Die große Bedeutung von IT-Security im Zeitalter der Digitalisierung liegt auf der Hand: allein 2017 entstanden durch Cybercrime 60 Mio. Euro Schaden. Trotzdem haben Unternehmen die Sorge, dass Sicherheitsprozesse ihre Abläufe ausbremsen, wo doch gerade Schnelligkeit und Agilität wichtige Forderungen an eine zukunftsfähige IT sind.

Die Power des sogenannten DevOps hat gerade in den Unternehmen Einzug gehalten. Dabei handelt es sich um eine leistungsfähige und flexible Verbindung von Development und Operations. Die Methode ermöglicht, dass Ideen, Konzepte und Innovationen aus den Fachabteilungen in Funktionalität und Services übersetzt werden. Der zentrale Ankerpunkt sind dabei Automatisierungstechnologien, komplexe IT- oder Cloud-Architekturen, usw.

Wie kann die Sicherheit mit der geforderten Schnelligkeit mithalten? In der Vergangenheit standen Security-Prozesse mit vereinzelten Tests erst ganz am Ende der Entwicklung, doch das funktioniert heute nicht mehr. Die Security würde DevOps in den Entwicklungszyklen zu stark entschleunigen. Daher wird DevSecOps integriert um die Geschwindigkeit beizubehalten und die Entwicklung im Schritt der Zeit aufrecht zu erhalten.


Inhalt

Einführung von DevOps: Haben Sie die IT-Sicherheit im Blick?

Viele Unternehmen haben die Cyber Security bei der Einführung von DevOps nur unzureichend auf dem Schirm. Nehmen wir beispielsweise eine Krankenversicherung, die DevOps einführte, um die verschiedenen Funktionen ihrer Kunden-Website zu optimieren. Dazu zählten die Herausgabe von Angeboten für beispielsweise Bonusprogramme und Mitgliedschaften, die Steuerung von Anfragen für Zuzahlungen, Krankmeldungen oder Abrechnungen und die Bereitstellung von Informationen.

Die Versicherung stellte ein crossfunktionales Team aus acht verschiedenen Parteien zusammen, bestehend aus u.a. Entwicklung, Vertrieb, Redaktion und Datenschutz. Die Parteien arbeiteten gemeinsam als DevOps Team. Dabei wurden Deployments automatisiert und vereinheitlicht, was bedeutet, dass Software auf PCs und Servern in automatisierten Prozessen installiert und konfiguriert werden konnte.

Auch Bereiche der Infrastruktur konnten optimiert werden und die Erfolge wurden sichtbar: So konnten durch die Anbindung der Website an die Warenwirtschaft Leistungen zeitnah aktualisiert werden. Leistungen der Krankenkasse sind beispielsweise die Kostenübernahme für Reiseimpfungen, Vorsorgeuntersuchungen oder osteopathische Behandlungen.

Doch wie sieht es mit der IT-Sicherheit aus? Gerade für eine Krankenversicherung muss sie einen hohen Stellenwert haben, weil sie aufgrund der Arbeit an sensiblen Daten eine extrem große Verantwortung gegenüber ihren Kunden trägt. Nicht auszudenken, man könnte beispielsweise online Ihre medizinischen Befunde einsehen! Das Beispiel ist nicht aus der Luft gegriffen: Erinnern Sie sich an die Krankenkassen-App Vivy, die im letzten Jahr in der Kritik stand? Sie wies kritische Sicherheitslücken auf, die Angreifern ermöglicht hätten, Patientendaten auszulesen…

Verlässliche IT-Sicherheit: DevOps wird zu DevSecOps

Die Einführung der DevOps in der Versicherung war ein zukunftsweisender Schritt, der aber neue Anforderungen an die Sicherheitskultur mit sich zog. Eine agile Entwicklung verlangt eine ebenso agile IT-Security, die z. B. den unbefugten Zugriff auf Server und das Auslesen sensibler Daten verhindern können.

Wie war es bisher?
Die IT-Beauftragten der Krankenversicherung kümmerten sich vorwiegend um die Infrastruktur und führten hin und wieder Penetrationstests durch, doch das reichte nun nicht mehr aus. Da dank DevOps wöchentlich Deployments durchgeführt wurden und auch Sicherheitslücken auf Black Box Basis aufgezeigt wurden, befand man sich ja in einem sicheren Umfeld.

Die Versicherung erkannte, dass ein neuer Sicherheitsprozess notwendig ist, als festgestellt wurde das reine Penetrationstests nicht ausreichend sind. Setzte man auf eine in DevOps integrierte Version, die bereits vor dem Deployment Sicherheitslücken löst: DevSecOps wurde eingeführt.



Wie können die passenden DevOps-Tools bereitgestellt werden?
>Erfahren Sie mehr über DevOps as a Service!

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

PGlmcmFtZSBzcmM9Imh0dHBzOi8vd3d3LnlvdXR1YmUtbm9jb29raWUuY29tL2VtYmVkL284M3VXd2ZoV01VIiBhbGxvdz0iYWNjZWxlcm9tZXRlcjsgYXV0b3BsYXk7IGVuY3J5cHRlZC1tZWRpYTsgZ3lyb3Njb3BlOyBwaWN0dXJlLWluLXBpY3R1cmUiIGFsbG93ZnVsbHNjcmVlbj0iIiB3aWR0aD0iNTYwIiBoZWlnaHQ9IjMxNSIgZnJhbWVib3JkZXI9IjAiPjwvaWZyYW1lPg==

Was bedeutet DevSecOps und welche Security-Aspekte können damit gewährleistet werden?

• Automatisierte Source-Code Analysen innerhalb der CI/CD-Toolchain
Schwachstellenmanagement mit Reporting für Zertifizierungen
Zugriffssteuerung, beispielsweise über Multifaktor-Authentifizierungsmechanismen
• Regelmäßiger Erfahrungsaustausch in den Teams
• Sichere Zugriffsverwaltung
Security Policies wie allgemeine Sicherheitsstandards
Firewalls für Container-Landschaften oder Web Applikationen
• Entsprechende Verschlüsselungen zur sicheren Übertragung und Ablage

Die detaillierten Vorgaben im Bereich der Security-Prozesse legen Unternehmen abhängig von den eingesetzten Tools, Systemen und Arbeitsweisen individuell fest.

Development & Testszenarien: Bremst DevSecOps die Abläufe aus?

Bleiben wir beim Beispiel der Krankenversicherung. Ihre Wettbewerbsfähigkeit ist das A und O, weshalb sie sich für den Einsatz von DevOps entschieden hatte. Die Versicherung wollte langatmige Releasezyklen ad acta legen und stattdessen mit Schnelligkeit punkten. Im Hinblick auf die notwendigen Schritte zur Gewährleistung der Security hat sie die Befürchtung, dass die Prozesse wieder umständlich und zeitintensiv werden könnten.

So ist es jedoch nicht. DevSecOps bringt den beträchtlichen Vorteil, dass IT-Security direkt in DevOps integriert wird und auf diese Weise die Stärken von DevOps wie z.B. die Schnelligkeit erhalten bleiben. Das funktioniert auch deshalb so gut, weil viele Security-Prozesse automatisiert ablaufen können.

Automatisierungsmöglichkeiten im Managed Security-Prozess

Der große Vorteil von DevSecOps liegt in den Automatisierungsmöglichkeiten der IT-Sicherheit.

Hier einige Beispiele:

• Frühzeitiges Erkennen der Sicherheitslücken vor dem Deployment
• Umsetzung der notwendigen Verschlüsselung auf allen Ebenen
• Automatisiertes Einbinden der Entwickler zur Absicherung, bereits im Development
Automatisierte Überprüfung gesamter Systeme auf Sicherheitslücken um Schwachstellenmanagement zu gewährleisten

Im Beispiel der Krankenversicherung arbeiten die DevSecOps also einen kompletten Securityprozess in die IT-Landschaft ein.

Dieser Prozess verläuft in drei Schritten:

  1. Static Security Analysis: Diese Analyse erfolgt ganz am Anfang. Hier bei überprüft eine statische Sicherheitsanalyse den Source Code auf Schwachstellen hin.
  2. Dynamic Security Analysis: Die dynamischen Analysen werden immer dann durchgeführt, wenn z.B. eine App deployed wurde. Das Testing erfolgt in der Laufzeitumgebung und prüft die Sicherheit des neuen Deployments.
  3. Vulnerability Management: Hierbei wird geprüft, welche Schwachstellen wie am besten gemanagt werden können, welche Risiken damit verbunden sind und welche Lösungen etabliert werden müssen.


Wir stellen für Sie eine Plattform für alle benötigten Testverfahren bereit
> Quality Service Lane

Monitoring & Penetrations-Testing: So funktionieren DevSecOps

Für die Krankenversicherung brachte die Arbeit mit DevSecOps eine erhöhte Stabilität und Sicherheit, die durch regelmäßiges Monitoring und Penetrations-Testings erzielt werden konnte. Die Patchzyklen erhöhten sich von 4 auf 12 pro Jahr.

Dreh- und Angelpunkt der Security ist eine Plattform, auf der die Security-Source-Code-Analyse-Werkzeuge und Penetrationstest-Werkzeuge abgelegt sind. Der Source-Code kann auf die Plattform eingebracht werden und wird in den Prozess zum Sicherheits-Test angestoßen.

Die Plattform sieht zum Beispiel so aus:

Hier kann die komplette Toolkette überprüft werden und die Krankenversicherung erfährt auf einen Blick, wie die Tests gelaufen sind und wie lange sie gedauert haben.

Sogar der direkte Blick in das Security-Source-Code-Testing-Tool ist möglich:

An dieser Stelle befindet man sich direkt im Source Code, wo alle Schwachstellen sichtbar gemacht werden und geschlossen werden können. Sogenannte „false positives“ können übrigens herausgefiltert werden, damit nur die tatsächlichen Sicherheitslücken übersichtlich aufgeführt werden.

DevSecOps – Security als festes Element der Pipeline

Sie sehen: DevSecOps ist die notwendige Weiterentwicklung von DevOps, weil sie deren Stärken um einen agilen Sicherheitsaspekt ergänzen. Statt kurz vor einem Release die IT-Sicherheit zu prüfen, ist die Security dank des DevSecOps vollständig in die Prozesse integriert. Gehen auch sie auf Nummer sicher! So wird die Security aus einer Hand mit Sicherheit ein automatisierter Bestandteil der täglichen Arbeit.



Kostenloses Whitepaper: Warum Digitale Zuverlässigkeit über den Erfolg Ihres Digitalen Geschäfts entscheidet?
> Zum Download


Werden Sie Teil des DevSecOps Teams und unterstützen die Automatisierung von Security Tests
>Webinar Academy finden Sie auch auf >YouTube.

Jetzt reinschauen & abonnieren!