Sicher durch Design: Wie DevSecOps die Art, wie wir programmieren, verändert

Laut dem PwC-Bericht "The Global State of Information Security" aus dem Jahr 2018: The Australian Story verfügen nur 36 % der australischen Unternehmen über eine umfassende Informationssicherheitsstrategie, verglichen mit dem weltweiten Durchschnitt von 56 %. Noch aussagekräftiger ist die Tatsache, dass 74 % der Kunden bereit sind, im Falle einer Datenschutzverletzung den Anbieter zu wechseln.

Unternehmen stellen auf digitale Erlebnisse um, die zunehmend durch Mobil-, Cloud- und Datenanalysetechnologien unterstützt werden. Diese digitalen Erlebnisse sind jedoch einer immer größeren Anzahl von Cyber-Risiken ausgesetzt, weshalb Überlegungen zur Cybersicherheit viel früher im Produktionszyklus angestellt werden.

Dies hat zum Aufkommen der relativ neuen DevSecOps-Praxis geführt - ein Ansatz, der darauf abzielt, Informationssicherheitsoperationen in DevOps-Workflows zu integrieren.

Bei den derzeitigen DevOps-Praktiken ist die Rolle des Entwicklers aus der Perspektive der Cybersicherheit nicht immer klar, was bedeutet, dass Schwachstellen übersehen werden oder im Endprodukt unbehandelt bleiben. Aus diesem Grund muss Cybersicherheit definiert und in die Praktiken und Arbeitsabläufe von Entwicklern eingebettet werden, was das Ziel von DevSecOps ist.

Dies kann den Entwicklungszyklus verlängern und die Anfangskosten erhöhen, aber es ist wichtig, die langfristigen Auswirkungen zu berücksichtigen. Werden Anwendungen oder Prozesse in der Entwicklungsphase nicht abgesichert, kann dies zu eklatanten Schwachstellen und Sicherheitsrisiken führen, deren Behebung im Nachhinein sehr viel teurer werden kann.

Drei Schritte zum DevSecOps-Erfolg

DevSecOps findet in den meisten Unternehmen nicht auf einmal statt. Die Technologie ist nur ein Teil davon: Die Implementierung von DevSecOps ist ein umfassender, iterativer Prozess, der in der Kultur eines Unternehmens verankert sein muss, um voll wirksam zu sein. Um dies zu ermöglichen, sind jedoch drei wichtige Schritte erforderlich:

Schritt 1: Integration der Cybersicherheit in den Arbeitsablauf der Entwickler

Die Integration von Governance-, Risiko- und Sicherheitsprozessen in den DevOps-Workflow kann umständlich erscheinen, aber wenn man das Ganze betrachtet, schafft dies das Potenzial für eine schnellere Bereitstellung bei geringeren Kosten, da die Notwendigkeit von Audits, Add-Ons und Korrekturen nach der Fertigstellung entfällt. Der Schlüssel liegt darin, die Sicherheitsprüfungen und -kontrollen so weit wie möglich zu automatisieren, aber alles muss auf den bestehenden Arbeitsablauf der Entwickler abgestimmt werden. Das Tolle an DevSecOps ist, dass es sich in die traditionellen Arbeitsabläufe einfügt und es ermöglicht, jedes Sicherheitsrisiko für Interessenvertreter wie CTOs und CROs zu übersetzen, so dass sie die potenziellen Auswirkungen auf ihren spezifischen Bereich erkennen können.

Schritt 2: Beseitigung von Schwachstellen an der Quelle

In der Regel wird der Großteil einer Softwareanwendung mit Standardcode von Drittanbietern erstellt, die ebenfalls ihre eigenen Schwachstellen haben. Die Lösung für dieses Problem besteht darin, ein Repository mit vertrauenswürdigen Code-Quellen aufzubauen, die überprüft, vorab getestet und genehmigt wurden. Wenn die Entwickler über eine vertrauenswürdige Bibliothek verfügen, von der sie ihren Quellcode ableiten können, sparen sie Zeit, da die Anzahl der potenziellen Schwachstellen, auf die das Endprodukt getestet werden muss, reduziert wird.

Schritt 3: Verankerung der Cybersicherheit in der Unternehmenskultur

Die "unveränderliche Infrastruktur" - der Grundsatz, dass jede Schwachstelle nicht nur "gepatcht", sondern der Code komplett überarbeitet werden sollte, um sie zu beheben - ist ein hervorragendes Beispiel für den kulturellen Wandel, den DevSecOps darstellt. Das macht die Informationssicherheit zu einer wichtigen Überlegung auf der Ebene der Planung, der Politik und der IT-Infrastruktur. Das bedeutet auch, dass die Entwickler einen klaren Auftrag haben, welche Elemente gesichert werden müssen, bevor die Programmierung überhaupt beginnt. Dies ist ein großer kultureller Wandel, der Zeit und konsequente Unterstützung auf allen Ebenen der Organisation erfordert, um ihn erfolgreich umzusetzen.

Angesichts der zunehmenden Cyberrisiken in einer digitalisierten Wirtschaft ist DevSecOps der richtige Weg, um eine sichere und widerstandsfähige IT-Infrastruktur zu schaffen, auf die sich moderne Unternehmen und Kunden verlassen können.