Mit der zunehmend komplexer werdenden IT-Landschaft und den sich stetig entwickelnden Strategien von Cyberkriminellen brauchen Unternehmen einen neuen Ansatz für ihre Anwendungssicherheit. Ein DevSecOps-Modell hilft dabei, die Zusammenarbeit zwischen ITOps- und SecOps-Teams zu verbessern und den Aspekt Sicherheit in den gesamten Entwicklungsprozess zu integrieren.
Tommy Ziegler, Leader Sales Engineering bei AppDynamics, erklärt, welche vier Herausforderungen IT-Führungskräfte dabei bewältigen müssen, um für eine optimale Anwendungssicherheit zu sorgen.
Angesichts einer immer komplexeren IT-Landschaft, der Ausweitung der Angriffsflächen und den zunehmend raffinierteren Methoden von Cyberkriminellen müssen Unternehmen die Anwendungssicherheit erhöhen. Dies kann durch einen DevSecOps-Ansatz gelingen, bei dem ITOps- und SecOps-Teams enger zusammenarbeiten, um Sicherheit in den gesamten Lebenszyklus einer Anwendung zu integrieren.
Doch um diesen Ansatz erfolgreich umzusetzen, müssen IT-Führungskräfte mehrere Herausforderungen meistern.
- Fehlende Fähigkeiten und Kenntnisse
Unternehmen brauchen in ihren IT-Abteilungen die richtigen Skills, um Anwendungen in einem komplexen Spannungsfeld besser zu schützen. In einer aktuellen Studie von AppDynamics gibt nur allerdings eine Minderheit der befragten IT-Fachkräfte aus Deutschland an, dass sie selbst (31 Prozent) oder ihr Team (37 Prozent) über die notwendigen Fähigkeiten verfügt, um mit den Bedrohungen der Anwendungssicherheit umzugehen, denen ihr Unternehmen ausgesetzt ist.
Daher müssen IT-Führungskräfte zum einen qualifizierte Mitarbeiter einstellen, die sich mit der Verwaltung der Sicherheit in modernen Anwendungsstacks auskennen, die etwa Cloud-native Microservices, Kubernetes-Container, Multi-Cloud-Umgebungen oder Mainframe-Rechenzentren umfassen. Zum anderen müssen sie aber auch in die Weiterbildung der vorhandenen Mitarbeiter – unabhängig von ihrer jeweiligen Disziplin – investieren, um sie auf die Arbeit in einem DevSecOps-Modell vorzubereiten.
Für eine effektive Zusammenarbeit in einem solchen integrierten Team müssen sie über ihren bisherigen Tellerrand hinausblicken: So brauchen Sicherheitsexperten ein besseres Verständnis für die Anwendungsentwicklung, während Entwickler ihr Wissen über Sicherheitsrisiken, -anforderungen oder -tests erweitern müssen.
- Kulturelle Widerstände
Der Wechsel zu einem DevSecOps-Ansatz geht auch mit einem umfassenden Kulturwandel einher. Dafür ist mehr Offenheit und weniger Skepsis gegenüber anderen IT-Bereichen notwendig, zudem müssen IT-Experten aller Disziplinen ihre Arbeit transparenter gestalten. Wichtig ist es daher, dass die Verantwortlichen für die IT-Abteilung ihren Mitarbeitern die Vorteile von DevSecOps aufzeigen, nicht nur im Hinblick auf die verbesserte Sicherheitslage des Unternehmens, sondern auch für sie persönlich.
Dazu zählt zum Beispiel, dass sie neue Fähigkeiten erlernen und sich beruflich weiterentwickeln können. Zudem wird der hohe Druck abnehmen, der auf IT-Abteilungen lastet, weil sie bislang alle Schwachstellen und Probleme mit derselben Dringlichkeit behandeln müssen und sie nicht aufgrund ihrer tatsächlichen Auswirkungen auf Nutzer oder Unternehmen priorisieren können. Dies trägt nicht nur zu einer besseren und produktiveren Arbeitsatmosphäre bei, sondern bietet IT-Experten auch die Chance, neue und strategischere Aufgaben zu übernehmen.
- Mangelnde Transparenz bei Sicherheitsproblemen
Der Erfolg eines DevSecOps-Modells hängt aber nicht nur von den Mitarbeitern ab, sondern erfordert auch, dass sie einen einheitlichen Überblick über die gesamte IT-Umgebung und Sicherheitslage haben. Denn nur so sind sie in der Lage, Probleme schnell und einfach zu erkennen, zu verstehen und zu beheben. Jedoch geben zwei Drittel der IT-Fachkräfte (65 Prozent) an, dass ihre Sicherheitslösungen zwar isoliert funktionieren, aber nicht im Zusammenspiel miteinander.
Abhilfe können Lösungen schaffen, mit denen die kontinuierliche Erkennung und Priorisierung von Risiken automatisiert wird. Diese stärken die Sicherheitslage eines Unternehmens, indem sie Bedrohungen identifizieren und – unabhängig von einem Administrator – beheben. Dies reduziert menschliche Fehler, steigert die Effizienz und die Agilität in der Softwareentwicklung.
Zudem können solche Lösungen Bedrohungen in einen größeren Kontext stellen, sie beispielsweise in Beziehung zur Anwendung, dem Nutzer oder dem Unternehmen setzen. Dies ermöglicht es IT-Fachkräften, Bedrohungen zu priorisieren, die einen geschäftskritischen Bereich der IT-Umgebung oder der Anwendung schädigen könnten.
- Notwendige Ressourcen zur Bewältigung der wachsenden Bedrohungen
Da sich Cyberkriminelle bei ihren Angriffsmethoden zunehmend Künstliche Intelligenz (KI) und Machine Learning (ML) zunutze machen, dürfen IT-Abteilungen nicht ins Hintertreffen geraten. Deshalb benötigen sie die entsprechenden Ressourcen, um mithilfe von KI und ML Schwachstellen und Sicherheitslücken zu erkennen, zu beheben und zukünftige vorherzusagen.
AIOps erweitert die menschlichen Fähigkeiten bei verschiedenen Aufgaben im Bereich Cybersecurity, einschließlich dem Monitoring, der Bewertung und der Lösung von Sicherheitsproblemen. So können sich IT-Fachkräfte auf höherwertige Aufgaben konzentrieren und während des gesamten Entwicklungsprozesses effektiver und strategischer zusammenarbeiten.
DevSecOps hat das Potenzial, die Art und Weise, wie IT-Abteilungen an die Anwendungssicherheit herangehen, nachhaltig zu verändern und zu verbessern. Richtig umgesetzt fördert dieser Ansatz die Kollaboration zwischen verschiedenen Teams, minimiert Risiken in Anwendungsumgebungen, hilft dabei, Bedrohungen zu bewältigen und trägt gleichzeitig dazu bei, dass Innovationen beschleunigt werden.