DevOps am Limit: Wie DevSecOps vor Cyberrisiken schützt
(PresseBox) - Montag früh, 7:30 Uhr. Beim CEO eines Fintech-Unternehmens klingelt s. Die Banking-App weist eine kritische Sicherheitslücke auf. Die zentrale Frage: Wie schnell ist das Problem behoben – in Stunden oder Tagen? Für sein DevSecOps-Team ist klar: in Minuten oder wenigen Stunden. Denn Sicherheit ist fester Bestandteil des Software-Entwicklungsprozesses (SDLC). Eine Einordnung und eine 4-Phasen-Roadmap für eine starke Cyberresilienz.
DevOps ist längst in der Breite angekommen, doch die Sicherheitsdimension hält mit dieser Entwicklung nicht Schritt. Laut dem aktuellen «DevOps in Switzerland Report 2025» von VSHN und Zühlke nutzt bereits ein Drittel der Unternehmen, die DevOps für die Softwareentwicklung einsetzen, KI zur Automatisierung repetitiver Aufgaben oder zur Verbesserung der Codequalität. Obwohl DevOps-Praktiken in der Tech-Szene begeistert aufgenommen werden, ist die Sicherheit ein entscheidender Faktor, der häufig übersehen wird.
DevOps-Praktiken werden von fast 88 % der befragten Unternehmen eingesetzt. Eine beeindruckende Zahl, die die bereits tiefe Verankerung dieser Arbeitsweise verdeutlicht. Laut den Autoren der Studie halten IT-Unternehmen derzeit einen Anteil von 45 Prozent. Andere Branchen haben ihren Marktanteil ausgebaut: 20 % der DevOps-Unternehmen sind in der Beratung tätig, 16 % im Bank- und Finanzwesen. Auch im öffentlichen Sektor wird DevOps immer beliebter.
Was ist DevSecOps? Zwei Definitionen, von NIST und US Department of Defense (DoD)
Die Definition des NIST besagt, dass DevSecOps durch die Integration von Sicherheitspraktiken und die automatische Erstellung von Sicherheits- und Compliance-Artefakten über Prozesse und Umgebungen hinweg dazu beiträgt, dass Sicherheit als Teil aller DevOps-Praktiken berücksichtigt wird.
Eine weit ausführlichere Definition liefert das US-Verteidigungsministerium (DoD): DevSecOps ist ein Konglomerat aus Software-Engineering-Techniken, -Verfahren und -Instrumenten, die Softwareentwicklung (Dev), Sicherheit (Sec) und Betrieb (Ops) integrieren.
Im Zentrum des DevSecOps-Paradigmas steht Security by Design– der Anspruch, Sicherheit nicht anzuflanschen, sondern in jede Phase des Entwicklungsprozesses einzubauen.
Was DevSecOps bedeutet:
Shift-Left-Sicherheit: Sicherheitstests während der Entwicklungsphase.
CI/CD: Einbezug automatisierter Sicherheitsprüfungen in CI/CD-Pipelines.
Ständige Compliance: Code-basierte regulatorische Anforderungen.
Geteilte Verantwortung: Jedes Teammitglied ist für die Aufrechterhaltung der Sicherheit verantwortlich.
Zero-Trust-Architektur: Zero Trust muss das Ziel-Sicherheitsmodell für Cybersicherheit in DevSecOps-Softwarefabriken und -Plattformen sein.
Die grosse Herausforderung: Die Software-Lieferkette
Der Erfolg von DevSecOps erfordert ein Verständnis der Software-Lieferkette. Alle Hardware, Infrastructure as a Service (IaaS), Platform as a Service (PaaS), Software as a Service (SaaS), Tools und Verfahren, die kombiniert werden, um bestimmte Softwarefunktionen bereitzustellen, sind Teil der Software-Lieferkette, die eine logistische Route darstellt.
Die besondere Herausforderung im Finanzsektor: Innovation und Compliance
DevSecOps ist eher eine Notwendigkeit als ein Luxus, insbesondere in der Schweiz mit ihrem robusten Finanzsektor und strengen Datenschutzbestimmungen. Das Problem: Wie lässt sich ein Gleichgewicht zwischen Innovationsbedarf und regulatorischen Anforderungen finden?
Laut der zitierten Studie sind Plattform-Engineering-Teams mittlerweile in 54 % der Schweizer Unternehmen vertreten. Diese Gruppen sind für die Entwicklung sicherer Plattformen, die Agilität und Compliance ermöglichen, unverzichtbar.
KI als Revolution in DevSecOps
Durch die Einbindung künstlicher Intelligenz werden die Spielregeln grundlegend verändert. KI wird von den DevOps-Teams am häufigsten eingesetzt, um repetitive Aufgaben zu automatisieren (22 Prozent), Vorfälle zu verhindern und die Codequalität zu verbessern (jeweils rund 19 Prozent).
KI eröffnet DevSecOps völlig neue Möglichkeiten:
Sinnvolle Identifizierung von Schwachstellen
KI-Systeme sind nicht nur in der Lage, Sicherheitslücken zu identifizieren, sondern auch deren Schweregrad zu bewerten und mögliche Lösungen anzubieten. Echtzeit-Codeüberprüfungen haben den bisher notwendigen stundenlangen Prozess ersetzt.
Auffinden von Anomalien in Produktionsumgebungen
Algorithmen für maschinelles Lernen erfassen das «normale» Verhalten einer Anwendung und schlagen bei verdächtigen Aktivitäten sofort Alarm, oft noch bevor ein menschlicher Bediener überhaupt bemerkt, dass etwas nicht stimmt.
Automatisierte Behebung von Sicherheitslücken
KI wird von 28 % der Teams für die Codeüberprüfung und -analyse eingesetzt. KI, die Probleme nicht nur erkennt, sondern auch automatisch behebt, ist die nächste Entwicklungsstufe.
Sicherheit von CI/CD-Pipelines: Das Herzstück von DevSecOps
Böswillige Cyberakteure (MCAs) betrachten Software-Lieferketten und CI/CD-Umgebungen als attraktive Ziele, wie aus den Richtlinien der NSA und CISA hervorgeht. Die Gefahren sind zahlreich und komplex:
Drei typische Risiken für die CI/CD-Sicherheit sind:
Unsicherer Code: Durch die Integration von Code von Drittanbietern und das Versäumnis, Quellcodekomponenten zu scannen, können Schwachstellen in eine CI/CD-Pipeline. eingeschleust werden.
Ausführung vergifteter Pipelines: MCAs nutzen diese Technik, um die CI-Pipeline zu kontaminieren. Mit dieser Methode können MCAs den Build-Prozess manipulieren, indem sie Berechtigungen in Repositorys für die Quellcodeverwaltung missbrauchen.
Offenlegung von Geheimnissen: Um Zugriff auf eine Vielzahl sensibler Ressourcen, darunter Datenbanken und Codebasen, zu erhalten, verwenden Cloud-native CI/CD-Tools eine Reihe von Geheimnissen.
Drei wichtige Sicherheitsmassnahmen für CI/CD-Pipelines:
Zero Trust in CI/CD: Diese Technik hilft dabei, erfolgreiche Kompromittierungen der Umgebung zu identifizieren und zu verhindern, indem sichergestellt wird, dass kein Benutzer, Endgerät oder Prozess vollständig vertrauenswürdig ist.
Integrieren Sie ein statisches Code-Analyse-Tool in den Build-Prozess, um den Code auf häufige Sicherheitslücken und Compliance-Probleme zu überprüfen.
Implementierung von SBOM: Durch die Unterstützung bei der Verfolgung aller Open-Source- und Drittkomponenten innerhalb der Codebasis können SBOM und SCA sowohl für DevSecOps als auch für den Softwareentwicklungslebenszyklus (SDLC) von Vorteil sein.
Plattform-Engineering als Wegbereiter für Sicherheit
Eine Sammlung von Ressourcen und Fähigkeiten, die als Grundlage für die Entwicklung und den Betrieb zusätzlicher Funktionen oder Dienste innerhalb desselben technischen Rahmens dienen, wird als DevSecOps-Plattform bezeichnet.
Dank Plattform-Engineering können Entwicklerteams unabhängig voneinander in standardisierten, sicheren Umgebungen arbeiten. Dies beinhaltet:
Sicherheitsvorkehrungen: Automatisch durchgesetzte, vordefinierte Sicherheitsrichtlinien
Compliance as Code: Die Plattform integriert regulatorische Anforderungen
Self-Service-Sicherheit: Entwickler können Sicherheits-Tools selbstständig nutzen.
Der Zustand, der als Continuous Authorization oder cATO bezeichnet wird, ist erreicht, wenn das Unternehmen, das ein System erstellt, schützt und betreibt, nachweislich reif genug ist, um eine robuste Cybersicherheitslage aufrechtzuerhalten.
Die Grafsche Methode: Mit der Theorie der FHNW zur Praxis
Laut Prof. Dr. Sebastian Graf von der Fachhochschule Nordwestschweiz FHNW «denkt DevOps nicht in Projekten, sondern in Produkten». Der Schlüssel zum Erfolg von DevSecOps liegt in genau dieser Produktorientierung – und in einem methodischen Ansatz, der Technologie, Verfahren und Denkweise konsequent verbindet.
Ein Schlüsselelement von Zero Trust ist DevSecOps: Entwicklungs- und Engineering-Teams arbeiten eng zusammen, getragen von einer klaren Vision und einer strukturierten Strategie.
Damit DevSecOps vollständig umgesetzt werden kann, müssen laut den Grundlagen des US-Verteidigungsministeriums Sicherheits- und Funktionsfähigkeiten in jeder Phase des Lebenszyklus entwickelt, getestet und verfolgt werden – lange bevor Probleme die Produktion überhaupt erreichen können.
Plattformen, NIST, offene Standards: Zentrale Bausteine moderner Software-Sicherheit
Nutzen Sie integrierte Plattformen:
Code-Management, Pipelines, Planung und Sicherheitsanalysen sind in Plattformen wie GitLab enthalten, in der Regel in höheren/Premium-Abonnements.
Die teamübergreifende Zusammenarbeit wird durch einen integrierten Prozess gefördert.
Verwenden Sie konsolidierte Lösungen, um die Verbreitung von Tools zu verhindern.
Setzen Sie gründliche Sicherheitsscanner ein.
Nach NIST SP 800-204D sind folgende relevant:
Codeanalyse mit SAST (Static Application Security Testing.Verwenden Sie für Laufzeittests DAST (Dynamic Application Security Testing).
Software Composition Analysis (SCA) für die Abhängigkeitsprüfung.
Bildsicherheit durch Containerscanning.
«Secret Scanning» zum Schutz vertraulicher Anmeldedaten zum Schutz vertraulicher Anmeldedaten.
Verwenden Sie offene Standards:
Software Bill of Materials (SBOM) für CycloneDX: Transparenz.
SPDX: Verfolgung von Komponenten und Einhaltung von Lizenzen.
Supply Chain Security Framework (SLSA).
Jedes Unternehmen sollte diese von der OpenSSF (Open Source Security Foundation) empfohlenen Standards kennen.
Cloud-Security im Wandel: Die 6 grössten Bedrohungen ffür DevSecOps
Laut aktuellen Studien der Cloud Security Alliance muss DevSecOps die folgenden kritischen Bedrohungen angehen.
Ungesicherte Softwareentwicklung: Aufgrund der Komplexität des Cloud Computing können Entwickler versehentlich unsichere Software mit ausnutzbaren Schwachstellen erstellen.
UnzureichendeÄnderungskontrolle und Fehlkonfigurationen.
Schwächen bei der Identitäts- und Zugriffsverwaltung.
Unsichere APIs und Schnittstellen.
Eingeschränkte Beobachtbarkeit/Sichtbarkeit der Cloud.
APTs (Advanced Persistent Threats, fortgeschrittene persistente Bedrohungen).
DevSecOps-Reife: Was Unternehmen für eine sichere Zukunft brauchen
Für DevSecOps bedeutet dies, dass zwar die Tools und Technologien verfügbar sind, aber eine sorgfältige Implementierung zum Erfolg führt. In kleinen und mittleren Unternehmen verläuft die Einführung von DevOps besonders gut. Grössere Unternehmen hingegen haben Schwierigkeiten, zuwachsen.
«Das Geheimnis langfristiger Sicherheit ist die vollständige Unabhängigkeit von Anbietern.»
Die Reduzierung der Abhängigkeit von Anbietern und die Gewährleistung der Freiheit der Systemkomponenten sind ebenfalls wichtige Aspekte, wenn es um eine sichere Software-Lieferkette geht.
Warum ist DevSecOps Open Source?
Aufgrund der leichteren Austauschbarkeit von Anbietern und Komponenten bieten Open-Source-Lösungen eine grössere Flexibilität. Die Open-Source-Landschaft entwickelt sich trotz Hindernissen wie Lizenzänderungen oder Finanzierungsproblemen für bestimmte Projekte positiv.
Vorschläge für Schweizer Unternehmen:
Denken Sieüber Alternativen zu etablierten Marktführern nach.
Prüfen Sie offene Infrastrukturoptionen.
Um Sicherheitsdienste nutzen zu können, schliessen Sie Unternehmensabonnements ab.
Pflegen Sie das Open-Source-Ökosystem auf nachhaltige Weise.
Dieser Ansatz verbessert die Transparenz und Kontrolleüber Ihre eigene Sicherheitsinfrastruktur und verringert gleichzeitig die Bindung an einen bestimmten Anbieter.
Die 4-Phasen-Umsetzung: Der Business Case für DevSecOps
DevSecOps ist laut einer Studie des NIST entscheidend für die Minimierung von Schwachstellen, bösartigem Code und anderen Sicherheitsproblemen in Software, ohne die Code-Entwicklung und Releases zu verzögern. Auf dieser Erkenntnis aufbauend beginnt eine schrittweise Entwicklung zur echten DevSecOps-Reife.
Der Weg zur DevSecOps-Reife umfasst 4 entscheidende Phasen:
1. Erste Nutzung
Beginnen Sie mit Pilotprojekten.
Achten Sie auf kurzfristige Gewinne.
Schaffen Sie ein Netzwerk und Sicherheitsbeauftragte.
2. Integration und Skalierung
Erhöhen Sie die Anzahl der Teams.
Integrieren Sie Sicherheitstools in jede Pipeline.
Legen Sie KPIs und Sicherheitsmetriken fest.
3. Innovation und Optimierung
Nutzen Sie ML und KI zur Verbesserung der Sicherheit.
Setzen Sie prädiktive Sicherheitsanalysen in die Praxis um.
Erlangen Sie kontinuierliche Autorisierung (cATO).
4. Strategiewechsel
Sicherheit wird zum Wegbereiter für das Geschäft.
Vollständige Ausrichtung an den Unternehmenszielen.
Führende Position in der Branche für sichere Entwicklung.
DevSecOps als Wettbewerbsvorteil: Warum sichere Entwicklung schneller macht
Durch DevSecOps wird Sicherheit von einem Hemmnis zum Booster. Unternehmen können es sich in Zeiten zunehmender Cyberangriffe und strengerer Vorschriften nicht leisten, Sicherheit als sekundären Prozess zu behandeln.
Die gute Nachricht ist, dass die Tech-Community auf dem richtigen Weg ist. Mit dem zunehmenden Einsatz von KI, der Einführung von DevOps-Praktiken und der Schaffung von Plattform-Engineering-Teams sind die Grundlagen geschaffen.
Die aktuelle Herausforderung besteht darin, Sicherheit als wesentlichen Bestandteil der Produktentwicklung zu betrachten und nicht als Zusatz. Unternehmen schaffen eine sichere und nachhaltige Entwicklungsumgebung, indem sie integrierte Plattformen nutzen, offene Standards wie CycloneDX und SLSA einführen und Vendor Lock-ins sorgfältig vermeiden.
Um Risiken in jeder Phase zu reduzieren, nutzt DevSecOps die kombinierte Erfahrung und das Wissen der gesamten Software-Lieferkette, wie das US-Verteidigungsministerium betont.
Denn wer sicher entwickelt, entwickelt in der digitalen Wirtschaft in der Regel auch schneller. Und die schnellsten Entwickler gewinnen, insbesondere wenn es um offene Standards und Herstellerunabhängigkeit geht.
Schützen Sie Ihre DevOps-Reise mit InfoGuard als Partnerin
Der erste Schritt besteht darin, DevSecOps zu verstehen; die eigentliche Schwierigkeit liegt in der erfolgreichen Umsetzung. Wir können Sie unterstützen, wenn Sie bereit sind, die Sicherheit Ihres Softwareentwicklungsprozesses zu ändern, aber professionelle Beratung benötigen.
Die zentralen Vorteile Ihrer DevOps-Sicherheitsbewertung:
Technische Sicherheit stärken: Gründliche Analyse Ihrer Plattform, Identifikation kritischer Schwachstellen und klare Empfehlungen zur Härtung nach Branchenstandards.
Prozessreife erhöhen: Bewertung Ihrer DevSecOps-Verfahren, Erkennen von Lücken gegenüber Best Practices und eine Roadmap für Optimierung und Skalierung.
Sichere Entwicklung verankern: Prüfung Ihrer Softwareentwicklung, Integration von Sicherheitsmassnahmen entlang des gesamten SDLC und konkrete Shift-Left-Empfehlungen.
Standards verlässlich erfüllen: Bewertung auf Basis von CIS-, CISA- und NIST-Frameworks für eine nachvollziehbare, auditfeste und standardkonforme Sicherheitsarchitektur.
Sind Sie bereit, Ihre DevOps-Pipeline zu schützen? Lassen Sie nicht zu, dass ein Sicherheitsvorfall Ihre DevSecOps-Verfahren offenlegt. Integrieren Sie Sicherheit proaktiv in Ihren Entwicklungslebenszyklus. Kontaktieren Sie uns und vereinbaren Sie jetzt Ihre individuelle DevOps-Sicherheitsbewertung mit InfoGuard.
Datum: 20.11.2025 - 10:24 Uhr
Sprache: Deutsch
News-ID 2213378
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Estelle Ouhassi
Stadt:
Baar
Telefon: +41 (41) 74919-00
Kategorie:
IT, New Media & Software
Dieser Fachartikel wurde bisher 2 mal aufgerufen.
Der Fachartikel mit dem Titel:
"DevOps am Limit: Wie DevSecOps vor Cyberrisiken schützt"
steht unter der journalistisch-redaktionellen Verantwortung von
InfoGuard AG (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).