{"id":60280,"date":"2019-09-05T08:00:08","date_gmt":"2019-09-05T06:00:08","guid":{"rendered":"http:\/\/e3mag.com\/?p=60280"},"modified":"2025-07-02T11:39:03","modified_gmt":"2025-07-02T09:39:03","slug":"devops-aber-sicher","status":"publish","type":"post","link":"https:\/\/e3mag.com\/de\/devops-aber-sicher\/","title":{"rendered":"DevOps, aber sicher"},"content":{"rendered":"

Ist es wirklich sinnvoll, die beiden Silos Entwicklung und Betrieb auch noch mit der hermetischen Welt der Security zu einer agilen Organisation zu verschmelzen? Bedeutet das nicht, den agilen Schwung von DevOps gleich wieder auszubremsen? Zugegeben, Fragen wie diese verstehe ich als CTO eines IT-Dienstleisters nur zu gut. Schlie\u00dflich geht es bei der Digitalisierung um schnelle Ergebnisse. Um Systeme, die schnell eingef\u00fchrt und effizient zu betreiben sind.<\/p>\n

Doch was bringt es, wenn die Entwicklung zwar in Rekordzeit abgeschlossen scheint, das Produkt dann jedoch in Sicherheitstests durchf\u00e4llt? Die Erfahrung zeigt: Neben hohen Kosten und verpassten Umsatzchancen schadet ein solcher zu sp\u00e4t gescheiterter DevOps-Ansatz auch der agilen Strategie, die dahintersteht. Zwar erschwert es die agile Organisation, von Anfang an Entwicklung, Sicherheit und Betrieb als ein Ganzes zu etablieren. Sicherheitsprobleme ersticken manch hoffnungsvolle Entwicklung im Keim. Doch auch hier hei\u00dft es, fr\u00fchzeitiges Scheitern als Chance zu begreifen, die teure Fehlinvestitionen erspart. Die Frage ist also nicht, ob DevOps zu DevSecOps wird, sondern wie das gelingen kann.<\/p>

\"\"<\/a><\/div><\/div>\n

Gleiche Herausforderungen wie DevOps<\/h3>\n

Die Hindernisse auf dem Weg zu einer DevSec\u00adOps-Organisation unterscheiden sich kaum von denen, mit denen jeder DevOps-Ansatz ohnehin zu k\u00e4mpfen hat: Neben der Silo-Struktur, die sich durch organisatorische Ma\u00dfnahmen \u00e4ndern l\u00e4sst, ist es die verfestigte Silo-Kultur, die in den K\u00f6pfen weiterlebt. Noch st\u00e4rker als im Zusammenspiel von Entwicklung und Betrieb treten dabei die Gegens\u00e4tze zwischen \u201ekreativen, aber chaotischen\u201c Entwicklern und \u201ekompromisslosen, pedantischen\u201c Sicherheitsexperten zutage.<\/p>\n

Die gute Nachricht f\u00fcr alle Beteiligten: Verst\u00e4ndigung ist m\u00f6glich! Tats\u00e4chlich zeigt die Erfahrung, dass teamorientierte Zusammenarbeit zwischen Entwicklern, Administratoren und Sicherheitsexperten schneller bessere Ergebnisse hervorbringt und gleichzeitig mehr Spa\u00df macht. Die wichtigste Aufgabe beim Implementieren einer DevSecOps-Struktur liegt in der F\u00fchrungsetage. Sie muss Kultur-Broker etablieren, die Ver\u00e4nderung wollen, Gleichgesinnte finden und andere daf\u00fcr begeistern k\u00f6nnen.<\/p>\n

Zun\u00e4chst ist deshalb ein offener Austausch im bestehenden Rahmen erforderlich, der die Konfrontation zwischen beharrenden und \u00e4nderungswilligen Kr\u00e4ften nicht scheut. Hier finden sich die Akteure, die gemeinsam Strukturen der gegenseitigen Anpassung und Verbindung entwickeln. Konkret geht es darum, Fragen zu stellen. Nicht um die \u201erichtigen\u201c Antworten zu erhalten, sondern um den Diskurs in Gang zu bringen: Wie k\u00f6nnen IT und Business gemeinsam bestehende Prozesse verbessern und neue schaffen? Was m\u00fcssen die bisherigen Silos dazu \u00fcbereinander wissen? Wie k\u00f6nnen wir mit DevSecOps schneller mehr erreichen?<\/p>\n

Diversit\u00e4t im Team ist ein Schl\u00fcssel f\u00fcr erfolgreiche agile Organisationen. Doch wie agieren interdisziplin\u00e4re Teams, wo jahrelang jede Abteilung f\u00fcr sich gearbeitet hat? Trotz aller Bekenntnisse zu Security by Design prallen in den meisten Unternehmen mit Development und Security auch heute noch zwei Welten aufeinander.<\/p>\n

Schritte zur Umsetzung von DevSecOps<\/h3>\n

Bei der Fusion dieser Welten zu einer agilen Organisation haben sich die folgenden praktischen Schritte bei DevSec\u00adOps-Projekten von NTT Data weltweit bew\u00e4hrt:<\/p>\n