[datensicherheit.de, 28.12.2020] Mitarbeiter im DevOps-Team bekommen leicht das Gefühl, dass das Sicherheitsteam dazu da ist, ihnen die Arbeit schwerer zu machen. Sicherheitsfachkräfte haben vielleicht das Gefühl, dass DevOps ihre Prioritäten nicht teilt und die Sicherheit nie so ernst nehmen wird, wie sie es gerne hätten. Glücklicherweise muss das nicht so sein. Durch das Festlegen und Verfolgen gemeinsamer Ziele können die Sicherheits- und DevOps-Teams des Unternehmens den Erfolg des jeweils anderen verstärken, anstatt aneinander vorbeizuarbeiten.

Im Folgenden wird erläutert, welche Arten von Zielen Sicherheit und DevOps gemeinsam verfolgen können und welche Metriken sie verwenden können, um ihren gemeinsamen Fortschritt zu messen.

Warum gemeinsame Ziele und Metriken für Sicherheit und DevOps

Diese konzeptionelle Kluft zwischen DevOps und Sicherheit ist leicht zu verstehen. Beide Teams haben traditionell grundverschiedene Ziele. Das DevOps-Team will schnelle, effiziente Releases, während das Sicherheitsteam alle Schwachstellen beseitigen will, auch wenn das bedeutet, den Lebenszyklus der Softwareentwicklung zu verlangsamen. Bislang gab es wenig direkte Überschneidungen zwischen den Teams. Darüber hinaus ließ die Art und Weise, wie die Ziele festgelegt wurden, wenig Raum für ein gemeinsames Zielgefühl. Jedes Team definierte seine eigenen Prioritäten und verlangte dann, dass die anderen sie unterstützen.

Dies ist alles andere als ideal, und ein besserer Ansatz ist möglich. In einer gut geführten IT-Organisation sollten sich der DevOps- und Security-Betrieb gegenseitig verstärken, indem sie Ziele identifizieren und verfolgen, die für beide Seiten von Vorteil sind, was auch als DevSecOps bezeichnet wird. Auf diese Weise hat jedes Team das Gefühl, dass es am Erfolg des anderen beteiligt ist. Es bietet auch eine gemeinsame Sprache in Form von gemeinsamen Metriken, die beide Teams verwenden können, um ihren Fortschritt in Richtung der gemeinsamen Ziele zu messen.

Gemeinsame Metriken für DevOps- und Sicherheitsteams

Welche Ziele und Metriken die DevOps- und Sicherheitsteams am besten gemeinsam nutzen, hängt davon ab, welche Arten von Software sie bereitstellen, wie die Anwendungen gehostet werden und so weiter. Aber im Allgemeinen sind die folgenden Ziele und Metriken nach Meinung von Palo Alto Networks ein guter Anfang:

1. Reduzierte Anzahl der geöffneten Sicherheitstickets
   Die Reduzierung der Anzahl der Sicherheitstickets, die in einem bestimmten Zeitraum geöffnet werden, ist ein offensichtliches Ziel für das Sicherheitsteam. Das DevOps-Team profitiert jedoch auch von der Reduzierung der Sicherheitstickets. Ein Sicherheitsproblem bedeutet oft eine Verzögerung bei der Softwareauslieferung oder (bei schwerwiegenden Vorfällen) sogar ein Rollback zu einem früheren Release, was ein großer Schlag für das Ziel des DevOps-Teams ist, eine kontinuierliche Release-Geschwindigkeit zu erreichen.
   Beide Teams können dazu beitragen, die Gesamtzahl der pro Monat oder Quartal geöffneten Sicherheitstickets zu reduzieren. Sicherheitstools, die sich in die CI/CD-Pipeline integrieren, können den Sicherheitsteams helfen, ihre Überprüfung von Schwachstellen zu verbessern und gleichzeitig die DevOps-Bemühungen zu automatisieren, um Sicherheitsprobleme während der Entwicklung und der Tests zu finden und zu beheben.
2. Reduzierte Time-to-Deploy
   Die Time-to-Deploy ist eine Kennzahl, auf deren Minimierung sich das DevOps-Team traditionell konzentriert hat. Je schneller jedes Release bereitgestellt werden kann, desto näher kommt man der kontinuierlichen Bereitstellung.
   Auch die Sicherheit profitiert von einer geringeren Time-to-Deploy, denn das bedeutet, dass Sicherheitsprobleme durch ein neues Release schneller behoben werden können. Das Sicherheitsteam kann dazu beitragen, die Time-to-Deploy zu minimieren, indem es seine Review-Prozesse für Release-Kandidaten automatisiert und daran arbeitet, die Sicherheit nach links zu verlagern, sodass Sicherheitsprobleme früher in der Pipeline identifiziert werden, wenn sie in der Regel leichter zu beheben sind.
3. Entdeckung von Schwachstellen in der Vorproduktionsphase
   Apropos Verlagerung der Sicherheit nach links: Die Anzahl der Sicherheitsschwachstellen, die identifiziert werden, bevor die Software in Produktion geht, verbessert sowohl das Ergebnis von DevOps als auch die Sicherheit. Für das DevOps-Team bedeutet es ein geringeres Risiko, dass Sicherheitsprobleme nach der Bereitstellung ein Rollback auslösen oder eine ernsthafte Unterbrechung des kontinuierlichen Lieferzyklus verursachen. Für die Sicherheit bedeutet es, dass weniger schwerwiegende Schwachstellen ihren Weg in die Produktionsumgebung finde, wo sie den größten Schaden anrichten können.
   Durch die Zusammenarbeit bei der Identifizierung von Fehlern im vorproduzierten Code können DevOps und Security also den Erfolg des jeweils anderen unterstützen.
4. Geringere Time-to-Remediate
   Die Behebung von Sicherheitsproblemen erfordert die Zusammenarbeit zwischen dem Sicherheits- und dem DevOps-Team. Das Sicherheitsteam übernimmt die Führung bei der Identifizierung des Fehlers, und das DevOps-Team ist für die Implementierung eines Fixes zuständig. Aufgrund der gemeinsamen Verantwortung, die mit dieser Metrik verbunden ist, ist die gemeinsame Verfolgung (und das Bestreben, die Zeit bis zur Behebung zu minimieren) ein effektives Ziel für DevOps- und Sicherheitsteams.
5. Reduzieren von fehlgeschlagenen Sicherheitstests
   Wenn ein Release abgelehnt wird, weil es die Sicherheitstests nicht bestanden hat, sind nicht nur die Sicherheitsingenieure unglücklich darüber, dass DevOps versucht hat, ein Release herauszubringen, das Schwachstellen enthält. Auch das DevOps-Team ist gezwungen, Code neu zu schreiben und mit Verzögerungen im Auslieferungsprozess zu rechnen. Spannungen können auch zwischen den beiden Teams entstehen, wenn DevOps das Gefühl hat, dass die Sicherheitstests unnötig streng sind oder sich auf die falschen Punkte konzentrieren.
   Wenn sich beide Teams jedoch ein gemeinsames Ziel setzen, die Anzahl der fehlgeschlagenen Sicherheitstests zu reduzieren, gewinnen sie ein Gefühl der gemeinsamen Verantwortung für diese Metrik. Im Gegenzug ist es wahrscheinlicher, dass sie zusammenarbeiten, um das Problem zu beheben, anstatt Energie mit gegenseitigen Schuldzuweisungen zu verschwenden.
6. Prozentsatz der bestandenen Sicherheitsprüfungen
   Es mag für DevOps-Teams verlockend sein, Sicherheitsaudits als etwas zu betrachten, durch das sie sich durchwursteln müssen, was sie aber im Grunde ignorieren können. Das DevOps-Team wird vielleicht kritisiert, wenn Sicherheitsaudits Schwachstellen in DevOps-Prozessen finden, aber der Hammer landet vor allem auf dem Sicherheitsteam, wenn Audits fehlschlagen. Die Realität ist jedoch, dass fehlgeschlagene Sicherheitsaudits beide Teams in Gefahr bringen, unabhängig davon, wer die Verantwortung für das Versagen trägt. Wiederkehrende Fehlschläge bei Sicherheitsaudits schaden dem Ruf der gesamten IT-Organisation und könnten schließlich eine Überholung beider Teams auslösen. Andererseits wirft eine kontinuierliche Aufzeichnung erfolgreicher Sicherheitsaudits ein positives Licht auf Sicherheitsingenieure und DevOps-Ingenieure gleichermaßen. Die Mitglieder beider Gruppen können stolz darauf sein (und bei  ihrem nächsten potenziellen Arbeitgeber damit angeben), Teil eines Teams zu sein, das bei der Erfüllung von Sicherheitszielen große Erfolge vorweisen kann.

Fazit

Es ist einfach, über die Wichtigkeit der Überbrückung der Kluft zwischen DevOps-Teams und Sicherheitsteams zu sprechen, aber es ist oft viel schwieriger, diese Teams dazu zu bringen, in der Praxis zusammenzuarbeiten. Durch die Festlegung gemeinsamer Ziele und Metriken, für die jedes Team gemeinsam verantwortlich ist, können Unternehmen nach Meinung von Palo Alto Networks die Ergebnisse verbessern und die Spannungen abbauen, die DevOps und Sicherheit oft voneinander trennen.

Weitere Informationen zum Thema:

datensicherheit.de, 02.10.2018
Unternehmensschutz: DevOps in IT-Sicherheitsmaßnahmen einbeziehen

Ein Beitrag von ds-Redaktionsmitglied Dipl.-Kfm. (FH) Michael Taube

[datensicherheit.de, 24.03.2020] Die „Corona“-Krise bedroht ein zentrales Datensicherheitskriterium: die Verfügbarkeit. Gerade aber die erzwungene Ruhepause sollte zu einer Besinnung auf zentrale Erfolgsfaktoren führen – so eben auch auf die ständige Weiterbildung. In meiner Eigenschaft als Geschäftsführer der Deutschen Projekt Akademie folge ich den begrüßenswerten Beispielen vieler Kollegen und biete hiermit kostenlose Webinare an, um eine Lücke sinnvoll zu füllen.

Foto: Cluster Industrie 4.0

Michael Taube (1. v.l.) mit den ds-Herausgebern Dirk Pinnow & Carsten Pinnow am Messestand auf der „it-sa 2019“

Persönliche Weiterbildung mittels moderner IKT weiter möglich

Wir möchten wie viele andere Kollegen auch in dieser Krisenzeit konkret helfen. Aktuell ist ja leider der Besuch von Präsenz-Seminaren nicht möglich, aber wir arbeiten unter Nutzung moderner Informations- und Kommunikationssysteme (IKT) weiter – damit sollte nun auch persönliche Weiterbildung möglich sein.

Agile Frameworks im Fokus

Die von mir geleitete Deutsche Projekt Akademie bietet ab sofort drei kostenlose Webinare an. Diese lehnen sich an die Reihe „Agile Frameworks” an, bieten aber Live-Kommentare durch meine Kollegin Projektmanagementtrainer Dipl.-Ing. Anke Thieme bzw. durch mich.

Live-Start am 25. März 2020

Der Start der Webinare erfolgt am 25. März 2020 um 17.00 Uhr. Folgende Termine sind geplant:

• 25.03.2020, 17.00 Uhr: „Scrum“
• 27.03.2020, 10.00 Uhr: „DevOps“
• 30.03.2020: 11.00 Uhr: „Kanban“

Diese Webinare dauern zwischen 45 und 60 Minuten.

Live oder im Nachgang als Aufzeichnung verfolgen

Die Anmeldung erfolgt unkompliziert per E-Mail über info [at] deutsche-projekt-akademie [dot] de. Die Zugangsdaten gehen Ihnen dann jeweils kurz vor dem Webinar zu. Danach werden diese Webinare als Aufzeichnungen auf den Webseiten der Deutschen Projekt Akademie und bei YouTube abrufbar sein.

Weitere Informationen zum Thema:

Deutsche Projekt Akademie
Live und sicher: Bis auf Weiteres führen wir unsere eigenen Seminare und Workshops als Webinare durch (falls dies nicht möglich ist, wird die Veranstaltung verschoben). Diese Maßnahme gilt bis 03.05.2020. Danach werden wir die Lage neu bewerten.

Von unserem Gastautor Jens Freitag, Security Specialist bei Tenable

[datensicherheit.de, 02.10.2018] Mit DevOps steht Unternehmen eine nützliche Methode zur Prozessverbesserung in Rahmen der Systemadministration und Softwareentwicklung zur Verfügung: Gemeinsame Tools in der Entwicklung, im IT-Betrieb und der Qualitätssicherung ermöglichen eine effizientere Zusammenarbeit, so das Versprechen. Zudem bieten sie mehr Stabilität und lassen sich gut skalieren. Produkte können so schneller auf den Markt kommen, Neuveröffentlichungen sind weniger fehlerhaft und Zeitfenster bis zur Behebung verkleinern sich. Unternehmen profitieren von besserer Softwarequalität sowie effizienterer Organisation.

Bild: Tenable

Jens Freitag, Security Specialist bei Tenable

Es ist nicht verwunderlich, dass es DevOps längst in die Unternehmen geschafft haben. Einer Umfrage zufolge nutzten 2017 bereits 56 Prozent der deutschen Unternehmen DevOps. Zur Technologie gehört jedoch auch die Sicherheit. Und hier hakt es noch. So fand die „2018 DevSecOps Community Survey“ heraus, dass knapp die Hälfte der Entwickler nicht genug Zeit für Security‑Fragen haben – auch keine Lösungen oder Prozesse erarbeiten.

Hacker nutzen bereits die mangelnde DevOps-Cyberhygiene aus und schleusen Crypto-Mining-Malware über Docker Hub Backdoors, Kubernetes-Konten und ungepatchte Drupal-Webapplikationen ein. Zwar erfordern Angriffe noch sehr viel Rechenleistung, um Profit aus Kryptowährungen generieren zu können, doch bald wird es ihnen noch leichter fallen.

Traditionelles Schwachstellenmanagement muss überdacht werden

Die Sicherheitsexperten sollten sich das zu Herzen nehmen, das traditionelle Schwachstellenmanagement überdenken und neue Sicherheitsmethoden einführen, um auch DevOps-Prozesse in ihre IT-Sicherheitsmaßnahmen einzubeziehen. Tenable erklärt, was dafür erforderlich ist.

• Kontinuierlich identifizieren und scannen. Monatliche oder vierteljährliche Scans sind in der DevOps-Welt nicht ausreichend. Kontinuierliche Softwarebereitstellung bedeutet, dass sich die Umgebung ständig verändert. Aus diesem Grund sollten Unternehmen Cyberrisiken kontinuierlich identifizieren sowie bewerten und das über den gesamten Lebenszyklus der Softwareentwicklung hinweg – von der Bedarfsanalyse bis zum Einsatz. Nur so können Unternehmen vollständige Transparenz gewährleisten.
• Sicherheitsmaßnahmen in DevOps-Prozesse integrieren. Sicherheitstests und -kontrollen sollten ein integraler Bestandteil des Softwareentwicklungs-Lebenszyklus sein und in die Entwicklungspipeline integriert werden. Wieso Schwachstellen, Malware und Fehlkonfigurationen nicht wie jede andere Art von Softwarefehler behandeln und so früh wie möglich beheben, bevor z. B. die Codequalität leidet?
• Sicherheitsabläufe automatisieren. Um die Skalierbarkeit und Geschwindigkeit von DevOps zu unterstützen, sollten Verantwortliche Sicherheitskontrollen programmgesteuert mit APIs in DevOps-Systeme einbinden und so die Vorteile der Automatisierung während des gesamten Entwicklungszyklus nutzen. Anstatt die Images anhand vordefinierter Security Gates manuell zu bewerten, können die Teams Sicherheitstests automatisch auslösen, um alle Build‑Prozesse zu bewerten, wenn sie erstellt werden.

Der Markt bietet mittlerweile viele Lösungen, die Unternehmen dabei unterstützen. Cloud‑Konnektoren tracken etwa kontinuierlich Asset-Veränderungen, um sicherzustellen, dass alle Cloud-Workloads bekannt sind und auf Schwachstellen untersucht werden. Dabei werden die Lösungen oft in CI/CD-Systeme (Continuous Integration and Continuous Delivery) integriert, um Schwachstellen und Malware schon während der Entwicklung zu beheben. Gut dokumentierte APIs ermöglichen es zudem, Sicherheitsscans zu automatisieren und Kontrollen innerhalb von Workflows zu integrieren. Für IT‑Verantwortliche bedeutet dies, dass es durchaus Möglichkeiten gibt, etwas gegen ihre Bauchschmerzen zu unternehmen.

Weitere Informationen zum Thema:

datensicherheit.de, 09.08.2018
Verbesserung der Cybersicherheit im Finanzsektor

datensicherheit.de, 25.07.2018
Intelligente Anwendung zur Verteidigung gegen Ransomware