Anwendungen stellen häufig die exponiertesten IT-Systeme einer Organisation dar und bieten somit Einfallstore für kriminelle Angreifer. Umso wichtiger ist es, dass Unternehmen bei der Entwicklung von Anwendungen auf eine starke Sicherheitskultur setzen. In Zeiten von gestiegener Agilität und immer kürzeren Softwareentwicklungszyklen besteht allerdings die Gefahr, dass Entwicklungs- und Betriebsprozesse die Sicherheitsorganisation abhängen. Ein möglicher Ansatz, dieser Gefahr entgegenzuwirken, ist DevSecOps. Beim DevSecOps-Ansatz werden Aktivitäten aus den Sicherheitsprozessen in jeden Schritt des Software Lifecycle integriert. Die entwickelten/betreibenden Einheiten sollen dazu befähigt werden, diese Aktivitäten selbst, gegebenenfalls mit Unterstützung, durchzuführen. Die Integration kann technischer, organisatorischer oder kultureller Natur sein. In jedem Fall wird eine intensive Zusammenarbeit zwischen den Fachabteilungen und der Sicherheitsorganisation gefördert.
Wo können Unternehmen, die DevSecOps einführen möchten, ansetzen?
DevSecOps setzt auf den in den Entwicklungsabteilungen praktizierten DevOps-Ansatz auf. Daher kann man die Einführung als Verantwortlicher oder als Sicherheitsorganisation nicht alleine umsetzen, sondern gemeinsam mit den Kolleg*innen im Unternehmen, die DevOps bereits praktizieren. Sicherheitsmaßnahmen sollten dementsprechend an den drei Säulen von DevOps – Kultur, Messbarkeit und Automatisierung – ansetzen und somit an bereits existierende Prozesse angeknüpft werden.
Um die Akzeptanz des DevSecOps-Ansatzes zu erhöhen, sollten Unternehmen bei seiner Einführung zunächst kleine Schritte unternehmen. Wenn Sie DevSecOps in Ihrem Unternehmen einführen möchten, empfiehlt Ihnen unser Experte Dr. Christian Schwartz, mit beispielsweise den folgenden Maßnahmen einzusteigen:
Kultur: Schulen Sie Mitarbeiterinnen in den Fachabteilungen, die eine Affinität für IT-Sicherheit haben, in Sicherheitsfragen und machen Sie sie zu sogenannten „Security Champions“. Diese können dadurch in der IT- und Projektorganisation als qualifizierte Ansprechpersonen fungieren und die Sicherheitsorganisation verteilt sich in Ihrem Unternehmen. Die Security Champions, die selbst Kolleg*innen aus den Fachabteilungen sind, kennen die Herausforderungen sehr genau, denen ihre Kolleg*innen in ihrer täglichen Arbeit begegnen. Dadurch wird die Hemmschwelle vor dem Kontakt mit der Sicherheitsorganisation verringert.
Messbarkeit: Tools zur Codeanalyse und für Schwachstellenscans sollten direkt in die Build Pipeline integriert werden. Denn je später ein Sicherheitsmangel im Projektverlauf entdeckt wird, desto höher sind die Kosten für seine Behebung. Fällt eine Schwachstelle bereits früh im Entwicklungsprozess auf, im Idealfall bereits beim Schreiben des Codes, fallen Aufwand und Kosten für ihre Behebung maßgeblich geringer aus als beispielsweise beim letzten Penetrationstest vor dem Roll-out der Software.
Automatisierung: Die Prozessautomatisierung dokumentiert Prozesse, erhöht die Qualität der Prozessdurchführung und macht Prozesse messbar – deshalb ist sie ein integraler Bestandteil von DevOps. So sollten auch in der Sicherheitsorganisation erste Schritte in Richtung Automatisierung unternommen werden. Zur Automatisierung bieten sich zunächst besonders Prozesse an, die Quick Wins versprechen, wie beispielsweise die Prüfung von Firewall-Changes oder Behandlung von Phishing-E-Mails. Werten Sie die standardisierten Prozessergebnisse aus und nutzen Sie sie als Startpunkt für weitere Automatisierungsschritte.
Was sollten Unternehmen sonst noch beachten?
Grundsätzlich sollten Sie bei allen Maßnahmenempfehlungen stets folgende Punkte bedenken:
- Konzipieren und etablieren Sie kulturelle und prozessuale Anpassungen so, dass sie zu Ihrem Unternehmen passen – eine „One-Size-fits-all-Lösung“ gibt es bei DevSecOps nicht.
- Der Weg zu DevSecOps ist ein Change – begleiten und kommunizieren Sie ihn dementsprechend.
- Überprüfen Sie fortlaufend die Annahmen, die Sie getroffen haben. Messen Sie die Effektivität und den Umsetzungsaufwand Ihrer Maßnahmen und stimmen Sie Ihre nächsten Schritte darauf ab.
Wenn Sie ausführlichere Informationen zu DevSecOps wünschen, empfehlen wir Ihnen die Aufzeichnung des Webinars „DevSecOps“ von unserem Experten Dr. Christian Schwartz.
Für die Schulung Ihrer Mitarbeiter*innen zu Security Champions empfehlen wir Ihnen das Modul 13 unseres Aus- und Weiterbildungsangebotes für Unternehmen: „Training Security Champions“.
Haben Sie weitere Fragen oder wünschen Sie Unterstützung? Sprechen Sie uns gerne an.