von Klaus Kurz, Sr. Director Solution Consulting bei New Relic
Laut dem Data Breach Investigations Report 2022 von Verizon, entstehen 82 % der Sicherheitsverletzungen in Unternehmen durch den Faktor Mensch. Die Gründe sind vielfältig: Von Social Engineering, Bedienfehlern bis hin zu bewusstem Missbrauch. Doch es gibt Wege, zumindest einigen der Einfallstore zuvorzukommen. Dabei gilt: Sicherheit kann nicht nur die Aufgabe von Security-Teams sein. Jedes Mitglied einer Organisation muss die Verantwortung für gute Sicherheitsgewohnheiten übernehmen – auch Softwareingenieure.
Die Förderung eines Sicherheitsbewusstseins in DevOps-Teams kann für Unternehmen, die ihre Cyberabwehr verbessern wollen, von großer Bedeutung sein. Ingenieur:innen, die sich der Cyber-Sicherheit verschrieben haben, sind sich potenzieller Bedrohungen und Schwachstellen sowie der allgemeinen Zuverlässigkeit und Integrität von Anwendungen bewusst. Dieser Ansatz stellt sicher, dass jedes Glied in der Kette “Unternehmen” stark und Cyber-sicher ist, anstatt sich dabei auf nur eine sicherheitsverantwortliche Instanz zu verlassen. Die Verantwortung wird geteilt, was gleichzeitig auch den mentalen Druck von den Security-Teams nimmt und das Stresslevel einzelner Mitarbeiter senken kann.
Im folgenden zeigen wir sechs Schritte auf, durch die Unternehmen ihre Cyber-Sicherheit verbessern und ein echtes Security Mindset in ihren DevOps-Teams aufbauen können:
Know before you go: Erstellung eines umfassenden Schulungsprogramms
Man kann von Ingenieure nicht erwarten, dass sie Sicherheit in den Entwicklungsprozess integrieren, wenn ihnen das nie beigebracht wurde. Ein effektives Sicherheits-Trainingsprogramm enthält eine umfassende Liste potenzieller Schwachstellen sowie detaillierte Informationen darüber, wie die verschiedenen Schritte der Anwendungsentwicklung zusammenwirken und potenzielle Sicherheitsrisiken darstellen. Von der Architektur über den Code bis hin zum Testen muss sich jede:r Ingenieur:in darüber im Klaren sein, wie potenzielle Angreifer:innen die jeweilige Technologie ausnutzen können. Sicherheitstrainings-Programme müssen deshalb unbedingt auf die Bedürfnisse des Unternehmens zugeschnitten sein und die spezifischen Richtlinien und Prozesse berücksichtigen, mit denen Mitarbeitende jeden Tag zu tun haben.
To the left: „Shift-Left“-Mentalität
Die sichere Entwicklung beginnt mit der ersten Codezeile. Ingenieure sollten ermutigt werden, sich so früh wie möglich Gedanken darüber zu machen, wie sie ihre Anwendung sicher machen können, anstatt sie erst am Ende des Entwicklungszyklus auf Schwachstellen zu überprüfen. Die Integration von Sicherheitsaspekten in jeden einzelnen Schritt des Entwicklungsprozesses verhindert, dass am Ende des Weges große Probleme warten.
Go hard or go home: Keine Umwege gehen
Entwickler:innen sind darauf konditioniert, schnell zu handeln und nach stetiger Optimierung zu suchen. Aber wenn es um Sicherheit geht, können Abkürzungen oder Abstriche auch schnell zu einer Katastrophe führen. Auch wenn es erstmal kleinlich wirkt: Softwareingenieure müssen sich die Zeit nehmen, auch Dinge wie vermeintliche Standardeinstellungen zu überprüfen, die ihr Team gefährden könnten, einschließlich unsicherer Standardkennwörter und ungeschützter Betriebssysteme. Niemand kennt eine Anwendung besser als die Person, die sie entwickelt hat. DevOps-Teams sollten sich daher die Zeit nehmen, ihren eigenen Code anzugreifen, herauszufinden, wie jemand anders sich Zugang verschaffen könnte, und dann daran arbeiten, diese Schwachstellen zu beheben.
Together forever: Förderung von Zusammenarbeit und Peer-Reviews
Niemand ist perfekt. Die oben genannten Daten über menschliches Versagen bei Sicherheitsverstößen zeigen eindeutig, dass sich Teams mehr Zeit nehmen müssen, um ihre Arbeit zu überprüfen und sicherzustellen, dass keine Fehler übersehen werden. Egal, wie erfahren ein:e Entwickler:in ist, Scheuklappen beim eigenen Code (nachdem man ihn zum gefühlt 3000sten Mal angeschaut hat) zu entwickeln, ist menschlich und völlig normal. Unternehmen sollten deshalb Systeme für Peer-Reviews entwickeln, in denen Teams sich gegenseitig überprüfen. Nur so lässt sich die Wahrscheinlichkeit, dass ein Fehler oder eine Schwachstelle in die Produktion eindringt, deutlich verringern.
Nobody is an island: Detaillierte Bibliotheken pflegen
Unabhängig von Größe oder Aufgabe arbeitet jedes Unternehmen täglich mit einer großen Menge an Softwarelösungen, Anwendungen und Microservices: Keine Softwarelösung steht heute nicht in irgendeiner Verbindung zu einem anderen System. Ingenieure müssen über ihre eigene Entwicklung hinausblicken und die auch Schwachstellen in internen Tools und Diensten von Drittanbietern berücksichtigen. Sicherheitsbewusste Unternehmen sollten Systeme entwickeln, um Bibliotheken auf Schwachstellen zu prüfen und im Laufe der Zeit aktiv zu pflegen. Ständige Wachsamkeit ist der Schlüssel zur Vermeidung von Sicherheitslücken.
Don’t stop moving: Dem Spiel immer einen Schritt voraus
Cybersicherheit ist dynamisch. Gerade Gruppen mit kriminellen Absichten werden sich ständig weiterentwickeln, ihre Methoden verfeinern und nach neuen Wegen suchen, um sich Zugang zu wertvollen Ressourcen zu verschaffen. Denn genau das ist ihr Geschäftsmodell. Softwareingenieur:innen sollten daher ermutigt werden, den neuesten Trends im Bereich Cybersicherheit immer einen Schritt voraus zu sein und ihre Fähigkeiten und Kenntnisse auf dem neuesten Stand zu halten, um Sicherheitsrisiken zu minimieren. Sei es durch die Lektüre von einschlägigen Publikationen, die regelmäßige Teilnahme an Konferenzen oder auch nur durch die Einrichtung von Kanälen für den Wissensaustausch innerhalb des Unternehmens.
Fazit
Jede:r Softwareentwickler:in wünscht sich, dass die eigenen Tools und Anwendungen erfolgreich sind. Und in einer zunehmend von Cyber-Security-Risiken bedrohten Wirtschaft hängen Erfolg und Sicherheit untrennbar voneinander ab. Daher ist es entscheidend, Security mittels verschiedener Maßnahmen von Anfang an in den Entwicklungsprozess einzubinden, um ein stabiles Fundament zu schaffen. DevOps-Teams müssen damit anfangen, Sicherheit als Erfolgskriterium einzubeziehen, um Zuverlässigkeit und maximale Performance zu generieren.
Autor: Klaus Kurz, Sr. Director Solution Consulting bei New Relic: Klaus Kurz ist seit 2019 Senior Director, Solutions Consulting Central Europe bei New Relic. Hier führt er ein stetig wachsendes Team an Solution Engineers, Solution Consultants und Solution Architects, das Kunden bei der Umsetzung ihrer Digitalisierungspläne unterstützt. Zuvor arbeitete er 15 Jahre bei Adobe und füllte Positionen vom Manager Business Development bis zum Head of Solution Consulting für Zentral- und Osteuropa.
