Ein Beitrag von Marc French – CISO, MANAGING DIRECTOR PRODUCT SECURITY GROUP
“Schnell voranschreiten, Konventionen aufbrechen und sich stets weiterentwickeln“ – dieses vielbeschworene Mantra der modernen technologieaffinen Gesellschaft hat uns in der Vergangenheit stets gute Dienste geleistet. Wo wären wir wohl heute, wenn wir nicht immer nach einem schnellen Zugang zum Markt streben würden? Windenergie, elektrische Mobilität, Carsharing sowie die Lieferung innerhalb einer Stunde sind alles Produkte, die aus diesem Ansatz hervorgegangen sind. Veränderungen im Eiltempo haben das Potenzial unsere Gesellschaft zu bereichern. Bei aller Geschwindigkeit darf man aber den Sicherheitsaspekt nicht aus den Augen verlieren.
Schnell und gleichzeitig sicher voranschreiten, geht das?
Es entsteht schnell der Eindruck, dass die Sicherheit am Abstellgleis vergessen wird, während der ICE des technischen Fortschritts ungebremst durch den Bahnhof rauscht. Doch ist der Sicherheitsaspekt unzertrennlich mit dem Fortschrittsgedanken verbunden. Man muss sich allerdings die Frage gefallen lassen, ob man sich durch die neuen Bereitstellungsmodelle wie DevOps, die eine rasante Markteinführung ermöglichen, nicht auch unbeherrschbare Risiken ins Haus holt. Ist das Bild vom IT-Security-Experten als Bremsklotz des Fortschritts wirklich zutreffend? Wäre es dem Fortschritt nicht zuträglich diesen vermeintlichen Klotz loszuwerden? Darf man das überhaupt in Erwägung ziehen?
Im kürzlich erschienenen E-Book des Cyber Resilience Think Tank wird beschrieben, wie Google innerhalb nur einer Woche vier Milliarden Kubernetes ausgeliefert hat. Wie soll bei einem solchen Änderungsvolumen die Sicherheit und Integrität einer Anwendung oder Plattform noch gewährleistet werden?
An dieser Stelle kommt der „Sec“-Teil zu den DevOps hinzu.
Die Zeit ist reif für DevSecOps
Die reflexhafte Antwort der meisten Unternehmen auf die Frage nach zusätzlichen Prozessen ist „Nein“. DevOps Abteilungen bilden da keine Ausnahme. Sie halten sich an die bestehenden Prozesse im Sinne ihres Unternehmens und begegnen jeglichen – potenziell disruptiven – Abweichungen mit Skepsis.
Immer mehr Organisationen erkennen jedoch die Gefahr für Sicherheit und Ruf, die aus einer unkontrollierten, rein auf Geschwindigkeit ausgelegten Softwareentwicklung hervorgeht. Sie verstehen, dass die Sicherheit ein Teil des Prozesses sein muss. Diese Einsicht markiert die Geburtsstunde der DevSecOps.
Doch wie gelingt es einem Unternehmen, DevSecOps voranzutreiben, ohne dabei die Kundschaft zu verprellen? Dem Cyber Resilience Think Tank zufolge lautet die Antwort darauf: Automatisierung. Nur durch Automatisation kann es einem Unternehmen gelingen, trotz aller Sicherheitsauflagen mit der Arbeitsgeschwindigkeit ihrer Entwickler schrittzuhalten und somit die Erwartungen ihrer Kunden zu erfüllen.
Die Zeit wird zeigen, ob es der Wirtschaft gelingt diesen Balanceakt zu meistern und das volle Potenzial von DevSecOps auszuschöpfen.
Weitere Informationen zu diesem Thema finden Sie im neuesten Cyber Resilience Think Tank E-Book.