Engere Zusammenarbeit erforderlich
DevSecOps schafft Abhilfe, jedoch bringt der Paradigmenwechsel eine Reihe von Implikationen mit sich. Nicht nur die Rolle der Sicherheitsexperten wird neu definiert, auch kulturelle Veränderungen stehen ganz oben auf der Agenda. In der Hinsicht stellt DevSecOps tendenziell eine größere Veränderung für die Sicherheitsteams dar als für Dev- oder Ops-Teams. Ob sie es wollen oder nicht, der Wandel ist weitreichend und unerlässlich. Statt Schubladendenke und Fingerzeig sitzen alle Beteiligte nun gleichermaßen im selben Boot. Sicherheit zu gewährleisten wird zur Mannschaftssportart und ist gemeinsame Aufgabe und Verantwortung eines jeden Protagonisten im Team.
Im Gegenzug bedarf es dem offenen Umgang und der größerer Empathie für die Aufgaben und Herausforderungen des Gegenübers - auch gegenüber all denen, die in der Vergangenheit kontroverse Meinungen vertraten. So ist es beispielsweise nicht mehr möglich, umfangreiche Sicherheitsanforderungen an die Entwicklungsteams zu stellen, ohne deren Auslastung und Prioritäten zu kennen. Sicherheitsteams und Entwicklung müssen eine viel engere Abstimmung und Zusammenarbeit anstreben, was bedingt den Standpunkt und die Herausforderungen des anderen viel differenzierter zu verstehen. Die Zeiten, in denen Entwicklern auf dem Weg in die Teeküche einfach eine lange To-Do-Liste mit sicherheitsrelevanten Fehlern kommentarlos in die Hand gedrückt wurde, sind vorbei.
Von kontrollbasierter zu kontextbasierter Sicherheit
Die IT-Landschaft ist im Aufbruch und durchläuft deutliche Veränderungen. Häufig ist inzwischen von der Konsumerisierung der IT die Rede. Cloud-Technologie und Mobile Computing radieren teilweise Netzwerkperimeter aus, die zuvor streng kontrolliert wurden. Aufgrund der Erosion eines ehemals gut definierten Bereichs in der IT-Landschaft müssen sich herkömmliche kontrollbasierte Sicherheitslösungen wie Hardware-Firewalls zu kontextbasierten Lösungen weiterentwickeln. Wesentliche Fragestellung ist dabei ob die Applikation beispielsweise sensitive Daten verarbeitet und speichert, und wenn ja, welche. Ebenso kommt es darauf an, ob die Applikation ausschließlich intern genutzt wird oder auch von externen Dritten und mit welchen sonstigen Systemen diese interagiert.
"Dies ist ein weiterer Bereich, in dem die Kultur von DevSecOps von großer Hilfe sein kann", sagt Mike D. Kail (@mdkail), Mitbegründer und Chief Technology Officer von Cybric, einem Anbieter einer Security-as-a-Service Plattform. "Es braucht die enge Zusammenarbeit zwischen Sicherheitsexperten und Anwendungsentwicklern, um die zuvor skizzierten Zusammenhänge vollständig zu verstehen und dann Maßnahmen zu automatisieren um die Verbesserung kontinuierlich zu messen."
Zusammenfassung
DevSecOps hat das Potenzial die Zukunft der App-Wirtschaft maßgeblich und disruptiv zu verändern. Die Implementierung und Anwendung wird die Art und Weise ändern, in der die Menschen ihre Arbeit verrichten und in Teilen neue Stellenbeschreibungen zur Konsequenz haben. Insbesondere bei den sicherheitsrelevanten Aufgaben im Entwicklungsprozess sind die Veränderungen weitreichend. Gleichwohl ist dies etwas Positives und ein vielleicht längst überfälliger Schritt.
DevSecOps liefert nicht nur die Steilvorlage, die Resistenz von Anwendungen auf eine völlig neue Ebene zu hieven, es bietet die Chance deutlich an Schlagkraft zuzulegen. Im Umkehrschluss bietet es auch den Sicherheitsexperten die Gelegenheit sich Aktivitäten zu widmen, die einen noch größeren Mehrwert im Unternehmen schaffen - so z.B. in der Beratung oder im Coaching hinsichtlich der Absicherung digitaler Geschäftsmodelle. Wichtig ist, sich nicht nur auf den Wandel vorzubereiten sondern diesen aktiv zu gestalten, um gestärkt emporzusteigen und mit Rückenwind Wettbewerbsvorteile daraus zu ziehen.