Sysbus
ArtikelSecurity

Mehr Schutz und Sicherheit durch Sicherheitstraining in Echtzeit

gg

Autor/Redakteur: Joern Schneeweisz, Staff Security Engineer im GitLab Security Research Team/gg

Das Scannen und Weiterleiten von Schwachstellen an überlastete Sicherheitsteams erfüllt nicht wirklich das Versprechen des „Shift Left-Ansatzes“. Dadurch wird das Problem nur verlagert.

Grafik: GitLab Security Research Team

Spektakuläre Hacker-Attacken, aber auch die aktuellen Recherche-Ergebnisse von Cyber-Sicherheits-Experten zur Anfälligkeit von Software in der Automobilindustrie zeigen:  Anwendungssicherheit bleibt ein Top-Thema. Handlungsbedarf besteht mehr denn je, um gefährliche Sicherheitsverletzungen und aufsehenerregende Ransomware-Angriffe einzudämmen.

Viele propagieren dabei als geeigneten Lösungsweg den “Shift left”-Ansatz. Der bedeutet zumeist, Tools, die normalerweise von Sicherheitsexperten verwendet werden, in die Hände von Entwicklern zu geben. Der Grundgedanke dahinter ist, dass Entwickler Schwachstellen erkennen und beheben können, bevor sie in die Produktion gelangen, wenn sie zu einem frühen Zeitpunkt im Entwicklungsprozess aufgespürt werden. Überlastete Sicherheitsteams müssen nicht mehr auf diese Schwachstellen reagieren. Sie haben mehr Zeit für strategische, proaktive Sicherheitsarbeit.

Soweit die Theorie. In der Praxis ist es aber oft so, dass Entwickler zwar die vorgeschriebenen Sicherheitstools einsetzen, aber weder über das Wissen noch den Support verfügen, um alle Probleme selbst zu beheben. Am Ende des Tages kümmern sich dann doch die Sicherheitsteams um die Gefährdungen. Wenn Schwachstellen gescannt und dann doch an die viel beschäftigten Sicherheitsteams weitergereicht werden, wird das Versprechen von Shift-Left nicht eingelöst, sondern das Problem lediglich verlagert.

Mangelnde Sicherheitskompetenzen

Remote-Entwicklung wird dieses Jahr weiter zunehmen. Deswegen wird die Sicherheit der Software-Lieferkette im gesamten Softwareentwicklungszyklus noch wichtiger werden. Die Verantwortung für Sicherheit und Compliance wird sich bis hin zu den in Produktion befindlichen Anwendungen erstrecken und den anhaltenden Trend zur Sicherheit als unternehmensweite Aufgabe verstärken.

Die Ergebnisse der DevSecOps-Umfrage 2022 von GitLab bestätigen dies: 53 Prozent der Befragten aus den Bereichen Entwicklung, Sicherheit und Betrieb gaben an, dass jeder für die Sicherheit verantwortlich sei. Sicherheits- und Compliance-Funktionen wachsen immer mehr zusammen und werden im Laufe des Jahres im Wesentlichen zu einem Synonym werden.

Entwicklungsteams stehen also vor einer enormen Erwartungshaltung in Bezug auf die Sicherheit. Für Entwickler ist es jedoch frustrierend, wenn sie keine Anleitung zur Lösung von Problemen erhalten, die durch Sicherheits-Scans aufgedeckt wurden, oder keine Erklärung zu deren möglichen Auswirkungen. Es besteht sogar die Gefahr, dass die Entwickler die Ergebnisse ignorieren, um den Code schneller auszuliefern. Am Ende des Tages müssen die AppSec-Teams wieder ran. Dies kann zu Spannungen innerhalb des Teams und zu einer längeren Freigabezeit führen.

Das könnte dir auch gefallen

Zufriedenheit von Anfang an: Wie Mitarbeiter-Apps das Kündigungsrisiko durch automatisiertes Onboarding senken

dcg

Großes Dienstportfolio mit Sophos MDR

gg

Neuer Datensicherheitsansatz: Die fünf größten Mythen über DSPM

dcg