© Stmool/Shutterstock.com
Kolumne: Stropek as a Service

Schutzmaßnahmen - Informationssicherheit in Zeiten von DevOps und Cloud Computing


Wenn man nach Informationssicherheit fragt, antworten viele Softwarefirmen mit der Beschreibung ihrer Firewalls, Virenschutzsoftware, VPNs, Proxies etc. Das sind alles gute und wichtige Maßnahmen zur Steigerung der Sicherheit. Sie allein greifen aber in Zeiten von DevOps und Cloud-Computing zu kurz. Das Firmennetzwerk von einer isolierten Truppe Securityexpertinnen und -experten schützen zu lassen, reicht nicht. Das gilt insbesondere deshalb, weil die entwickelte Software in vielen Fällen nicht mehr im Firmennetzwerk, sondern auf Servern in der Cloud läuft. Dort kann man zwar durch Nutzung von PaaS und Serverless viele sicherheitsbezogene Aufgaben an den Cloudprovider abgeben – ein Rundumsorglospaket bekommt man aber auch dort nicht.

DevSecOps

Ein aktuelles Buzzword in Sachen Sicherheit in der Softwareentwicklung lautet DevSecOps. Viele reagieren mit Kopfschütteln auf diese Abkürzung. Man vermutet, dass hinter der scheinbar willkürlichen Aneinanderreihung von Abkürzungen nur ein Versuch der Geschäftemacherei von Firmen steckt, die nach DevOps ein neues Marketingschlagwort brauchen. Meiner Ansicht nach steckt aber durchaus ein wichtiger Sicherheitsaspekt dahinter, der speziell von SaaS-Anbietern nicht ignoriert werden darf.

DevSecOps ist nicht nur vom Titel her angelehnt an die DevOps-Bewegung, sondern geht auch inhaltlich in die gleiche Richtung. Die Verantwortungen für Softwareentwicklung, Betrieb und Sicherheit sollten organisatorisch nicht voneinander getrennt werden. Sie müssen Hand in Hand gehen. Kein Team darf die Augen vor einem der drei Aspekte verschließen und sich darauf verlassen, dass sich schon jemand anders darum kümmern wird.

Risiko durch Abhängigkeiten

Abhängigkeitsmanagement ist ein wichtiges Beispiel für DevSecOps, das meiner Erfahrung nach in vielen Softwarefirmen vernachlässigt wird. Mit Abhängigkeiten meine ich in diesem Zusammenhang Softwarekomponenten, die eine Softwarelösung einbindet. Moderne SaaS-Produkte haben unzählige dieser Abhängigkeiten. Für manche kauft man Lizenzen von Drittanbietern, viele werden im Zeitalter von Open Source kostenlos genutzt. In der Cloud ist es mittlerweile auch üblich, Komponenten als Service zu nutzen, anstatt sie in Form von Bibliotheken direkt in die eigene Lösung einzubauen.

Für Entwickler ist es offensichtlich, dass eingebundene Komponenten entscheidend für die Sicherheit einer SaaS-Lösung sind. Die besten Firewalls der Welt helfen nichts, wenn man sich den Schadcode über eine referenzierte Softw...

Exklusives Abo-Special

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang