Wenn sogenannte «Security-Champions» die richtigen Massnahmen treffen, eröffnen sich zwischen DevOps und Security neue, dynamische Möglichkeiten (Bild: Pixabay).
By Leonie Müller aus dem CAS Data Privacy Officer
Beim Organisationsmodell DevOps kann die Sicherheit zu kurz kommen. Beziehen wir diese Security (Sec) aber mit einem DevSecOps-Modell ein, dann schlagen wir neue Brücken. Es regelt unter anderem Verantwortlichkeiten und sorgt für eine starke Integration der Sicherheits- und Datenschutzthemen.
Um der Schnelllebigkeit der IT-Industrie gerecht zu werden und als Unternehmen konkurrenzfähig zu bleiben, gibt es verschiedenste Organisationsmodelle. Eines davon ist DevOps, die Kombination aus Development (Dev) und Operations (Ops). Da aber beim DevOps-Modell die Sicherheit (Sec) zuweilen vernachlässigt wurde, entwickelte man das DevSecOps-Modell und legte denFokus auf die Sicherheit (Sec).
DevOps fördert grösseres Verantwortungsbewusstsein im Team
Hauptmerkmal des DevOps-Modells ist, dass Entwicklung und Betrieb in einem Team zusammenarbeiten. Dies fördert vor allem die gesamtheitliche Sicht auf den Produktlebenszyklus (Entwicklung, Test, Bereitstellung, Betrieb) und es entsteht ein grösseres Verantwortungsbewusstsein des Teams für das entwickelte Produkt.
Zeitraubende Projektübergaben vermeiden
In erster Linie beseitigt DevOps störende organisatorische Grenzen und führt zusammen, was zusammengehört. Zeitraubende Projektübergaben zwischen verschiedenen Teams können minimiert und Prozesse beschleunigt werden. Innovative Ergebnisse sind schneller bei der Kundschaft und es kann besser und kurzfristiger auf den Markt reagiert werden.
Verantwortlichkeiten im DevOps-Kontext regeln
Erfahrungen mit dem DevOps-Modell zeigten, dass das Thema Sicherheit gerne und oft vernachlässigt wurde. Ursächlich dafür ist, dass bei iterativen Projektführungsprozessen – wie DevOps – fixe Tollgates zugunsten einer schnelleren Durchlaufzeit wegfallen, so auch ein Grossteil der Security-Reviews durch die zentrale Sicherheitsorganisation. Zudem geht das DevOps-Modell meist mit einer flachen Hierarchie einher, die zu Unsicherheiten bezüglich der Verantwortlichkeiten führt. Verantwortlichkeiten sind nicht mehr klassisch an Linienfunktionen gebunden, und es ist das DevOps-Team, welches die End-zu-End-Verantwortung übernimmt, auch hinsichtlich Sicherheitsthemen.
DevSecOps sorgt für bessere Sicherheit
Um das Thema Sicherheit auch im DevOps-Kontext zu fokussieren, wurde das DevOps-Modell zum DevSecOps-Modell weiterentwickelt. Dafür nutzte man verschiedenste Massnahmen, die der Verankerung der Sicherheit dienen. Wichtig ist dabei immer, dass die Sicherheit einen integralen Teil des gesamten Produktlebenszyklus bildet und die Sicherheitsprüfung auch nach der Produktentwicklung nicht endet. Bei der Abgabe der Verantwortung in die Breite, also ins Team, muss immer klar definiert sein, wer für welche Risiken verantwortlich ist. Dies wird garantiert, indem jedes Mitglied des DevSecOps-Teams über ein Grundwissen in Sicherheits- und Datenschutzthemen verfügt.
Security-Champions als wichtige Ansprechpersonen
Security-Champions sind fester Bestandteil der DevSecOps-Teams. In ihrer Rolle helfen sie dabei, die Sicherheit bei Neu- und Weiterentwicklungen von Produkten mit einzubauen. Zudem sind sie Ansprechpersonen für alle Sicherheitsthemen, und es liegt an den Security-Champions, das Bewusstsein für Sicherheit im Team zu fördern. Das heisst aber nicht, dass die Sicherheit eines Produkts in der Verantwortung des Security-Champions liegt. Die Verantwortung liegt beim Team, und gemeinsam mit dem Security-Champion werden Sicherheitsthemen aktiv angegangen und Verantwortlichkeiten innerhalb und gegebenenfalls auch ausserhalb des Teams definiert. Werden die richtigen Massnahmen getroffen, stehen sich DevOps und Security also nicht im Weg, sondern eröffnen sich gegenseitig neue Möglichkeiten. So kann es gelingen, zumindest die Welt der Technik zu einem etwas besseren und sichereren Ort zu machen.
Agile Brückenbauerin: Leonie Müller ist Scrum Master bei der Swisscom (Schweiz) AG und bloggt für den Weiterbildungs-Blog der Hochschule Luzern – Informatik aus dem Unterricht des CAS Data Privacy Officer.
Weiterkommen mit dem CAS Data Privacy Officer: Dieses Weiterbildungsprogramm vermittelt die erforderlichen Fachkenntnisse zur Ausübung der Funktion des/der betrieblichen Datenschutzverantwortlichen oder des/der Datenschutzberatenden. Die Entwicklungen im Zusammenhang mit der laufenden Revision des Datenschutzgesetzes der Schweiz sowie die relevanten Aspekte der EU-Datenschutzgrundverordnung (DSGVO) – der General Data Protection Regulation (GDPR) 2016/679 – werden in diesem Kurs mitberücksichtigt.
Gefällt Ihnen unser Informatik-Blog? Hier erhalten Sie Tipps und lesen über Trends aus der Welt der Informatik. Wir bieten Einsichten in unser Departement und Porträts von IT-Vordenkerinnen, Visionären und spannenden Menschen: Abonnieren Sie jetzt unseren Blog!
Stöbern Sie in unserem Weiterbildungs-Blog: Was lernen die CAS-Teilnehmenden? Was sind ihre Fachgebiete? Im Weiterbildungs-Blog der Hochschule Luzern – Informatik erfahren Sie mehr. Aktuelle CAS-Teilnehmende bloggen aus ihren Weiterbildungsprogrammen heraus. Wir unterstützen und fördern die Bloggenden aktiv in diesem Qualifikationsschritt.