« zurück

DevSecOps & Security Automation: Agile Sicherheit und pragmatische Lösungsansätze (für den Mittelstand)

Die Digitalisierung von Geschäftsmodellen stellt heutige Unternehmen speziell im Mittelstand in vielen Bereichen vor große Herausforderungen. Damit die Transformation erfolgreich gelingen kann, sind viele Rahmenbedingungen zu berücksichtigen und ordnungsgemäß umzusetzen.

Um die notwendige Umsetzungsgeschwindigkeit erreichen zu können und gleichzeitig dynamisch agieren und korrigieren zu können, werden häufig agile Methoden (beispielsweise Scrum oder Kanban) genutzt. In der Softwareentwicklung sind dies bereits erfolgreich praktizierte Vorgehensweisen. Mit Konzepten wie DevOps werden diese agilen Ansätze zudem zur engeren Verzahnung von Entwicklung („Development“) und Betrieb („Operations“) eingesetzt.

Allerdings gibt es auf der anderen Seite auch regulatorische Rahmenbedingungen zu berücksichtigen, die nicht-funktionale Anforderungen an Qualität und Konformität beinhalten. Gerade Anforderungen aus den Bereichen Informations- und IT-Sicherheit sowie Datenschutz wurden in den letzten Monaten zusehends verschärft – leider oftmals ohne pragmatische Lösungsansätze, um dies in Einklang mit Geschäftsanforderungen zu bringen und auch mittelstandsfreundlich umsetzbar zu gestalten.

Grundsätzlich ist es nachweislich sinnvoll und aufwandsschonend, Sicherheits- und Datenschutzanforderungen möglichst frühzeitig in Entwicklungsprozessen zu berücksichtigen („Shift left“-Ansatz), seit einiger Zeit sind dies auch verpflichtend zu berücksichtigende regulatorische Anforderungen („Security-by-design“, „Privacy-by-design“).

Wie kann es also gelingen, die gewünschte Agilität und Geschwindigkeit der digitalen Transformation auch auf bislang eher starre und aufwendige Vorgehensweisen und Prozesse in den Bereichen der IT-Sicherheit und des Datenschutzes zu übertragen.

Die Lösung kann nur eine vollständige und lückenlose Integration dieser nicht-funktionalen Anforderungen innerhalb des gesamten Lebenszyklus der Anwendung sein, d.h. von der Aufnahme der Geschäftsanforderungen über die Entwicklung, die Testphase und den Betrieb bis letztlich zur geregelten Außerbetriebnahme.

Wir zeigen Ihnen anhand von Musterbeispielen, wie „DevSecOps“ („Development“, „Security“, „Operations“) prozessual und technisch implementiert werden kann und wie es Ihnen zu großen Teilen hilft, bestehende und neue Risiken besser steuern und mindern zu können. Durch eine stetig größer und komplexer werdende Infrastrukturlandschaft mit ständig wachsenden Datenmengen kann das Management der Informations- und IT-Sicherheit zudem nur durch rechtzeitig implementierte Automatismen gewährleistet werden.

Das Ergebnis ist ein agiles Sicherheitsmanagement, welches Sie bei Ihrer digitalen Transformation unterstützt und nicht behindert ohne die Komplexität der Aufgabenstellung zu unterschätzen.