{"id":20851,"date":"2022-04-05T11:19:00","date_gmt":"2022-04-05T09:19:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=20851"},"modified":"2022-03-29T10:29:44","modified_gmt":"2022-03-29T08:29:44","slug":"sicherheit-waehrend-der-app-entwicklung-devsecops-wird-zum-industriestandard-werden","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=20851","title":{"rendered":"Sicherheit w\u00e4hrend der App-Entwicklung \u2013 DevSecOps wird zum Industriestandard werden"},"content":{"rendered":"\n

Autor\/Redakteur: Dr. Christian Schl\u00e4ger, CEO von Build38<\/a>\/gg<\/p>\n\n\n\n

Am 13. Dezember 2020 wurde erstmals festgestellt, dass sich staatliche Hacker in einer beispiellosen Spionageaktion den Zugang zu etlichen IT-Systemen von US-Beh\u00f6rden verschafft hatten. Der als Solarwinds-Hack bekannte Vorfall zog weite Kreise und betraf auch staatliche Stellen au\u00dferhalb der USA, sowie unz\u00e4hlige private Unternehmen weltweit.<\/p>\n\n\n\n

\"\"<\/a>
Bild: Build38<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Es war eine Kaskade vermeidbarer \u2013 und im R\u00fcckblick haarstr\u00e4ubender \u2013 Vers\u00e4umnisse, die dem wohl gr\u00f6\u00dften staatlich sanktionierten Spionageangriff der Geschichte den Weg geebnet hatte. Der texanische Softwareentwickler Solarwinds hatte zum Zeitpunkt des Vorfalls weder einen CISO noch einen Senior Director of Cybersecurity im Amt. Weiterhin wurde im Vorfeld der Microsoft Office 365 Account der Firma kompromittiert, was den Angreifern weitreichende Einsicht in geheime Dokumente erm\u00f6glichte.<\/p>\n\n\n\n

Der Angriff war von langer Hand vorbereitet worden und nutzte Schwachstellen in der Software von Solarwinds, Microsoft sowie VMware aus, um sich unbemerkt in IT-Infrastrukturen einzunisten. Zu allem \u00dcberfluss entlie\u00df der damalige US-Pr\u00e4sident Trump im Jahre 2018 seinen Koordinator f\u00fcr Cybersicherheit. Dadurch wurde eine fr\u00fchzeitige Entdeckung des Vorfalls erschwert und eine schnelle Reaktion unm\u00f6glich gemacht.<\/p>\n\n\n\n

Die wichtigste Lehre des Vorfalls war, dass Cybersicherheit kein verzichtbarer Luxus ist, sondern eine zentrale Rolle bei der Softwareentwicklung spielt. Entwickler, die bei der Konzeption ihrer Softwarearchitektur nicht auf alle denkbaren Sicherheitsl\u00fccken und Hintert\u00fcren achten, gef\u00e4hrden nicht nur den Ruf ihrer Firma, sondern im schlimmsten Fall die wirtschaftliche Existenz ihrer Kunden.<\/p>\n\n\n\n

DevOps-Zyklus muss zum DevSecOps-Zyklus erweitert werden<\/strong><\/p>\n\n\n\n

Die bisherige Herangehensweise, eine Software schnellstm\u00f6glich zu entwickeln und erst nach abgeschlossenem DevOps-Zyklus auf etwaige Sicherheitsm\u00e4ngel abzuklopfen, h\u00e4lt den modernen Anforderungen an die IT-Sicherheit nicht mehr stand. Die einmalige Sicherheitspr\u00fcfung kurz vor dem Rollout einer Software ist ein Anachronismus, geboren aus st\u00e4ndigem Termindruck und einer fehlgeleiteten Kosten-Nutzen-Rechnung der \u2013 oftmals fachfremden \u2013 Entscheider. Sollte sich n\u00e4mlich erst am Ende der Softwareentwicklung herausstellen, dass eine App mit kritischen Sicherheitsm\u00e4ngeln \u00fcbers\u00e4ht ist, muss im Notfall das gesamte Projekt verworfen und von Null angefangen werden.<\/p>\n\n\n\n

Deutlich nachhaltiger und somit auch kosteneffizienter ist es, den verkrusteten DevOps-Zyklus aufzubrechen und ihn als DevSecOps-Zyklus von Grund auf neu zu konzipieren. Anstatt der einmaligen Sicherheits\u00fcberpr\u00fcfung am Ende, sollten Etappenchecks bereits w\u00e4hrend aller Zwischenschritte der Entwicklung stattfinden. <\/p>\n\n\n\n

Jeder Abschnitt im Lebenszyklus der Systementwicklung \u2013 Planen, Erstellen, Testen sowie Bereitstellen eines Informationssystems \u2013 muss um eine abschlie\u00dfende Sicherheits\u00fcberpr\u00fcfung erweitert werden. Nur so k\u00f6nnen die Projektverantwortlichen garantieren, dass sich keine fatalen Fehler durch den gesamten Entwicklungsprozess hindurchziehen. Befinden sich solche Fehler n\u00e4mlich im Code-Fundament, ist es extrem schwierig oder gar unm\u00f6glich diese aus dem Endprodukt zu entfernen. Das Kartenhaus der maximalen Kostenreduktion im Entwicklungsprozess f\u00e4llt in dem Moment zusammen, in dem das fertige Produkt auf die digitale M\u00fcllhalde wandert. Projektverantwortliche sollten alle Phasen der Entwicklung daher mit automatisierten Sicherheitschecks versehen.<\/p>\n\n\n\n\n\n\n\n

Vorteile des DevSecOps-Ansatzes gegen\u00fcber der traditionellen DevOps:<\/p>\n\n\n\n

  • Kurze Feedback-Zyklen<\/li>
  • Automatisierte Sicherheits\u00fcberpr\u00fcfungen<\/li>
  • Kontinuierliche Integration (CI)<\/li>
  • Kontinierliche Auslieferung (CD)<\/li>
  • Kontinuierliche Entwicklung<\/li><\/ul>\n\n\n\n

    Shift Left Security als neues Paradigma der App-Entwicklung<\/strong><\/p>\n\n\n\n

    Anstatt die Sicherheitschecks ganz ans Ende der Softwareentwicklung zu stellen, sollten sie als kontinuierlicher Begleiter des Entwicklungsprozesses integriert werden. Das neue Paradigma und der beste Investitionsschutz ist Shift Left Security. Dieser Ansatz erm\u00f6glicht es, w\u00e4hrend des gesamten Lebenszyklus einer mobilen Anwendung Budgetkonform zu wirtschaften. Weiterhin hilft Shift Left Security dabei, alle neuralgischen Punkte des Entwicklungsprozesses zu identifizieren und sie mit den n\u00f6tigen Sicherheitsma\u00dfnahmen zu versehen.<\/p>\n\n\n\n

    Bedenkt man die Vielzahl an Regularien, wie die eIDAS-Verordnung, die Medical Device Regulation (MDR) aus dem vergangenen Jahr, die DiGA-Verordnung oder PSD2 \u2013 um nur einige zu nennen \u2013 ist ein leichtfertiger Umgang mit der IT-Sicherheit keine wirtschaftliche Vorgehensweise mehr. Dar\u00fcber hinaus muss ein fertiges Produkt auch nach der Markteinf\u00fchrung kontinuierliche Sicherheitsupdates erfahren. Denn mit der Zeit ergeben sich neue Erkenntnisse \u00fcber zuvor unbeachtete oder unbekannte Sicherheitsl\u00fccken. Um Cyberkriminellen kein Zeitfenster f\u00fcr Angriffe zu lassen, muss eine DevSecOps-Abteilung st\u00e4ndig am Ball und den Hackern eine Nasenl\u00e4nge voraus bleiben.<\/p>\n\n\n\n

    Eine nebens\u00e4chliche DIY-Mentalit\u00e4t darf in Sicherheitsfragen nicht l\u00e4nger toleriert oder gar als betriebswirtschaftliche Best Practice verkl\u00e4rt werden. Zu gro\u00df sind die Risiken f\u00fcr Kunden und letztendlich auch f\u00fcr den Hersteller. Denn ein Datenschutzskandal frisst nicht nur die marginalen Ersparnisse einer stiefm\u00fctterliche konzipierten Sicherheitsstrategie auf; Ein \u00f6ffentlichkeitswirksamer Vorfall hat die Sprengkraft ein Unternehmen von der Bildfl\u00e4che zu fegen.<\/p>\n\n\n\n

    Fazit: Sicherheit ist kein Status quo, sondern ein Prozess, der kontinuierliche Unterst\u00fctzung und Wartung erfordert. Die einzig logische Konsequenz ist ein Paradigmenwechsel, weg vom DIY-Leichtsinn und hin zu einer nachhaltigen Shift Left Security Strategie, an deren Ende die DevSecOps steht.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Am 13. Dezember 2020 wurde erstmals festgestellt, dass sich staatliche Hacker in einer beispiellosen Spionageaktion den Zugang zu etlichen IT-Systemen von US-Beh\u00f6rden verschafft hatten. Der als Solarwinds-Hack bekannte Vorfall zog weite Kreise und betraf auch staatliche Stellen au\u00dferhalb der USA, sowie unz\u00e4hlige private Unternehmen weltweit.<\/p>\n","protected":false},"author":81,"featured_media":20853,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,197],"tags":[16300,9994,16302,10794,11502,10530,16301],"class_list":["post-20851","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-entwicklung","tag-build38","tag-devsecops","tag-diga","tag-eidas","tag-mdr","tag-psd2","tag-shift-left-security"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/20851","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/81"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=20851"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/20851\/revisions"}],"predecessor-version":[{"id":20854,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/20851\/revisions\/20854"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/20853"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=20851"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=20851"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=20851"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}