InfoGuard Cyber Security & Cyber Defence Blog

Productivity meets Cyber Security: DevSecOps, der neue Wachstumstreiber

Geschrieben von Martin Hüsser | 17. Jul 2025

 

Für Unternehmen, die DevSecOps bereits fest integriert haben, ist klar: Die Behebung einer Sicherheitslücke in einer neu entwickelten App erfolgt in Minuten oder wenigen Stunden. Denn Sicherheit ist heute ein wesentlicher Bestandteil der gesamten Softwareentwicklung – sozusagen der Kern des gesamten Entwicklungsprozesses – und nicht mehr nur ein nachgelagerter Gedanke.

Die Schweiz ist von DevOps geprägt, doch wo bleibt die Sicherheit?

Laut dem aktuellen Bericht von VSHN und Zühlke nutzt bereits ein Drittel der befragten Unternehmen, die DevOps für die Softwareentwicklung und Bereitstellung einsetzen, künstliche Intelligenz (KI) zur Automatisierung repetitiver Aufgaben oder, um die Codequalität zu optimieren. So begeistert die Tech-Szene DevOps-Praktiken aufgenommen hat, so oft wird ein kritischer Aspekt übersehen: Cybersicherheit bleibt häufig auf der Strecke.

DevOps-Praktiken sind in der Schweizer Unternehmenslandschaft tief verankert: Fast 88 Prozent der befragten Unternehmen setzen sie bereits ein – eine beeindruckende Zahl, die den Siegeszug dieser Arbeitsweise verdeutlicht. Laut den Autorinnen und Autoren der Studie entfällt derzeit ein Anteil von 45 Prozent auf IT-Unternehmen. Andere Branchen haben ihren Marktanteil ausgebaut: 20 Prozent der DevOps-Unternehmen sind in der Beratung tätig, 16 Prozent im Bank- und Finanzwesen. Auch im öffentlichen Sektor wird DevOps immer beliebter.

Security by Design: Das DevSecOps-Paradigma

Was bedeutet DevSecOps? Die Definition des National Institute of Standards and Technology (NIST) besagt, dass DevSecOps durch die Integration von Sicherheitspraktiken und die automatische Erstellung von Sicherheits- und Compliance-Artefakten über Prozesse und Umgebungen hinweg dazu beiträgt, dass Sicherheit als Teil aller DevOps-Praktiken berücksichtigt wird.

Eine noch ausführlichere Definition liefert das US-Verteidigungsministerium: DevSecOps ist ein Konglomerat aus Software-Engineering-Techniken, -Verfahren und -Instrumenten, die Softwareentwicklung (Dev), Sicherheit (Sec) und Betrieb (Ops) integrieren.

Was DevSecOps bedeutet:

  • Shift-Left-Sicherheit: Sicherheitstests während der Entwicklungsphase
  • Einbezug automatisierter Sicherheitsprüfungen in CI/CD-Pipelines (Continuous Integration und Continuous Delivery/Deployment)
  • Ständige Compliance: Codebasierte Prüfung an regulatorische Anforderungen
  • Geteilte Verantwortung: Jedes Teammitglied ist für die Aufrechterhaltung der Sicherheit verantwortlich.
  • Zero-Trust-Architektur: Zero Trust muss das Ziel-Sicherheitsmodell für Cybersicherheit in DevSecOps-Softwarefabriken und -Plattformen sein.

Die Herausforderung der Software-Lieferkette

Der Erfolg von DevSecOps erfordert ein Verständnis der gesamten Software-Lieferkette. Dazu zählen sämtliche Komponenten – von der Hardware über Infrastructure as a Service (IaaS), Platform as a Service (PaaS), Software as a Service (SaaS) bis hin zu Tools und Prozessen, die gemeinsam bestimmte Softwarefunktionen ermöglichen. Jede dieser Stationen bildet Glieder einer komplexen Software-Lieferkette, die eine logistische Route darstellt.

KI als Revolution in DevSecOps

Künstliche Intelligenz verändert die Spielregeln grundlegend. In Schweizer DevOps-Teams kommt sie am häufigsten zur Automatisierung repetitiver Aufgaben (22 Prozent), zur Prävention von Vorfällen und zur Optimierung der Codequalität (jeweils rund 19 Prozent) zum Einsatz.

KI eröffnet DevSecOps völlig neue Möglichkeiten:

  1. Sinnvolle Identifizierung von Schwachstellen
    KI-Systeme sind nicht nur in der Lage, Sicherheitslücken zu identifizieren, sondern auch deren Schweregrad zu bewerten und mögliche Lösungen anzubieten. Echtzeit-Codeüberprüfungen können so den stundenlangen Prozess stark unterstützen.
  2. Auffinden von Anomalien in Produktionsumgebungen
    Algorithmen für maschinelles Lernen erfassen das „normale” Verhalten einer Anwendung und schlagen bei verdächtigen Aktivitäten sofort Alarm, oft noch bevor menschliche Anwendende überhaupt bemerken, dass etwas nicht stimmt.
  3. Automatisierte Behebung von Sicherheitslücken
    KI wird von 28 % der Teams für die Codeüberprüfung und -analyse eingesetzt. KI, die Probleme nicht nur erkennt, sondern auch automatisch behebt, ist die nächste Entwicklungsstufe.

Sicherheit von CI/CD-Pipelines: Das Herzstück von DevSecOps

Böswillige Cyberakteure betrachten Software-Lieferketten und CI/CD-Umgebungen als attraktive Ziele, wie aus den Richtlinien der NSA und CISA hervorgeht. Die Gefahren sind zahlreich und komplex:

Typische Risiken für die CI/CD-Sicherheit sind:

  • Unsicherer Code: Durch die Integration von Code von Drittanbietern und das Versäumnis, Quellcodekomponenten zu scannen, können Schwachstellen in eine CI/CD-Pipeline eingeschleust werden.
  • Ausführung vergifteter Pipelines: Angreifer nutzen diese Technik, um die CI-Pipeline zu kontaminieren. Mit dieser Methode können Angreifer den Build-Prozess manipulieren, indem sie Berechtigungen in Repositorys für die Quellcodeverwaltung missbrauchen.
  • Offenlegung von Secrets: Um Zugriff auf eine Vielzahl sensibler Ressourcen, darunter Datenbanken und Codebasen, zu erhalten, verwenden Cloud-native CI/CD-Tools eine Reihe von Secrets zu den jeweiligen Umsystemen, welche besonders geschützt werden müssen.

Wichtige Sicherheitsmassnahmen für CI/CD-Pipelines:

  • Zero Trust in CI/CD: Diese Technik hilft dabei, erfolgreiche Kompromittierungen der Umgebung zu identifizieren und zu verhindern, indem sichergestellt wird, dass kein Benutzer, Endgerät oder Prozess vollständig vertrauenswürdig ist.
  • Statische Code-Analyse: Integrieren Sie entsprechende Analyse-Tools frühzeitig in den Build-Prozess, um Ihren Code kontinuierlich auf gängige Sicherheitslücken und Compliance-Probleme zu überprüfen.
  • Implementierung von SBOM: Durch die Unterstützung bei der Verfolgung aller Open-Source- und Drittkomponenten innerhalb der Codebasis können SBOM und SCA sowohl für DevSecOps als auch für den Softwareentwicklungslebenszyklus (SDLC) von Vorteil sein.

Die Herausforderung: Innovation und Compliance

DevSecOps ist eher eine Notwendigkeit als ein Luxus, insbesondere in der Schweiz mit ihrem robusten Finanzsektor und strengen Datenschutzbestimmungen. Die Herausforderung? 

Entscheidend ist, ein Gleichgewicht zwischen Innovationsbedarf und regulatorischen Anforderungen zu finden.

Laut der zitierten Studie sind Plattform-Engineering-Teams mittlerweile in 54 Prozent der Schweizer Unternehmen vertreten. Diese Gruppen sind für die Entwicklung sicherer Plattformen, die Agilität und Compliance ermöglichen, unverzichtbar.

Plattform-Engineering als Wegbereiter für Sicherheit

Eine Sammlung von Ressourcen und Fähigkeiten, die als Grundlage für die Entwicklung und den Betrieb zusätzlicher Funktionen oder Dienste innerhalb desselben technischen Rahmens dienen, wird als DevSecOps-Plattform bezeichnet.

Dank Plattform-Engineering können Entwicklerteams unabhängig voneinander in standardisierten, sicheren Umgebungen arbeiten. Dies beinhaltet:

  • Sicherheitsvorkehrungen: Automatisch durchgesetzte, vordefinierte Sicherheitsrichtlinien.
  • Compliance as Code: Die Plattform integriert regulatorische Anforderungen.
  • Self-Service-Sicherheit: Entwickler können Sicherheits-Tools selbstständig nutzen.

Continuous Authorization (cATO) ist dann erreicht, wenn ein Unternehmen nachweisen kann, dass es ein System erstellt, schützt und betreibt. Dafür muss es zudem ausreichend reif sein, um eine robuste Cybersicherheitslage dauerhaft aufrechtzuerhalten.

Die Schweizer Methode: Von der Theorie zur Praxis

Laut Prof. Dr. Sebastian Graf von der FHNW «denkt DevOps nicht in Projekten, sondern in Produkten». Der Schlüssel zum Erfolg von DevSecOps liegt somit in dieser Produktorientierung.

Der methodische Ansatz

Ein Schlüsselelement von Zero Trust ist DevSecOps, das Technologie, Verfahren und eine geeignete Denkweise miteinander verbindet. Die Entwicklungs- und Engineering-Teams müssen eng zusammenarbeiten. Eine organisierte Strategie und eine klare Vision sind die Grundlagen für den Erfolg.

Damit DevSecOps vollständig umgesetzt werden kann, müssen gemäss den DevSecOps-Grundlagen Sicherheits- und Funktionsfähigkeiten in jeder Phase des Lebenszyklus entwickelt, getestet und verfolgt werden, um zu verhindern, dass Sicherheits- und Funktionsprobleme jemals in die Produktion gelangen.

Sichere DevSecOps-Umgebungen in 3 Stufen

1. Nutzen Sie integrierte Plattformen

  • Code-Management, Pipelines, Planung und Sicherheitsanalysen sind in Plattformen wie GitLab enthalten, in der Regel in höheren/Premium-Abonnements.
  • Die teamübergreifende Zusammenarbeit wird durch einen integrierten Prozess gefördert.
  • Verwenden Sie konsolidierte Lösungen, um die Verbreitung von Tools zu verhindern.
  • Setzen Sie gründliche Sicherheitsscanner ein.

2. Nach Vorgabe von NIST SP 800-204D

  • Codeanalyse mit SAST (Static Application Security Testing)
  • Verwenden Sie für Laufzeittests DAST (Dynamic Application Security Testing).
  • Software Composition Analysis (SCA) für die Abhängigkeitsprüfung.
  • Bildsicherheit durch Containerscanning.
  • «Secret Scanning» zum Schutz vertraulicher Anmeldedaten.

3. Verwenden Sie offene Standards

  • Software Bill of Materials (SBOM) für CycloneDX: Transparenz
  • SPDX: Verfolgung von Komponenten und Einhaltung von Lizenzen
  • Supply Chain Security Framework (SLSA)
  • Jedes Unternehmen sollte diese von der OpenSSF (Open Source Security Foundation) empfohlenen Standards kennen.

6 Bedrohungen für die Cloud-Sicherheit: Das sich wandelnde Umfeld

Laut aktuellen Studien der «Cloud Security Alliance» muss DevSecOps die folgenden sechs kritischen Bedrohungen angehen:

  • Unsichere Softwareentwicklung: Aufgrund der Komplexität des Cloud Computing können Entwickler versehentlich unsichere Software mit ausnutzbaren Schwachstellen erstellen.
  • Unzureichende Änderungskontrolle und Fehlkonfigurationen
  • Schwächen bei der Identitäts- und Zugriffsverwaltung
  • Unsichere APIs und Schnittstellen
  • Eingeschränkte Beobachtbarkeit/Sichtbarkeit der Cloud
  • APTs (Advanced Persistent Threats, fortgeschrittene persistente Bedrohungen)

Wie sicher ist die DevSecOps-Zukunft?

Für DevSecOps bedeutet dies, dass zwar die Tools und Technologien verfügbar sind, aber nur eine sorgfältige Implementierung zum Erfolg führt. In kleinen und mittleren Unternehmen verläuft die Einführung von DevSecOps besonders gut. Grössere Unternehmen hingegen haben Schwierigkeiten, zu wachsen.

Das Geheimnis langfristiger Sicherheit liegt in der Unabhängigkeit von Anbietern. Die Reduzierung der Abhängigkeit von Anbietern und die Gewährleistung der Freiheit der Systemkomponenten sind ebenfalls wichtige Aspekte, wenn es um eine sichere Software-Lieferkette geht.

Stärken Sie Ihre DevOps-Pipeline mit nachhaltiger Sicherheit. Fordern Sie jetzt Ihre DevSecOps-Sicherheitsbewertung an und minimieren Sie Risiken gezielt.

Warum ist DevSecOps Open Source?

Aufgrund der leichteren Austauschbarkeit von Anbietern und Komponenten bieten Open-Source-Lösungen eine grössere Flexibilität. Die Open-Source-Landschaft entwickelt sich trotz Hindernissen wie Lizenzänderungen oder Finanzierungsproblemen für bestimmte Projekte positiv.

Empfehlungen für Schweizer Unternehmen

  • Denken Sie über Alternativen zu etablierten Marktführern nach.
  • Prüfen Sie offene Infrastrukturoptionen.
  • Um Sicherheitsdienste nutzen zu können, schliessen Sie Unternehmensabonnements ab.
  • Pflegen Sie das Open-Source-Ökosystem auf nachhaltige Weise.

Dieser Ansatz verbessert die Transparenz und Kontrolle über Ihre eigene Sicherheitsinfrastruktur und verringert gleichzeitig die Bindung an einen bestimmten Anbieter.

Der Business Case für DevSecOps

DevSecOps ist laut einer Studie des NIST entscheidend für die Minimierung von Schwachstellen, bösartigem Code und anderen Sicherheitsproblemen in Software, ohne die Code-Entwicklung und Releases zu verzögern.

Ausblick: Der Weg zur DevSecOps-Reife

Der Weg zur DevSecOps-Reife umfasst verschiedene wichtige Phasen:

1. Erste Nutzung

  • Beginnen Sie mit Pilotprojekten.
  • Achten Sie auf kurzfristige Gewinne.
  • Schaffen Sie ein Netzwerk und benennen Sie dezidierte Sicherheitsbeauftragte.

2. Integration und Skalierung

  • Erhöhen Sie die Anzahl der Teams.
  • Integrieren Sie Sicherheitstools in jede Pipeline.
  • Legen Sie KPIs und Sicherheitsmetriken fest.

3. Innovation und Optimierung

  • Nutzen Sie ML und KI zur Verbesserung der Sicherheit.
  • Setzen Sie prädiktive Sicherheitsanalysen in die Praxis um.
  • Erlangen Sie kontinuierliche Autorisierung (cATO).

4. Strategiewechsel

  • Sicherheit wird zum Wegbereiter für das Geschäft.
  • Vollständige Ausrichtung an den Unternehmenszielen.
  • Führende Position in der Branche für sichere Entwicklung.

Zusammenfassend lässt sich sagen, dass Sicherheit ein Wettbewerbsvorteil sein kann.

Durch DevSecOps wird Sicherheit von einem Hemmnis zu einem Beschleuniger. Schweizer Unternehmen können es sich in Zeiten zunehmender Cyberangriffe und strengerer Vorschriften nicht leisten, Sicherheit als sekundären Prozess zu behandeln.

Die gute Nachricht ist, dass die Schweizer Tech-Community auf dem richtigen Weg ist. Mit dem zunehmenden Einsatz von KI, der Einführung von DevSecOps-Praktiken und der Schaffung von Plattform-Engineering-Teams sind die Grundlagen geschaffen.

Die aktuelle Herausforderung besteht darin, Sicherheit als wesentlichen Bestandteil der Produktentwicklung zu betrachten und nicht als Zusatz. Unternehmen schaffen eine sichere und nachhaltige Entwicklungsumgebung, indem sie integrierte Plattformen nutzen, offene Standards wie CycloneDX und SLSA einführen und Vendor Lock-ins sorgfältig vermeiden.

Um Risiken in jeder Phase zu reduzieren, nutzt DevSecOps die kombinierte Erfahrung und das Wissen der gesamten Software-Lieferkette, wie das US-Verteidigungsministerium betont.

Denn wer von Anfang an sicher entwickelt, beschleunigt in der digitalen Wirtschaft in der Regel auch den gesamten Entwicklungsprozess. Und die schnellsten Entwickler gewinnen, insbesondere wenn es um offene Standards und Herstellerunabhängigkeit geht.

Handeln Sie jetzt, um Ihre DevOps-Reise zu schützen

Der erste Schritt besteht darin, DevSecOps zu verstehen. Die eigentliche Schwierigkeit liegt in der erfolgreichen Umsetzung. Wir unterstützen Sie, wenn Sie bereit sind, die Sicherheit Ihres Softwareentwicklungsprozesses zu stärken und dabei auf professionelle Beratung setzen.

Bewertung Ihrer DevOps-Umgebung

Mit unserer gründlichen DevOps-Sicherheitsbewertung profitieren Sie von folgenden Vorteilen:

Bewertung der technischen Konfigurationssicherheit

  • Eine gründliche Analyse Ihrer Betriebsplattform.
  • Aufdeckung von Schwachstellen und fehlerhaften Konfigurationen.
  • Empfehlungen zur Sicherheitshärtung auf Basis von Branchenstandards.

Analyse der Prozessreife

  • Systematischer Bewertungsprozess, der Ihre DevSecOps-Verfahren untersucht.
  • Analyse von Lücken in Bezug auf Branchennormen.
  • Klare Roadmap zur Prozessoptimierung und -verbesserung.

Überprüfung der sicheren Softwareentwicklung

  • Detaillierte Einschätzung Ihrer aktuellen Entwicklungsmethoden.
  • Konkrete Vorschläge zur Integration von Sicherheit in den gesamten SDLC.
  • Praxisnahe Empfehlungen für die Umsetzung von Shift-Left-Sicherheit.

Die standardbasierte Methode

Unser Bewertungsprozess basiert auf:

  • Orientierung an CIS-Standards (Center for Internet Security).
  • Richtlinien der Cybersecurity & Infrastructure Security Agency (CISA).
  • Frameworks des National Institute of Standards and Technology (NIST).

Die internen Vorschläge von InfoGuard basieren auf langjähriger Erfahrung in den folgenden Bereichen:

  • Sicherheitsbetrieb und Cyberabwehr
  • Incident Response
  • Compliance und Governance

Sind Sie bereit, Ihre DevOps-Pipeline zu schützen? Ihre digitale Entwicklung verdient Schutz von Anfang an. Lassen Sie nicht zu, dass ein Sicherheitsvorfall Ihre DevSecOps-Verfahren offenlegt. Integrieren Sie Cybersicherheit jetzt proaktiv in Ihren Entwicklungslebenszyklus.
Vereinbaren Sie noch heute Ihre DevOps-Sicherheitsbewertung.

 

Bildlegende: mit KI generiertes Bild
Vollständigen Beitrag anzeigen