Digital Transformation Blog

Digital Transformation Blog

Opinions expressed on this blog reflect the writer’s views and not the position of the Capgemini Group

DevOps und Security – Muss man sich Gedanken über Security machen, wenn man die (IT-)Welt revolutioniert?

Was ist DevOps?

Immer mehr Unternehmen setzen heutzutage auf DevOps, d.h. sie versuchen, Entwicklung (Development) und Betrieb (Operations) zu verschmelzen, um unter anderem eine kürzere Time-to-Market von Software, einen verkürzten Releasezyklus und eine geringere Anzahl Release-Fehlern zu ermöglichen (siehe Abbildung 1). Die Studie Information Security Benchmark 2017 zeigt zum Beispiel, dass schon 46% der befragten Unternehmen sich mit dem Thema DevOps beschäftigen bzw. dies aktiv anwenden. Die effektivere und effizientere Zusammenarbeit wird durch das Überwinden kultureller Barrieren zwischen den beiden Bereichen, sowie durch automatisierte, abgestimmte Prozesse und Tools ermöglicht. Die Königsdisziplin ist dabei das Continous Deployment, also das hochautomatisierte und kontinuierliche Einspielen einer neuen Version in die Produktivumgebung.


Abbildung 1: Top5-Gründe für DevOps,
Quelle: Capgemini Consulting Information Security Benchmark 2017

Welche Security Implikationen ergeben sich?

Das Verwischen der historischen Grenzen bzw. Unterscheidung zwischen Entwicklung und Betrieb bringt jedoch nicht nur Vorteile, sondern auch Nachteile mit sich. Neben offensichtlichen Problemen, wie fehlendes Knowhow zu Aufgaben der anderen Parteien oder der oft nicht mehr gegebenen Trennung zwischen Development-, Test- und Produktionsdaten, sind diese teils tiefgreifender, da kulturelle Aspekte mit einspielen. Während Entwickler dem Kunden möglichst schnell Updates bzw. neue Funktionalitäten zur Verfügung stellen wollen, sieht der IT-Betrieb tendenziell in jeder Veränderung ein Ausfallrisiko. Letzteres lässt sich dabei auch auf das Informationssicherheitsteam übertragen, welches Schwachstellen und Sicherheitsvorfälle vermeiden und deswegen oft als „Verlangsamer“ des Prozesses angesehen wird. Die Erhöhung der Release-Geschwindigkeit führt daher in der Regel dazu, dass eine traditionelle Informationssicherheits-Organisation nicht mithalten kann und z.B. nicht ausreichend Zeit hat, für jede Änderung die notwendigen Architektur-Reviews durchzuführen. Findings aus diesen Reviews und andere Sicherheitsanforderungen werden dann häufig nicht bzw. nicht rechtzeitig an die Entwickler kommuniziert oder von diesen nicht über einen adäquaten Prozess einpriorisiert. Dies ist umso wichtiger, da die Kosten, einen Sicherheitsfehler zu finden, je nach Projektphase steigen.

Was sind mögliche Antworten?

Die meisten Organisationen implementieren Cybersecurity nicht ausreichend in ihre DevOps-Programme, bzw. stellen dies bei der überhasteten Einführung von DevOps hintenan. Dabei ist es von immenser Wichtigkeit, Sicherheit von vorneherein und bereits in die frühen Phasen des Software Development Life Cycle zu berücksichtigen. Die so ermöglichte konsequente Verwaltung von Sicherheitsanforderungen und die weitgehende Automatisierung an verschiedenen Stellen des Entwicklungslebenszyklusses ist eine effektive Strategie zur Verbesserung der Sicherheit bei gleichzeitiger Beibehaltung einer schnellen Releasefolge. So führt die Automatisierung von Sicherheitsmaßnahmen wie Static-Code-Analysis, Vulnerability Scanning, Patching und Zertifikatsmanagement sowie das automatische Überprüfen der Einhaltung von Sicherheitsrichtlinien dazu, dass Sicherheitsaktivitäten schneller durchgeführt werden können und so besser zur agilen Softwareentwicklung/ DevOps passen (Weitere mögliche Kontrollen siehe Abbildung 2).


Abbildung 2: Top5 im Zusammenhang mit DevOps eingesetzte Kontrollen,
Quelle: Capgemini Consulting Information Security Benchmark 2017

Mindestens ebenso wichtig wie die Automatisierung ist nach der Erfahrung von Capgemini Consulting die Veränderung des Mindsets bzw. der Kultur, nicht nur der Entwickler und des Betriebs, sondern auch der Security-Mannschaft. Nur wenn die Bereitschaft besteht, von alten Denkmustern abzurücken und in eine proaktive Zusammenarbeit mit dem DevOps Teams einzusteigen, kann dies gelingen. Diese Veränderung der Denkweise gilt es, von Beginn des DevOps-Programms an, konsequent durch Change Management-Maßnahmen zu unterstützen.

Setzt ihr Unternehmen bereits auf DevOps? Was ist Ihre Antwort auf die beschriebenen Sicherheitsfragen? Ich freue mich auf die Diskussion.

Über den Autor

Sebastian Hanschke
Sebastian Hanschke
Sebastian Hanschke ist Manager in unserem Cybersecurity-Team. Er berät Unternehmen aller Branchen von der Informationssicherheits-Reifegradbestimmung und anschließender Strategiedefinition über die Einführung von Organisationstrukturen, Richtlinien und Prozessen bis hin zur Vorbereitung und Durchführung von Sensibilisierungsmaßnahmen und Zertifizierungen für Mitarbeiter.

Kommentar hinterlassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind mit einem * gekennzeichnet.