DevOps am Limit: Wie DevSecOps vor Cyberrisiken schützt

DevOps ist längst in der Breite angekommen, doch die Sicherheitsdimension hält mit dieser Entwicklung nicht Schritt. Laut dem aktuellen «DevOps in Switzerland Report 2025» von VSHN und Zühlke nutzt bereits ein Drittel der Unternehmen, die DevOps für die Softwareentwicklung einsetzen, KI zur Automatisierung repetitiver Aufgaben oder zur Verbesserung der Codequalität. Obwohl DevOps-Praktiken in der Tech-Szene begeistert aufgenommen werden, ist die Sicherheit ein entscheidender Faktor, der häufig übersehen wird.

DevOps-Praktiken werden von fast 88 % der befragten Unternehmen eingesetzt. Eine beeindruckende Zahl, die die bereits tiefe Verankerung dieser Arbeitsweise verdeutlicht. Laut den Autoren der Studie halten IT-Unternehmen derzeit einen Anteil von 45 Prozent. Andere Branchen haben ihren Marktanteil ausgebaut: 20 % der DevOps-Unternehmen sind in der Beratung tätig, 16 % im Bank- und Finanzwesen. Auch im öffentlichen Sektor wird DevOps immer beliebter. 

Was ist DevSecOps? Zwei Definitionen, von NIST und US Department of Defense (DoD)

1. Die Definition des NIST besagt, dass DevSecOps durch die Integration von Sicherheitspraktiken und die automatische Erstellung von Sicherheits- und Compliance-Artefakten über Prozesse und Umgebungen hinweg dazu beiträgt, dass Sicherheit als Teil aller DevOps-Praktiken berücksichtigt wird.
2. Eine weit ausführlichere Definition liefert das US-Verteidigungsministerium (DoD): DevSecOps ist ein Konglomerat aus Software-Engineering-Techniken, -Verfahren und -Instrumenten, die Softwareentwicklung (Dev), Sicherheit (Sec) und Betrieb (Ops) integrieren.

Im Zentrum des DevSecOps-Paradigmas steht Security by Design – der Anspruch, Sicherheit nicht anzuflanschen, sondern in jede Phase des Entwicklungsprozesses einzubauen.

Was DevSecOps bedeutet:

• Shift-Left-Sicherheit: Sicherheitstests während der Entwicklungsphase.
• CI/CD: Einbezug automatisierter Sicherheitsprüfungen in CI/CD-Pipelines.
• Ständige Compliance: Code-basierte regulatorische Anforderungen.
• Geteilte Verantwortung: Jedes Teammitglied ist für die Aufrechterhaltung der Sicherheit verantwortlich.
• Zero-Trust-Architektur: Zero Trust muss das Ziel-Sicherheitsmodell für Cybersicherheit in DevSecOps-Softwarefabriken und -Plattformen sein.

Die grosse Herausforderung: Die Software-Lieferkette

Der Erfolg von DevSecOps erfordert ein Verständnis der Software-Lieferkette. Alle Hardware, Infrastructure as a Service (IaaS), Platform as a Service (PaaS), Software as a Service (SaaS), Tools und Verfahren, die kombiniert werden, um bestimmte Softwarefunktionen bereitzustellen, sind Teil der Software-Lieferkette, die eine logistische Route darstellt.

Die besondere Herausforderung im Finanzsektor: Innovation und Compliance

DevSecOps ist eher eine Notwendigkeit als ein Luxus, insbesondere in der Schweiz mit ihrem robusten Finanzsektor und strengen Datenschutzbestimmungen. Das Problem: Wie lässt sich ein Gleichgewicht zwischen Innovationsbedarf und regulatorischen Anforderungen finden?

Laut der zitierten Studie sind Plattform-Engineering-Teams mittlerweile in 54 % der Schweizer Unternehmen vertreten. Diese Gruppen sind für die Entwicklung sicherer Plattformen, die Agilität und Compliance ermöglichen, unverzichtbar.

KI als Revolution in DevSecOps

Durch die Einbindung künstlicher Intelligenz werden die Spielregeln grundlegend verändert. KI wird von den DevOps-Teams am häufigsten eingesetzt, um repetitive Aufgaben zu automatisieren (22 Prozent), Vorfälle zu verhindern und die Codequalität zu verbessern (jeweils rund 19 Prozent).

KI eröffnet DevSecOps völlig neue Möglichkeiten:

1. Sinnvolle Identifizierung von Schwachstellen
   KI-Systeme sind nicht nur in der Lage, Sicherheitslücken zu identifizieren, sondern auch deren Schweregrad zu bewerten und mögliche Lösungen anzubieten. Echtzeit-Codeüberprüfungen haben den bisher notwendigen stundenlangen Prozess ersetzt.
2. Auffinden von Anomalien in Produktionsumgebungen
   Algorithmen für maschinelles Lernen erfassen das «normale» Verhalten einer Anwendung und schlagen bei verdächtigen Aktivitäten sofort Alarm, oft noch bevor ein menschlicher Bediener überhaupt bemerkt, dass etwas nicht stimmt.
3. Automatisierte Behebung von Sicherheitslücken
   KI wird von 28 % der Teams für die Codeüberprüfung und -analyse eingesetzt. KI, die Probleme nicht nur erkennt, sondern auch automatisch behebt, ist die nächste Entwicklungsstufe.
   

Sicherheit von CI/CD-Pipelines: Das Herzstück von DevSecOps

Böswillige Cyberakteure (MCAs) betrachten Software-Lieferketten und CI/CD-Umgebungen als attraktive Ziele, wie aus den Richtlinien der NSA und CISA hervorgeht. Die Gefahren sind zahlreich und komplex:

Drei typische Risiken für die CI/CD-Sicherheit sind:

1. Unsicherer Code: Durch die Integration von Code von Drittanbietern und das Versäumnis, Quellcodekomponenten zu scannen, können Schwachstellen in eine CI/CD-Pipeline. eingeschleust werden.
2. Ausführung vergifteter Pipelines: MCAs nutzen diese Technik, um die CI-Pipeline zu kontaminieren. Mit dieser Methode können MCAs den Build-Prozess manipulieren, indem sie Berechtigungen in Repositorys für die Quellcodeverwaltung missbrauchen.
3. Offenlegung von Geheimnissen: Um Zugriff auf eine Vielzahl sensibler Ressourcen, darunter Datenbanken und Codebasen, zu erhalten, verwenden Cloud-native CI/CD-Tools eine Reihe von Geheimnissen.

Drei wichtige Sicherheitsmassnahmen für CI/CD-Pipelines:

1. Zero Trust in CI/CD: Diese Technik hilft dabei, erfolgreiche Kompromittierungen der Umgebung zu identifizieren und zu verhindern, indem sichergestellt wird, dass kein Benutzer, Endgerät oder Prozess vollständig vertrauenswürdig ist.
2. Integrieren Sie ein statisches Code-Analyse-Tool in den Build-Prozess, um den Code auf häufige Sicherheitslücken und Compliance-Probleme zu überprüfen.
3. Implementierung von SBOM: Durch die Unterstützung bei der Verfolgung aller Open-Source- und Drittkomponenten innerhalb der Codebasis können SBOM und SCA sowohl für DevSecOps als auch für den Softwareentwicklungslebenszyklus (SDLC) von Vorteil sein.
   

Plattform-Engineering als Wegbereiter für Sicherheit

Eine Sammlung von Ressourcen und Fähigkeiten, die als Grundlage für die Entwicklung und den Betrieb zusätzlicher Funktionen oder Dienste innerhalb desselben technischen Rahmens dienen, wird als DevSecOps-Plattform bezeichnet.

Dank Plattform-Engineering können Entwicklerteams unabhängig voneinander in standardisierten, sicheren Umgebungen arbeiten. Dies beinhaltet:

• Sicherheitsvorkehrungen: Automatisch durchgesetzte, vordefinierte Sicherheitsrichtlinien
• Compliance as Code: Die Plattform integriert regulatorische Anforderungen
• Self-Service-Sicherheit: Entwickler können Sicherheits-Tools selbstständig nutzen.

Der Zustand, der als Continuous Authorization oder cATO bezeichnet wird, ist erreicht, wenn das Unternehmen, das ein System erstellt, schützt und betreibt, nachweislich reif genug ist, um eine robuste Cybersicherheitslage aufrechtzuerhalten.

Die Grafsche Methode: Mit der Theorie der FHNW zur Praxis

Laut Prof. Dr. Sebastian Graf von der Fachhochschule Nordwestschweiz FHNW «denkt DevOps nicht in Projekten, sondern in Produkten». Der Schlüssel zum Erfolg von DevSecOps liegt in genau dieser Produktorientierung – und in einem methodischen Ansatz, der Technologie, Verfahren und Denkweise konsequent verbindet.

Ein Schlüsselelement von Zero Trust ist DevSecOps: Entwicklungs- und Engineering-Teams arbeiten eng zusammen, getragen von einer klaren Vision und einer strukturierten Strategie.

Damit DevSecOps vollständig umgesetzt werden kann, müssen laut den Grundlagen des US-Verteidigungsministeriums Sicherheits- und Funktionsfähigkeiten in jeder Phase des Lebenszyklus entwickelt, getestet und verfolgt werden – lange bevor Probleme die Produktion überhaupt erreichen können.

Plattformen, NIST, offene Standards: Zentrale Bausteine moderner Software-Sicherheit

Nutzen Sie integrierte Plattformen:

• Code-Management, Pipelines, Planung und Sicherheitsanalysen sind in Plattformen wie GitLab enthalten, in der Regel in höheren/Premium-Abonnements.
• Die teamübergreifende Zusammenarbeit wird durch einen integrierten Prozess gefördert.
• Verwenden Sie konsolidierte Lösungen, um die Verbreitung von Tools zu verhindern.
• Setzen Sie gründliche Sicherheitsscanner ein.

Nach NIST SP 800-204D sind folgende relevant:

• Codeanalyse mit SAST (Static Application Security Testing.Verwenden Sie für Laufzeittests DAST (Dynamic Application Security Testing).
• Software Composition Analysis (SCA) für die Abhängigkeitsprüfung.
• Bildsicherheit durch Containerscanning.
• «Secret Scanning» zum Schutz vertraulicher Anmeldedaten zum Schutz vertraulicher Anmeldedaten.

Verwenden Sie offene Standards:

• Software Bill of Materials (SBOM) für CycloneDX: Transparenz.
• SPDX: Verfolgung von Komponenten und Einhaltung von Lizenzen.
  Supply Chain Security Framework (SLSA).
  Jedes Unternehmen sollte diese von der OpenSSF (Open Source Security Foundation) empfohlenen Standards kennen.
  

Cloud-Security im Wandel: Die 6 grössten Bedrohungen ffür DevSecOps

Laut aktuellen Studien der Cloud Security Alliance muss DevSecOps die folgenden kritischen Bedrohungen angehen.

• Ungesicherte Softwareentwicklung: Aufgrund der Komplexität des Cloud Computing können Entwickler versehentlich unsichere Software mit ausnutzbaren Schwachstellen erstellen.
• Unzureichende Änderungskontrolle und Fehlkonfigurationen.
• Schwächen bei der Identitäts- und Zugriffsverwaltung.
• Unsichere APIs und Schnittstellen.
• Eingeschränkte Beobachtbarkeit/Sichtbarkeit der Cloud.
• APTs (Advanced Persistent Threats, fortgeschrittene persistente Bedrohungen).

DevSecOps-Reife: Was Unternehmen für eine sichere Zukunft brauchen

Für DevSecOps bedeutet dies, dass zwar die Tools und Technologien verfügbar sind, aber eine sorgfältige Implementierung zum Erfolg führt. In kleinen und mittleren Unternehmen verläuft die Einführung von DevOps besonders gut. Grössere Unternehmen hingegen haben Schwierigkeiten, zu wachsen.

«Das Geheimnis langfristiger Sicherheit ist die vollständige Unabhängigkeit von Anbietern.»

Die Reduzierung der Abhängigkeit von Anbietern und die Gewährleistung der Freiheit der Systemkomponenten sind ebenfalls wichtige Aspekte, wenn es um eine sichere Software-Lieferkette geht.

Warum ist DevSecOps Open Source?

Aufgrund der leichteren Austauschbarkeit von Anbietern und Komponenten bieten Open-Source-Lösungen eine grössere Flexibilität. Die Open-Source-Landschaft entwickelt sich trotz Hindernissen wie Lizenzänderungen oder Finanzierungsproblemen für bestimmte Projekte positiv.

Vorschläge für Schweizer Unternehmen:

• Denken Sie über Alternativen zu etablierten Marktführern nach.
• Prüfen Sie offene Infrastrukturoptionen.
• Um Sicherheitsdienste nutzen zu können, schliessen Sie Unternehmensabonnements ab.
• Pflegen Sie das Open-Source-Ökosystem auf nachhaltige Weise.

Dieser Ansatz verbessert die Transparenz und Kontrolle über Ihre eigene Sicherheitsinfrastruktur und verringert gleichzeitig die Bindung an einen bestimmten Anbieter.

Die 4-Phasen-Umsetzung: Der Business Case für DevSecOps

DevSecOps ist laut einer Studie des NIST entscheidend für die Minimierung von Schwachstellen, bösartigem Code und anderen Sicherheitsproblemen in Software, ohne die Code-Entwicklung und Releases zu verzögern. Auf dieser Erkenntnis aufbauend beginnt eine schrittweise Entwicklung zur echten DevSecOps-Reife.

Der Weg zur DevSecOps-Reife umfasst 4 entscheidende Phasen:

1. Erste Nutzung

• Beginnen Sie mit Pilotprojekten.
• Achten Sie auf kurzfristige Gewinne.
• Schaffen Sie ein Netzwerk und Sicherheitsbeauftragte.

2. Integration und Skalierung

• Erhöhen Sie die Anzahl der Teams.
• Integrieren Sie Sicherheitstools in jede Pipeline.
• Legen Sie KPIs und Sicherheitsmetriken fest.

3. Innovation und Optimierung

• Nutzen Sie ML und KI zur Verbesserung der Sicherheit.
• Setzen Sie prädiktive Sicherheitsanalysen in die Praxis um.
• Erlangen Sie kontinuierliche Autorisierung (cATO).

4. Strategiewechsel

• Sicherheit wird zum Wegbereiter für das Geschäft.
• Vollständige Ausrichtung an den Unternehmenszielen.
• Führende Position in der Branche für sichere Entwicklung.

DevSecOps als Wettbewerbsvorteil: Warum sichere Entwicklung schneller macht

Durch DevSecOps wird Sicherheit von einem Hemmnis zum Booster. Unternehmen können es sich in Zeiten zunehmender Cyberangriffe und strengerer Vorschriften nicht leisten, Sicherheit als sekundären Prozess zu behandeln.

Die gute Nachricht ist, dass die Tech-Community auf dem richtigen Weg ist. Mit dem zunehmenden Einsatz von KI, der Einführung von DevOps-Praktiken und der Schaffung von Plattform-Engineering-Teams sind die Grundlagen geschaffen.

Die aktuelle Herausforderung besteht darin, Sicherheit als wesentlichen Bestandteil der Produktentwicklung zu betrachten und nicht als Zusatz. Unternehmen schaffen eine sichere und nachhaltige Entwicklungsumgebung, indem sie integrierte Plattformen nutzen, offene Standards wie CycloneDX und SLSA einführen und Vendor Lock-ins sorgfältig vermeiden.

Um Risiken in jeder Phase zu reduzieren, nutzt DevSecOps die kombinierte Erfahrung und das Wissen der gesamten Software-Lieferkette, wie das US-Verteidigungsministerium betont.

Denn wer sicher entwickelt, entwickelt in der digitalen Wirtschaft in der Regel auch schneller. Und die schnellsten Entwickler gewinnen, insbesondere wenn es um offene Standards und Herstellerunabhängigkeit geht.

Schützen Sie Ihre DevOps-Reise mit InfoGuard als Partnerin

Der erste Schritt besteht darin, DevSecOps zu verstehen; die eigentliche Schwierigkeit liegt in der erfolgreichen Umsetzung. Wir können Sie unterstützen, wenn Sie bereit sind, die Sicherheit Ihres Softwareentwicklungsprozesses zu ändern, aber professionelle Beratung benötigen.

Die zentralen Vorteile Ihrer DevOps-Sicherheitsbewertung:

• Technische Sicherheit stärken: Gründliche Analyse Ihrer Plattform, Identifikation kritischer Schwachstellen und klare Empfehlungen zur Härtung nach Branchenstandards.
• Prozessreife erhöhen: Bewertung Ihrer DevSecOps-Verfahren, Erkennen von Lücken gegenüber Best Practices und eine Roadmap für Optimierung und Skalierung.
• Sichere Entwicklung verankern: Prüfung Ihrer Softwareentwicklung, Integration von Sicherheitsmassnahmen entlang des gesamten SDLC und konkrete Shift-Left-Empfehlungen.
• Standards verlässlich erfüllen: Bewertung auf Basis von CIS-, CISA- und NIST-Frameworks für eine nachvollziehbare, auditfeste und standardkonforme Sicherheitsarchitektur.

Sind Sie bereit, Ihre DevOps-Pipeline zu schützen? Lassen Sie nicht zu, dass ein Sicherheitsvorfall Ihre DevSecOps-Verfahren offenlegt. Integrieren Sie Sicherheit proaktiv in Ihren Entwicklungslebenszyklus. Kontaktieren Sie uns und vereinbaren Sie jetzt Ihre individuelle DevOps-Sicherheitsbewertung mit InfoGuard.

Bildlegende: mit KI generiertes Bild