst fühlen (39 Prozent der von Trustwave Befragten). - Erkennen vs. vorbeugen
Die Erkennung von Schwachstellen, Malware und schädlichen Netzwerkaktivitäten stellt für jeden zweiten IT-Security-Experten eine Aufgabe im Tagesgeschäft dar, die mit großem Druck verbunden ist. Es geht darum, Hintertüren in den Systemen zu entdecken, die als Einfallstor missbraucht werden könnten und diese zu schließen, bevor es zu einem Sicherheitsvorfall kommt. Ein Katz-und-Maus-Spiel, was einen gewissen Druck entstehen lässt. - Zu frühe Releases
Wenn IT-Produkte veröffentlicht werden, bevor sie wirklich fertig sind – das ist ein Problem, das 77 Prozent der von Trustwave Befragten nur zu gut kennen. Denn zumeist mangelt es den neuen Errungenschaften gerade an einem – an Sicherheit. Dennoch werden Sicherheitsspezialisten häufig von ihren Unternehmen dazu genötigt, das unfertige Produkt so schnell wie möglich aus der Tür zu bringen. - Internet der Dinge
Wenn alles mit allem vernetzt ist und entsprechend viele neue Angriffspunkte entstehen, sind neue Aufgaben für Security-Experten nicht weit. Das Internet der Dinge (IoT) beherrscht viele Unternehmen und stellt IT-Verantwortliche vor die Aufgabe, entsprechende Lösungen zu entwickeln und zu integrieren. Mehr als jeder zehnte Security-Verantwortliche fühlt sich dadurch unter Druck gesetzt, dass ihm gar nicht die Wahl gelassen wird, ob er IoT-Technologie überhaupt als sinnvoll erachtet. Es geht oftmals nur darum, sie schnellstmöglich einzubauen – unter Sicherheitsaspekten alle andere als schnell erledigt. - Big Data
Der Diebstahl von Kundendaten und von Intellectual Property bestimmt die Schlagzeilen – entsprechend groß ist die Angst von Unternehmensverantwortlichen, dass ihnen so etwas auch widerfahren könnte. Security-Verantwortliche haben großen Druck dadurch, fast die Hälfte von ihnen fürchtet sich vor einem Hack im großen Stil – dass erst Kundendaten abhandenkommen, dann auch noch Firmengeheimnisse verschwinden und es anschließend neben dem herben Imageverlust auch noch zu Gerichtsverfahren kommt. Ganz unbegründet ist diese Angst nicht – zahlreiche reale Fälle, die genau so oder ähnlich abgelaufen sind, geben dieser Befürchtung Nahrung. - Angebot und Nachfrage
Dass es an Security-Personal fehlt, wurde bereits deutlich. Der Bedarf an Experten ist dennoch erstaunlich: Fast jeder Dritte für die Trustwave-Studie Befragte wünscht sich eine Vervierfachung des IT- und IT-Security-Personalstamms im eigenen Unternehmen. Jeder zweite immerhin eine Verdoppelung. Ähnlich groß ist der Wunsch nach einem höheren IT-Security-Budget. - Sicherheit des Arbeitsplatzes
Wenn es zu einem Security-Vorfall gekommen ist, fürchtet nur jeder zehnte Verantwortliche um seinen Job – was maßgeblich mit dem Fachkräftemangel zusammenhängt. Sollte doch einmal die Entlassung drohen, finden Security-Experten schnell wieder einen Arbeitgeber. Also immerhin ein Punkt, an dem sich nur wenige größere Sorgen machen müssen.
DevOps verbessern Monitoring und Messgrößen
Kurze Entwicklungs-Sprints machen kontinuierliche Verbesserungen auch hinsichtlich der Security möglich. Im Vor-DevOps-Zeitalter waren Monitoring und IT-Sicherheit zwei völlig unterschiedliche Themen. Sobald Security in den Entwicklungsprozess integriert ist, lässt es sich nun ebenfalls in bestehendes Software-Monitoring und -Messgrößen einbauen. Im Ergebnis werden sich neue Security-Metriken besser mit Dev(elopment), Ops(Operations) und Management verbinden.
Beispielsweise lassen sich mit SecDevOps drei Viertel aller Bugs schon früh im Entwicklungsprozess aufspüren - dadurch ist sichergestellt, dass Bugs, die eine verzögerte Auslieferung verhindern, nicht nur gefunden, sondern auch quantifiziert werden.
DevOps eliminieren Flaschenhälse
Ohne DevOps müssen Nutzer bildlich gesprochen einem Pfad von Informationen folgen und durch brennende Reifen springen, um die richtigen Kontakte für Hilfestellungen bei bestimmten Problemen zu finden. Weil DevOps die Kommunikationskanäle zwischen Gruppen öffnen, machen sie auch automatisch den Weg frei zu diesen Kontaktpunkten und helfen bei der sofortigen Problemlösung. Neben dem Kommunikationsaspekt stellt die Weiterbildung eine Kernkomponente von DevOps-Programmen dar. Die bereits erwähnte Puppet Labs-Studie brachte auch hervor, dass erfolgreiche Unternehmen dank DevOps 50 Prozent weniger Zeit mit Security-Themen verbringen als "Low-Performer". Zudem schaffen sie es, dass die IT-Sicherheit im Voraus genehmigte, einfach konsumierbare Bibliotheken, Pakete, Werkzeuge und Prozesse für Entwickler und IT-Mitarbeiter bereitstellt, die sich einfach benutzen lassen.
Wenn Development und Operations eine größere Verantwortung für den sicheren Quellcode übernehmen, haben die Entwickler mit Interesse an Security zu guter Letzt die Möglichkeit, ihre Expertise in diesem Bereich auszubauen - über interne Trainingsprogramme beispielsweise, die durchaus auch spielerisch sein können, lässt sich das IT-Sicherheits-Wissen des Entwicklerteams verbessern.
Dieser Beitrag erschien im englischen Original bei unserer US-Schwesterpublikation CSOonline.