Rawpixel.com - stock.adobe.com
Einstieg in das DevSecOps-Modell
Viele Firmen setzen bereits auf DevOps. Dabei wird das Thema Security aber teilweise noch vernachlässigt. DevSecOps schließt diese Lücke und sorgt für mehr Sicherheit in der IT.
Trainingsprogramme für mehr Security Awareness sind mittlerweile in vielen Unternehmen und Branchen anzutreffen. Das ändert aber nichts daran, dass IT-Security oft als störende Last wahrgenommen wird, die viele alltägliche Aufgaben unnötig in die Länge zieht. Dieser Mangel an Vertrauen an die Erkenntnis, dass die Sicherheit in der Verantwortung eines jeden im Unternehmen liegt, kann nur geändert werden, wenn die Geschäftsleitung immer wieder die Bedeutung der Sicherheitsmaßnahmen und ihrer strikten Umsetzung hervorhebt.
Das scheitert aber nicht selten daran, dass viele leitende Angestellte ihre Unternehmen nicht als potentielle Ziele für Cyberangreifer einschätzen. Meist ist ihnen auch nicht klar, warum ihre IT-Systeme attraktiv für Hacker und Kriminelle sein könnten. Einstellungen wie „das passiert uns nicht“ oder „warum sollte es gerade uns treffen?“ untergraben wichtige Security-Initiativen und wirken sich nachteilig auf die Arbeit der Security-Spezialisten aus. Aber nicht nur das. Die beschriebene Denkweise setzt das gesamte Unternehmen und seine Kunden unnötigen Risiken aus.
Eine vergleichbare Situation ist kein guter Startpunkt, wenn eine Firma sich vom bisher genutzten DevOps- zu einem moderneren und sicheren DevSecOps-Modell weiterentwickeln will. Jeder mit dieser Aufgabe befasste CISO oder IT-Leiter muss sich sorgfältig vorbereiten, wenn er die vorhandenen Prozesse um neue Sicherheitsmaßnahmen erweitern und seine Kollegen von den Vorteilen überzeugen will. Wie auch bei jedem guten Security Awareness Training sollte eine für den Umstieg vorbereitete Präsentation auf die spezifischen Eigenarten des Unternehmens und seiner Geschäftstätigkeit eingehen.
Wesentliche Vorteile des DevSecOps-Modells
Immer wieder zu hörende Voraussagen und Statistiken wie zum Beispiel „Ransomware wird Unternehmen in den USA in diesem Jahr insgesamt 11,5 Milliarden US-Dollar kosten“ oder „die Kosten eines durchschnittlichen Datendiebstahl belaufen sich in Deutschland auf etwa 750.000 Euro“ haben jedoch nur wenig Einfluss auf Menschen, die überzeugt sind, dass sie davon nicht betroffen sind.
Um sich auf den Umstieg und die bevorstehende Überzeugungsarbeit vorzubereiten, sollten Sie zunächst eine Liste aller wichtigen Personen im Unternehmen erstellen, mit denen Sie zusammenarbeiten müssen. Sie benötigen diese Personen, um Ihr DevSecOps-Modell erfolgreich umzusetzen.
Stellen Sie dann eine Auflistung aller sicherheitsrelevanten Vorkommnisse in den jeweiligen Geschäftsbereichen auf. Dadurch können Sie nicht nur die allgemein für das Unternehmen geltenden Gefahren und Bedrohungen zeigen, sondern auch Beispiele und Belege aus dem Alltag demonstrieren, die für die einzelnen Fachabteilungen von Bedeutung sind. Sie sollten dabei aber nicht in eine Hexenjagd verfallen. Das Ziel dieses Vorgehens ist nur, jeder einzelnen betroffenen Abteilung und ihren Mitarbeitern zu demonstrieren, warum das Thema IT-Sicherheit auch für sie relevant ist. Nur so sind sie auch wirklich bereit, für eine Umstellung auf DevSecOps einzutreten.
Natürlich ist es auch wichtig, herauszuarbeiten, wie sich das DevSecOps-Modell positiv auf das gesamte Unternehmen auswirken kann. Es sorgt unter anderem dafür, dass angebotene Produkte und Dienstleistungen von Anfang im Hinblick auf ihre Sicherheit entwickelt werden. Dadurch ist es erheblich wahrscheinlicher, dass sie Angriffen widerstehen können und dass es zu keinen teuren Ausfällen kommt, die den ordnungsgemäßen Tagesablauf eines Unternehmens negativ beeinflussen. Diese Punkte sowie eine erhöhte Effizienz, eine bessere Compliance und schnellere mögliche Reaktionen auf sich ändernde geschäftliche Gegebenheiten sind die weiteren wesentlichen Gründe, die für eine Investition in DevSecOps-Maßnahmen sprechen.
Start eines DevSecOps-Pilotprogramms
Auf keinen Fall sollten Sie unrealistische Versprechen nach dem Motto „Investitionen in Sicherheit zahlen sich immer aus“ machen. Das Ändern von Prozessen, Tools und eventuell auch Mitarbeitern ist eine große Herausforderung und benötigt seine Zeit. Versuchen Sie zunächst ein Pilotprojekt aufzusetzen, um herauszufinden, ob Ihre Teams bereit für den Umstieg sind. Erstellen Sie außerdem eine vollständige Roadmap für den Übergang zu DevSecOps.
Es muss aber nicht nur die Geschäftsleitung von den Vorteilen des neuen Modells überzeugt werden. Jeder an DevOps beteiligte Mitarbeiter sollte verstanden haben, dass DevSecOps nicht nur ein vorübergehender Trend ist. Stattdessen handelt es sich um einen grundlegenden Wandel im Zeitalter des Cloud Computings.
Security muss heutzutage ein wesentlicher Teil jeder IT-Umgebung sein. Es sollte jedem klar sein, dass das Einführen von Sicherheitsmaßnahmen bereits relativ früh in den Abläufen viele Vorteile für alle Betroffenen bietet. Versuchen Sie Mitglieder unterschiedlicher Abteilungen in neuen übergreifenden Teams zusammenzuführen.
Wenn das nicht möglich ist, sollten Sie zumindest die Mitarbeiter in den Bereichen Entwicklung, Betrieb der IT und Sicherheit in gemeinsamen Security Awareness Trainings zusammenbringen. Auf diese Weise verstehen die Kollegen ihre jeweiligen Verantwortlichkeiten in der Regel besser. Außerdem erfahren sie, wie ihre individuellen Ziele mit denen anderer im Unternehmen zusammenhängen und wie sie voneinander profitieren können.
Mehr Unterstützung für die Entwicklungs- und Security-Teams
Die Programmierer sollten verstehen, dass die Mitglieder des Security-Teams ihnen kurz-, mittel- und langfristig dabei helfen können, ihre Produktivität zu verbessern. Das liegt unter anderem an weniger übersehenen Sicherheitslücken und Schwachstellen in den von ihnen entwickelten Produkten.
Durch das frühzeitige Aufdecken von Problemen sinken die Aufwendungen, die ansonsten später aufgebracht werden müssen, um sie zu beheben. Auch reduziert sich dadurch die Wahrscheinlichkeit, dass es zu einem erfolgreichen Angriff kommt, der ebenfalls möglicherweise hohe Kosten verursacht. Unternehmen können sich aber erst sicher sein, das DevSecOps-Modell erfolgreich umgesetzt zu haben, wenn die Mitarbeiter und Abteilungen das Thema Security im gesamten Lebenszyklus eines Projekts und von Anfang an in ihre Planungen mit einbeziehen.