„IT-Sicherheitstests müssen so früh wie möglich in der Software-Entwicklung implementiert werden“, sagt Sebastian Schäffer, Head of Sales Marketing bei Alice&Bob.Company. Im Interview sprechen wir mit ihm über Sicherheitstests, Automatisierung von IT-Sicherheit und den Shift Left im Entwicklungsprozess.
Herr Schäffer, warum sollten Unternehmen IT-Sicherheitstests schon von Anfang an in die Softwareentwicklung einbringen?
Schäffer: Software wird heute immer agiler entwickelt – Release-Zyklen von Applikationen werden immer kürzer, sodass man gar nicht mehr die Möglichkeit hat, alle sicherheitsrelevanten Punkte vor jeder Veröffentlichung händisch zu prüfen. In der Praxis werden IT-Sicherheitsverantwortliche schier überrannt mit neuen Releases. Deshalb ist es enorm wichtig, automatisierte Tests schon möglichst früh im Entwicklungsprozess zu implementieren und nicht erst später im IT-Betrieb. Durch diesen „Shift Left“ sollen die Entwickler Fehler frühzeitig erkennen und schon beim Schreiben des Codes klare Aussagen über das Sicherheitsniveau bekommen. Wenn IT-Sicherheitslücken erst später im Betrieb der Software erkannt werden, dann verzögert sich nur der Release. Es entsteht ein Ping-Pong-Spiel zwischen IT-Betrieb und Entwicklung, welches den Release signifikant verzögern kann.
Im Webinar „Sichere Software von Anfang an“ der eco Kompetenzgruppe IT-Sicherheit haben Sie als Referent das Verhältnis von Mitarbeitern im Bereich Software-Entwicklung, IT-Betrieb und IT-Sicherheit in vielen Unternehmen mit dem Verhältnis 100 : 10 : 1 beschrieben. Wieso sollte sich dieses Verhältnis verändern?
Schäffer: Es gibt in vielen Unternehmen ein Ungleichgewicht in den IT-Abteilungen, auch „imbalance of workforce“ genannt. Viele Unternehmen haben den Fokus auf die Entwicklung digitaler Produkte und Services gelegt, weil es ihnen natürlich wichtig ist, funktionale und innovative Aspekte von Software schnell umzusetzen. Dabei lag das erste Augenmerk nicht immer auf dem Thema IT-Security. Das Resultat: Es gibt einerseits viel zu wenig IT-Security-Spezialisten in Unternehmen und andererseits gibt es zu wenig Automatisierung der Security. Ich glaube wir müssen das Problem von beiden Seiten angehen – Über eine höhere Automatisierung und über das Schulen der Mitarbeiter und die Etablierung einer Security-Kultur im Unternehmen.
Wie kann uns die Automatisierung von IT-Sicherheit in Zukunft helfen?
Schäffer: Es gibt viele unterschiedliche Arten Security in den Entwicklungsprozess einzubinden und zu automatisieren. Während der kontinuierlichen Integration, Lieferung und Bereitstellung (CI/CD -Pipeline) kann das beispielsweise durch das Prinzip „compliance as code“ passieren. Beim Entwickeln bekommen Mitarbeiter durch einen automatischen Test direkt angezeigt, ob ihr Code den vorab definierten Compliance-Vorgaben entspricht. Ein weiteres Beispiel ist die Implementierung eines kontinuierlichen Penetrationstestings vor jedem Release. Viele Schwachstellen werden so direkt bei der Entwicklung erkannt. Durch Automatisierung können Unternehmen auch in Zukunft im internationalen Markt bestehen und gleichzeitig sichere digitale Produkte bereitstellen.
Wie können Unternehmen die IT-Sicherheit in der Cloud gewährleisten?
Schäffer: Die Cloud verspricht mehr Geschwindigkeit, Agilität und Flexibilität. Um dieses Potenzial voll auszuschöpfen und gleichzeitig das IT-Sicherheitslevel zu erhöhen, ist es vor allem bei der Verarbeitung personenbezogener Daten unerlässlich Security zu automatisieren. Noch wichtiger als die Automatisierung von IT-Sicherheit ist jedoch eine Awareness-Kultur im Unternehmen. Die IT-Sicherheitsabteilung darf nicht mehr als das „department of no“ verstanden werden, als Verhinderer von Innovation. Mit dem Security Champions Programm von Alice&Bob.Company bilden wir Software-Entwickler aus den Produkt-Teams zu Security Champions aus, schaffen damit ein gegenseitiges Verständnis und entlasten die IT Security Abteilung.
Vielen Dank für das Interview, Herr Schäffer!
