DevSecOps-Report – Verwundbarkeiten proaktiv verhindern

---

---

Web-Security oder sicherheitsbewusste Entwicklung von Software sollte kein Luxus mehr sein. Daher sind Begriffe wie DevOps bzw. DevSecOps mittlerweile nicht mehr aus unserer Branche wegzudenken. Das heißt, eine agile und auf Sicherheit geprägte Software-Entwicklung ist einer der wichtigsten Ansätze für modernes Development. Oder doch nicht?

Was sagt der DevSecOps-Report 2021 von GitLab dazu?

Darin stehen einige sehr interessante Erkenntnisse für die Bedeutung von Sicherheit bei der Entwicklung von Software:

• 99% der Applikationen enthalten mindestens 4 Vulnerabilities, 80% haben sogar mehr als 20.
• Mehr als 90% der Teilnehmenden sagen, dass Sicherheits-Scans länger als 3 Stunden laufen, bei ca. ein Drittel laufen sie sogar länger als 8 Stunden.
• Bei mehr als zwei Drittel der Teilnehmenden dauert es mehr als 4 Stunden um eine Vulnerability zu beheben.

Diese Zahlen zeigen zwei Dinge:

• Alle Applikationen enthalten Verwundbarkeiten, obwohl bereits automatische Tests benutzt werden um diese zu verhindern.
• Es ist recht aufwändig Verwundbarkeiten zu beheben.

Außerdem zeigt der Bericht, dass ein Großteil der Unternehmen bereits Opfer von erfolgreichen Angriffen war:

• Mehr als 70% haben kritische Daten verloren.
• Zwei Drittel haben Betriebsstörungen erfahren und
• mehr als 60% haben negative Auswirkungen auf ihre Marke festgestellt.

Anhand von diesen gravierenden Auswirkungen könnten wir annehmen, dass Sicherheit eine höhere Priorität bekommt. Knapp 80% der DevOps-Teams haben jedoch genau das Gegenteil berichtet, denn sie gaben an unter Druck zu stehen Release-Zyklen zu verkürzen. Das hat zum Ergebnis, dass mehr als 50% der Unternehmen angaben manchmal Sicherheits-Scans zu überspringen um Deadlines einzuhalten.

Cyber-Attacken und IT-Sicherheitslücken verhindern

Diese Ergebnisse zeigen, dass sich Unternehmen in einer Zwickmühle aus Deadlines und negativen Auswirkungen durch erfolgreiche Cyber-Attacken gegen sie selbst oder ihre Produkte befinden. Die einfache Lösung dafür wäre, Sicherheit „einfach“ höher zu bewerten als neue Features. Doch am Markt ist nichts einfach. Unternehmen müssen in der schnelllebigen Welt von heute ständig Neuerungen entwickeln um gegen die Konkurrenz bestehen zu können. Eine andere Lösung für das Dilemma ist, Entwicklungsteams so mit Wissen und unterstützenden Tools auszustatten, dass sie von vornherein beim ersten Schreiben des Codes Sicherheitslücken verhindern. Dafür gibt es mehrere Möglichkeiten.

Weiterbildungen in jeglicher Form um IT-Sicherheit proaktiv zu verbessern

Im Bereich der persönlichen Weiterbildung gibt es eine Vielzahl von unterschiedlichen Angeboten: Schulungen, eLearning, Micro-Learning, Selbststudium, Wettbewerbe, etc. Jede dieser Lernformen hat dabei ihre Daseinsberechtigung, da jeder Mensch unterschiedliche Vorlieben und Stärken beim Lernen hat. Außerdem haben die unterschiedlichen Lernformen Vorteile bei unterschiedlichem Vorwissen. Oft ist eine Kombination sehr hilfreich. So können zum Beispiel in einer klassischen Schulung erst Grundlagen erlernt werden, die dann durch Micro-Learning oder einen Wettbewerb verinnerlicht werden. Das wichtigste ist, die Schulungen zu den Entwickelnden zu bringen und nicht anders herum.

• Klassische Schulungen haben unter anderem die Vorteile, dass sie das Wissen in einem kurzen Zeitraum ohne Ablenkungen vermitteln und dass auf individuelle Fragen und Anforderungen eingegangen werden kann. Ein Nachteil ist, dass sie oft nicht zeitnah stattfinden.
• eLearning bietet die Freiheit die Lerninhalte im eigenen Tempo auch zwischendurch bearbeiten zu können. Das führt aber auch oft zu dem Problem, dass die Bearbeitung im Arbeitsalltag neben anderen Aufgaben untergeht.
• Ähnlich ist es beim Micro-Learning, bei dem Lerninhalte in kleine Bausteine heruntergebrochen und im Idealfall kontextbezogen in den Arbeitsalltag eingebracht werden. Ein Beispiel dafür ist das Secure Code Warrior Plugin für SCM-Manager (s.U.). Die kontextbezogene Integration von Lerninhalten hat den Vorteil, dass die Lerneinheiten nicht in Konkurrenz mit anderen Aufgaben stehen, da sie in die Aufgaben integriert sind.
• Im Selbststudium gibt es keinen festen Lehrplan. Das hat den Vorteil, dass sich Entwickelnde nur genau das Wissen aneignen, dass sie wirklich brauchen. Der Nachteil hingegen ist, dass alle Inhalte eigenständig recherchiert werden müssen.
• Auf den ersten Blick sind Wettbewerbe nur dafür geeignet bereits vorhandenes Wissen zu vertiefen. Sie bieten jedoch auch die Möglichkeit neues Wissen zu erlangen indem Problemstellungen bearbeitet werden, die neu sind und auf kreative Weise gelöst werden müssen.

Micro-Learning: Sicherheit durch kontinuierliches und kontextuelles Lernen verbessern

Kontextuelles Lernen bietet die Möglichkeit Praxis und Theorie eng miteinander zu verzahnen und so das Lernergebnis zu verbessern. Dafür werden passende Lerninhalte, z.B. in Form von Micro-Learning, während der Bearbeitung von Aufgaben angezeigt. Ein Beispiel dafür ist die Integration von Videos und Aufgaben zu Sicherheitslücken in den Code-Review-Prozess.

Durch eine solche Integration werden Lerninhalte genau dann bereitgestellt, wenn Teammitglieder Aufgaben mit potentiellen Sicherheitslücken bearbeiten. Ein Beispiel dafür ist das bereits erwähnte Secure-Code-Warrior-Plugin für SCM-Manager.

Fazit

Der DevSecOps-Report 2021 von GitLab zeigt, dass Sicherheit von Software zwar als wichtiges Thema wahrgenommen wird, jedoch in vielen Unternehmen niedriger priorisiert wird als die Entwicklung von neuen Features. An dieser Priorisierung wird sich auch wahrscheinlich in der Zukunft nicht viel ändern. Deswegen ist es notwendig bei Sicherheitsthemen den Wechsel von einem reaktiven zu einem proaktiven Vorgehen zu vollziehen um den Sicherheitsanforderungen gerecht werden zu können und gleichzeitig die Release-Zyklen kurz zu halten. Das kann durch unterschiedliche Arten von Weiterbildungen erreicht werden.

---

---