Security und DevOps

Sichere DevOps – eine Frage der Kultur

Richard Werner

© Shutterstock/ Imagentle

Cybersicherheit stellt eine der größten Hürden bei der Umsetzung von DevOps-Projekten dar. Laut einer aktuellen Studie des IT-Sicherheitsanbieters Trend Micro sind 92 Prozent der deutschen IT-Entscheider der Meinung, dass die Implementierung von DevOps negative Auswirkungen auf die Sicherheit ihres Unternehmens hat.

Um diesen Bedenken zu begegnen, sollte nicht nur die IT-Security mit den richtigen Ressourcen ausgestattet werden. Viel wichtiger ist noch, einen Kulturwandel im Unternehmen anzustoßen. Nur so können Herausforderungen wie Silobildung innerhalb der IT und nicht klar definierte Verantwortungsbereiche bewältigt werden.

DevOps sind überall

DevOps setzen sich immer mehr durch: Wie die Studie ebenfalls ergab, haben bereits 44 Prozent der deutschen Unternehmen entsprechende Projekte realisiert. Weitere 38 Prozent befinden sich aktuell noch in der Umsetzung. Die meisten (82 Prozent) gaben zudem an, dass DevOps heute eine höhere Priorität genießt, als noch vor einem Jahr. Immerhin liegen die Vorteile auf der Hand – von verbesserter Effizienz bis hin zu schnellerem Ausrollen neuer Anwendungen. Interessanterweise hoffen die Befragten auch auf Verbesserungen bei der IT-Sicherheit durch die Einführung von DevOps. Allerdings befürchten sie auch, auf dem Weg dahin einem größeren Risiko von Cyberangriffen ausgesetzt zu sein.

Ein Teil der Sicherheitsherausforderungen von DevOps liegt in den genutzten neuen IT-Architekturen und dem Wunsch nach Geschwindigkeit begründet. Die deshalb verwendeten horizontalen Microservices, die möglicherweise mehrmals täglich upgedatet werden, sind weit entfernt von den früheren vertikalen Monolithen, die vielleicht monatlich aktualisiert wurden. Doch die Absicherung einer solchen, stetigem Wandel unterworfenen Umgebung kann schwierig sein – vor allem, wenn Security noch immer als reaktiv, Perimeter-fokussiert, langsam und manuell gemanagt verstanden wird. Die Wichtigkeit des Speed-to-Market führt zudem oftmals dazu, dass Entwickler bei der Sicherheit Abkürzungen nehmen. Ein Bericht vom März zeigt, dass die Zahl der Datenpannen aufgrund des Einsatzes von Open-Source-Softwarekomponenten in den letzten fünf Jahren um 71 Prozent zugenommen hat.

Zeit für einen Wandel

So mag es scheinen, dass mit besseren Sicherheitslösungen auch der Erfolg von DevOps garantiert wäre. Immerhin berichteten uns nicht einmal 44 Prozent der deutschen IT-Entscheider, dass sie alle nötigen Security-Tools für den Schutz von DevOps-Prozessen besitzen. Doch die Probleme liegen tiefer. Ein Teil davon ist die bereits beschriebene, veraltete Sicht auf die IT-Sicherheit, die auch im Verhalten der IT-Security selbst begründet sein mag: 48 Prozent beklagten, dass das Security-Team den Wandel hin zu agiler Innovation nicht ausreichend mitträgt und ähnlich viele (44 Prozent) waren der Meinung, dass Security sogar die Geschwindigkeit von DevOps verringert.

DevOpsCon Istio Cheat Sheet

Free: BRAND NEW DevOps Istio Cheat Sheet

Ever felt like service mesh chaos is taking over? As a follow-up to our previous cheat sheet featuring the most important commands and functions, DevOpsCon speaker Michael Hofmann has put together the 8 best practices you should keep in mind when using Istio.

Die Schwierigkeiten gehen jedoch über die Sicherheitsabteilungen hinaus. Obwohl viele der Befragten (62 Prozent) erkannten, dass der mangelnde Austausch mit der Security bei DevOps ein Risiko darstellt, gaben 41 Prozent zu, dass sie nicht immer ihre Sicherheitsexperten konsultieren. Zudem vertraten nur 29 Prozent die Ansicht, dass ihre Security-Abteilung die nötigen Fähigkeiten besitzt, um DevOps-Projekte abzusichern. Das ist besonders beunruhigend, da die zunehmende Komplexität von Sicherheit und Infrastrukturen als größtes Hindernis für Erfolg gesehen wird.

Zudem zeigten sich in Unternehmen, die DevOps-Prozesse implementieren, große Herausforderungen für Führung und Kommunikation. So gab etwa ein Fünftel der Befragten an, dass nicht klar definierte Verantwortlichkeiten ein großes Problem darstellt und etwa ein Viertel beklagte fehlenden Buy-In durch das Management. Zudem verwies eine große Mehrheit auf Schwierigkeiten durch IT-Silos.

Der Weg zu Security-by-Design

Dementsprechend ist es wenig überraschend, dass nur 42 Prozent der befragten deutschen Unternehmen eine vollständig ausgearbeitete DevOps-Strategie vorweisen können. Es zeigt sich, dass möglicherweise in zu vielen Unternehmen eine Kultur nach dem Motto „Move Fast and Break Things“ vorherrscht. An deren Stelle sollte eine Kultur von Security-by-Design treten, also die Erkenntnis auf allen Organisationsebenen, dass Sicherheit von Anfang an in allen Aspekten mitberücksichtigt werden muss. Dazu gehören mehr als nur Lippenbekenntnisse: Security muss als treibende Kraft für Business Value und Risikominderung verstanden werden.

Einen Kulturwandel herbeizuführen ist schwierig. Es wäre ein guter Anfang, die Geschäftsführung ins Boot zu holen – um Verantwortung für Projekte zu übernehmen und Entwickler, IT und Security zusammenzubringen. Jedes Team sollte anerkennen, welche Aufgaben die jeweils anderen zu bewältigen haben und gemeinsame Ziele definieren. Damit kann der Fortschritt von Initiativen gemessen und Erfolg belohnt werden.

Natürlich müssen als Grundlage auch die richtigen Werkzeuge und Technologien bereitstehen. Die Automatisierung von Prozessen kann zusätzlich helfen, menschliche Fehler zu minimieren. Adaptive, kontextuelle und softwarebasierte Sicherheit sollte Priorität haben. Durch APIs können Sicherheitsfunktionen einfacher automatisiert in DevOps-Workflows eingebunden und wichtige Funktionen wie kontinuierliche Scans von Container-Images auf Malware und Bugs sowie Runtime-Schutz realisiert werden. Zumindest in den frühen Phasen eines Projekts können zudem Erkennung und Monitoring den Vorrang vor der Durchsetzung von Regeln und dem Blockieren von Bedrohungen haben, damit Security nicht als Störfaktor wahrgenommen wird.

Die vollständige Etablierung von Security-by-Design ist nicht nur eine Frage der Technik, sondern vor allem auch des Willens. Die industrielle Produktion von Software ist vergleichbar mit der von industriellen Erzeugnissen. Die Tatsache, dass heute Sicherheit in jedem Arbeitsschritt zur Produktion eines Gutes integriert ist, dient einerseits der Qualitätssicherung und andererseits der Vermeidung tragischer Unfälle. Beides lässt sich auch auf IT-Software anwenden Die Frage ist, ob die Softwareentwicklung wirklich auch die Fehler machen möchte, die in der Industrie zur Erkenntnis geführt haben, die Produktion von Waren mit Sicherheitsstandards zu regeln.

Verwandte Themen:

Geschrieben von
Richard Werner
Richard Werner
Richard Werner ist Business Consultant bei Trend Micro. Dort bringt er den IT-Sicherheitsverantwortlichen größerer Unternehmenskunden die Strategie Trend Micros näher, speziell im Hinblick auf aktuelle Cyberbedrohungen.
Kommentare

Hinterlasse einen Kommentar

1 Kommentar auf "Sichere DevOps – eine Frage der Kultur"

avatar
4000
  Subscribe  
Benachrichtige mich zu: