Sicherheit in der Softwareentwicklung

In einer Zeit, in der Unternehmen danach streben, Entwicklungszyklen zu verkürzen, Arbeitsprozesse miteinander zu verknüpfen und den gestiegenen Kundenanforderungen gerecht zu werden, wird die Bedeutung von DevOps immer größer. Da immer mehr Unternehmen mit DevOps arbeiten, wird gleichzeitig auch der Sicherheitsaspekt wichtiger. DevSecOps hat sich längst als fester Bestandteil der Softwareentwicklung entwickelt. Warum hat sich DevSecOps so schnell als Standard etabliert? Die zunehmend strenger werdenden Datenschutzgesetze haben definitiv etwas damit zu tun. Aber Datensicherheit ist auch aus vielen anderen Gründen von großer Bedeutung. Eine IT-Umgebung hat nun einmal Sicherheitslücken und Skandale durch Hackerangriffe oder Malware machen sich in keinem Firmen-Portfolio gut. Julian Totzek-Hallhuber erklärt auf Security-insider.de, wieso DevSecOps so schnell zum Standard werden konnte. Im Folgenden fassen wir seinen Artikel für Sie zusammen.

88 Prozent der Unternehmen in Deutschland schwören einer Umfrage von Coleman Parkes zufolge auf ihre DevOps Kultur, die zu einem entscheidenden Faktor für den Erfolg geworden ist. DevOps erlaubt es ihnen, dynamische Prozesse in der Entwicklung mit einer verlässlichen IT zu vereinen. So wird die Entwicklung schneller, agiler und sie entspricht den Anforderungen eines digitalen Wirtschaftsumfeldes, weil Fachleute aus verschiedenen Bereichen zusammenkommen und gemeinsam die besten Lösungen finden. Trotzdem ist es auffällig, wie viele Unternehmen sich erst dann um Sicherheitslücken sorgen, wenn ein Problem auftaucht oder ein Audit ins Haus steht.

Wer Release-Zyklen verkürzt, wird profitabler, geht aber in der Regel ein Sicherheitsrisiko ein. Das hängt damit zusammen, dass die Entwicklungsteams unter hohem Zeitdruck stehen und daher den Sicherheitsaspekt vernachlässigen. Veracode veröffentlichte in einem „State of Software Security“-Report, dass über 85 Prozent aller Programme mindestens eine Schwäche aufweisen und sogar 13 Prozent eine kritische Schwachstelle haben. Dabei ist die Schachstelle im Programm nur ein Teil der Herausforderung. Sie zu finden, ist der eigentliche Knackpunkt. Oft liegt es einfach daran, dass die Entwickler sich nicht ausreichend Zeit nehmen (können), um gezielt Schwachpunkte zu suchen. Nur die Schwächen, die auch gefunden werden, können behoben werden. Hier spielt der Aspekt „Zeit“ eine Rolle, denn je eher die Applikation auf den Markt kommen kann, desto besser. Es kostet Zeit und Geld, Schwachstellen zu suchen und sie zu eliminieren. Hier gilt es abzuwägen: Investiere ich mehr Zeit in eine weitere Testphase, um eventuelle Schwächen zu entdecken und zu beheben oder gehe ich das Risiko ein, dass diese erst nach dem Release gefunden werden, im schlimmsten Fall von einem Hacker? Datenlecks oder Programmausfälle können natürlich auch zu strafrechtlichen Problemen führen oder Bußgelder nach sich ziehen. Und dann ist da ja noch der mögliche Schaden an der Reputation. All das muss berücksichtigt werden. Der „State of Software Security“-Report gibt an, dass in 70 Prozent aller Fälle Schwachpunkte noch einen Monat nach dem Release bestehen, in über der Hälfte der Fälle sogar mehr als drei Monate. Dabei steigen die Kosten für die Behebung eines Fehlers nach der Veröffentlichung um das Zehnfache gegenüber der Testung vor dem Release. Da sollte die Rechnung doch eigentlich ganz einfach sein?

Genau hier kommt DevSecOps ins Spiel. Sicherheit wird von Anfang an in den Entwicklungsprozess integriert und ist kein losgelöstes Thema. Durch DevSecOps wird vermieden, dass das Thema Sicherheit vergessen wird. Ein Vorteil ist aber auch, dass das Entwicklungsteam sich die rückwirkende Fehlerbehebung spart. Lästige zusätzliche Runden, die wegen eines Sicherheitsproblems gedreht werden müssen, entfallen. Das Scannen nach Sicherheitslücken erfolgt parallel in der Entwicklungsphase. In jedem Team ist ein Verantwortlicher für die IT-Sicherheit vertreten, der eng mit den Entwicklern zusammenarbeitet. Bisher sind es noch nicht allzu viele Unternehmen in Deutschland, die DevSecOps schon voll verinnerlicht haben. Aber laut „State of Software Security“-Report sind diese Unternehmen mit dem Ansatz sehr erfolgreich. Statt der durchschnittlichen sechs Schwachstellenscans im Jahr führen Unternehmen, die mit DevSecOps arbeiten, im Schnitt 300 Scans durch. Dadurch werden Schwächen mehr als zehnmal so schnell behoben. Schon bei nur 50 Scans im Jahr kann die Anzahl der Schwachstellen halbiert werden.

Die Vorteile liegen also auf der Hand und sind auch den meisten Unternehmen zumindest theoretisch bekannt. Das Implementieren der Methoden von DevSecOps erfordert eine hohe Bereitschaft zu Kooperation zwischen Fachleuten aus unterschiedlichen Bereichen, die das nicht gewöhnt sind. Die technologische Komponente ist vergleichsweise einfach. Es hängt meist an der Einstellung der verschiedenen Beteiligten, ob die Einführung von DevSecOps zum Erfolg wird. In dieser Frage hat sich gezeigt, dass durch entsprechende Schulungen die Hürden abgebaut und die Erfolgschancen erhöht werden können. Die Unternehmenskultur spielt eine entscheidende Rolle wie auch die Haltung der Führungsebene, die voll hinter dem agilen Konzept stehen muss.

Julian Totzek-Hallhuber zieht sein Fazit: Die Sicherheit von Applikationen darf kein Nice to have sein, sondern muss zur Grundvoraussetzung werden, wenn sich Unternehmen erfolgreich auf dem Markt durchsetzen wollen. Er ist überzeugt davon, dass die Vorteile so überwältigend sind, dass sich eigentlich niemand realistisch gegen DevSecOps entscheiden kann. Glücklicherweise haben die Anbieter das längst erkannt und es gibt mittlerweile richtig gute Lösungen, die das Arbeiten in einem DevSecOps Team erleichtern. Beispiele sind RASP (Runtime Application Self-Protection) und SCA (Software Composition Analysis). So ist der Implementierungsaufwand zumindest von der technischen Seite minimal.