Wie steht es um das Verhältnis zwischen IT-, Sicherheits- und Entwickler-Teams innerhalb eines Unternehmens? Diese Fragestellung stand im Mittelpunkt einer von VMware in Auftrag gegebenen und von Forrester Consulting durchgeführten Studie mit dem Titel „Bridging the Developer and Security Divide”.
Hintergrund der Untersuchung ist die sich in der Unternehmenswelt abzeichnende Tendenz, vermehrt auf ein Zero-Trust Sicherheitsmodell zu setzen. Das zentrale Ergebnis, dass die IT-Sicherheit bei vielen immer noch als Hindernis wahrgenommen wird, ist angesichts zunehmender Hacker- und Ransomware-Attacken, durchaus überraschend. 52% der Entwickler sind sogar der Meinung, dass Sicherheitsrichtlinien Innovationen behindern. Unter den 665 befragten europäischen IT- und Sicherheitsverantwortliche gaben nur 19 % an, zu verstehen, warum welche Sicherheitsrichtlinien eingehalten werden müssen (zum Vergleich: weltweit waren es unter 1.475 Befragten 22 %). Alarmierend ist, dass mehr als ein Viertel (27 %) der befragten Entwickler nicht an Entscheidungen über Sicherheitsrichtlinien beteiligt ist, obwohl viele dieser Entscheidungen einen starken Einfluss auf ihre tägliche Arbeit haben. Unternehmen, in denen Sicherheits- und Entwicklungsteams ein positives Verhältnis zueinander haben, können den Software-Entwicklungs-Lebenszyklus um fünf Arbeitstage schneller abwickeln als Unternehmen, in denen dies nicht der Fall ist – dabei geht es um eine schnelle Markteinführung und Wettbewerbsvorteile. Positiv hingegen: 73 % sehen bei ihren Chefs, dass diese sich inzwischen mehr auf die Stärkung der Beziehung zwischen Entwicklung und Sicherheit konzentrieren als das noch vor zwei Jahren der Fall war. Auch wenn das Verhältnis weiter angespannt bleibt. Rund einer von drei Entscheidungsträgern (32 %) gab an, dass die einzelnen Teams in ihrem Unternehmen nicht effektiv zusammenarbeiten oder keine Massnahmen ergreifen, um die Beziehungen zu stärken. Fehlende Rollendefinition für Entwicklungsteams, mangelnde Kommunikation zwischen den Abteilungen und konkurrierende Prioritäten sind Faktoren, die grosse Auswirkungen auf die Zusammenarbeit haben.
Sicherheit als Mannschaftssport
„Unsere Untersuchung zeigt, dass Sicherheit einen Wahrnehmungswandel braucht“, sagt Rick McElroy, Principal Cybersecurity Strategist bei VMware. „Anstatt als das Team gesehen zu werden, dass sich nur um Behebungen von Sicherheitslücken kümmert oder der Innovation ‚im Weg steht‘, sollte der Sicherheitsgedanke in den Köpfen, Prozessen und Technologien fest verankert werden. Sicherheit sollte als Mannschaftssport betrachtet werden und Hand in Hand mit IT und Entwicklung gehen, um den Schutz von Clouds, Anwendungen und der gesamten digitalen Infrastruktur zu gewährleisten. Wir müssen eine Kultur entwickeln, in der alle Teams gemeinsame Interessen, Ziele und Messgrössen haben und eine gemeinsame Sprache sprechen. Der Nutzen für das Unternehmen ist überwältigend, wenn Personen aus IT, Sicherheit und Entwicklung aktiv in Prozesse einbezogen werden – von der Entscheidungsfindung über das Design bis hin zur Ausführung.“ Gemeinsam gesetzte Teamprioritäten und kollektives Engagement werden den Weg in die Zukunft ebnen – in dieser Hinsicht sind bereits Fortschritte zu verzeichnen. Mehr als die Hälfte (53 %) der Befragten erwartet, dass Sicherheits- und Entwicklungsteams innerhalb von drei Jahren vereinheitlicht werden. Für den gleichen Zeitraum erwarten rund 44 % eine stärkere Integration von Sicherheit in Entwicklungsprozesse. Darüber hinaus besteht allgemein die Ansicht, dass eine teamübergreifende Abstimmung Unternehmen in die Lage versetzt, Silos im Team zu überwinden (71 %), sicherere Anwendungen zu erstellen (71 %) und die Flexibilität bei der Übernahme neuer Arbeitsabläufe und Technologien zu erhöhen (66 %). „Sicherheitsteams arbeiten häufig getrennt von IT- und Operations-Teams. Dadurch ist es schwierig, sich ein ganzheitliches, klares Bild der Sicherheitsumgebung zu machen. Ein Intrinsic Security-Ansatz bringt Tools und Teams zusammen. Mit Intrinsic Security können Sicherheitsexperten Daten und Ereignisse aus der IT und aus Betriebsabläufen nutzen, um Bedrohungen und Richtlinien wirksamer zu kontrollieren. Dieser einheitliche Ansatz nutzt Cloud-, Anwendungs- und Geräteinfrastruktur, um fundierte Erkenntnisse über die Sicherheitsumgebung zu gewinnen,“ erklärt Thomas Krieg, Regional Director ALPS, VMware.