Umfrage zeigt Herausforderungen für die Unternehmenskultur hinsichtlich DevSecOps
In letzter Zeit wurde viel über die oftmals nicht gut funktionierende Beziehung zwischen Cybersecurity-Experten und Anwendungsentwicklern diskutiert, aber es ist unklar, ob dabei echte Fortschritte erzielt wurden.
Eine globale Umfrage unter 606 Entscheidungsträgern im Bereich IT, Security, Anwendungsentwicklung und DevOps in Unternehmen mit über 500 Mitarbeitern fand heraus, dass das größte Hindernis für die Einführung von Best Practices bei DevSecOps eher eine Sache der Unternehmenskultur (71 %) als der Technik ist. Problematisch ist jedoch, dass laut der Umfrage nur 16 % der Befragten planen, sich in den nächsten 12 bis 18 Monaten vorrangig mit der Thematik Unternehmenskultur zu befassen.
Nur 30 % drückten ihre Zuversicht in das derzeitige Niveau der Zusammenarbeit zwischen Sicherheits- und Anwendungsentwicklungsteams aus. Im Gegensatz dazu waren 46 % der Befragten nicht besonders zuversichtlich, während fast ein Viertel (24 %) überhaupt nicht zuversichtlich war. Etwas mehr als die Hälfte der Befragten (51 %) geben zu, dass sie nur ansatzweise wissen, wie die Security in einen DevSecOps-Workflow passt.
Zu den spezifischen Problemen, die gelöst werden müssen, gehören die Festlegung klarer Richtlinien und Verfahren (66 %), die Definition der Rolle und der Zuständigkeiten der Mitarbeiter in den verschiedenen Teams (62 %), die Schaffung einer kontinuierlichen Feedbackschleife (49 %) und die Automatisierung wiederkehrender Sicherheitsaufgaben (41 %).
Einen Weg nach vorne finden
Die Kernfrage ist, inwieweit Cybersecurityteams in die Anwendungsentwicklung eingebunden werden sollten. Es gibt eindeutig ein gemeinsames Bestreben, mehr Verantwortung für die Anwendungssicherheit nach links in Richtung Entwickler zu verlagern, indem beispielsweise Sicherheitstools in die integrierten Entwicklungsumgebungen eingebettet werden. Die Herausforderung besteht darin, dass selbst wenn diese Tools zur Verfügung gestellt werden, nicht klar ist, ob die Entwickler zwischen dem Schweregrad einer Schwachstelle und dem einer anderen unterscheiden können. In den meisten Fällen war Sicherheit bestenfalls ein Wahlfach, das einige Entwickler an der Hochschule angeboten bekamen, aber nur wenige tatsächlich belegten.
Es ist zwar nicht unbedingt eine schlechte Idee, Entwicklern mehr Sicherheitstools zur Verfügung zu stellen; doch es ist eine Art zentralisierte Security-Funktion notwendig, um die Anwendungssicherheit besser zu gewährleisten. Es ist diese Notwendigkeit, die die Verringerung der aktuellen Kluft zwischen Cybersecurity-Experten und Anwendungsentwicklern so entscheidend macht. Das wird jedoch nicht passieren können, wenn Cybersecurityteams nicht wirklich verstehen, wie moderne Anwendungen entwickelt werden. Das bedeutet nicht unbedingt, dass Cybersecurity-Experten in der Lage sein müssen, tief in die Arbeitsabläufe der Anwendungsentwicklung einzutauchen. Es bedeutet aber durchaus, dass sie zumindest wissen sollten, wie Anwendungen erstellt werden, um sicherzustellen, dass die entsprechenden Sicherheitsvorkehrungen vorhanden sind.
Es besteht kein Zweifel, dass DevSecOps noch einen langen Weg vor sich hat. Jeder Cybersecurity-Experte muss selbst entscheiden, wie er Anwendungsentwickler am besten einbindet. Das Wichtigste ist, es zu versuchen. Selbst kleinste Änderungen bei den Prozessen zur Anwendungsentwicklung können tiefgreifende Auswirkungen auf die Sicherheit haben. Die Herausforderung besteht darin, diese Gelegenheiten schnell zu erkennen, da Cyberkriminelle mittlerweile ihre Bemühungen zur Kompromittierung von Software-Lieferketten, die voll von bekannten Schwachstellen sind, erheblich intensiviert haben. Es liegt in Wahrheit im eigenen Interesse der Cybersecurity-Experten, zur Sicherung dieser Lieferketten beizutragen. Schließlich bedeutet jede Schwachstelle, die nicht ihren Weg in eine Produktionsumgebung findet, ein Problem weniger, das es für sie zu lösen gilt.
