DevOps-Ansätze sind inzwischen in den IT-Bereichen vieler Versicherer verbreitet. Dabei geht es darum, dass Entwicklungs- und IT-Betriebs-Aufgaben gemeinsam von einem Team bearbeitet werden, um sicherzustellen, dass die entwickelte Lösung später im IT-Betrieb auch effizient und den Standards entsprechend betrieben werden kann. Nun soll die IT-Sicherheit mit in den Kanon aufgenommen werden, wodurch ein DevSecOps-Ansatz entsteht, berichtet Vincent Wolff-Marting im Blog der Versicherungsforen Leipzig.
Neuentwicklungen oder auch Änderungen von bestehender Software haben Auswirkungen auf den IT-Betrieb. Daher sei es konsequent, IT Operations und Entwicklung zusammenzuführen. Der Ansatz könne zwar auch zu Ineffizienzen führen, zum Beispiel wenn Entwicklungs- und Wartungsaufgaben miteinander konkurrieren, würde insgesamt aber dazu führen, dass Reibungen und der Informationsverlust an den Übergabepunkten reduziert werden.
Um sicherzustellen, dass Sicherheitsaspekte sowohl während der Entwicklung als auch während der Übernahme in den Betrieb beachtet werden, werde das Konzept nun um die IT-Sicherheit erweitert. Damit hätten es Sicherheitsexperten leichter, von vornherein den richtigen Einfluss zu nehmen und nicht erst später im Rahmen einer Auditierung hinzugezogen zu werden. So würden Gefahren beim Wechsel zwischen den Entwicklungs- und Betriebswelten vermieden. Insbesondere vor dem Hintergrund, dass die Versicherungsbranche mit VAIT, MaRisk, KRITIS etc. starke regulatorische Rahmenbedingungen hat, sei dies in klarer Vorteil.
„Zurzeit wird viel nach „Full-Stack-Entwicklern“ gesucht, die alle Fähigkeiten in einer Person vereinen. Möglicherweise ist das gar nicht so klug.“
Das DevSecOps-Konzept funktioniere aber nur, wenn die Kompetenzen aus allen Bereichen in den IT-Teams vorgehalten werden können. Die Frage sei aber, ob es sinnvoll sei, dass Entwickler von Entwicklung bis Betrieb bis Sicherheit alles beherrschen müssen oder ob nicht doch Spezialisten eine höhere Qualität sicherstellen. Zumindest bei größeren Teams sei der Einsatz von Sicherheitsexperten ggf. die bessere Option. Auch könne es sein, dass die Teams unter Zeit- und Ressourcendruck ggf. die IT-Sicherheit depriorisieren.
Ich halte grundsätzlich ein Überladen der Entwicklungsteams mit verschiedenen Aufgaben für kritisch. Während die ursprüngliche DevOps-Idee – also die Vereinigung von Entwicklungs- und Betriebs-Aktivitäten sowie entsprechendem ‑Know-how – in den Teams durchaus sinnvoll ist, wird durch die Integration weiterer Spezial-Skills schnell die Grenze des Leistbaren überschritten. Würde man die Erweiterungen fortschreiben, könnte man DevSecOps genauso gut auch noch um Architekturmanagement zu DevSecArchOps erweitern.
Zudem bedarf die IT-Sicherheit eines gesamtheitlichen Ansatzes. Anwendungen dürfen also nicht einzeln betrachtet werden, stattdessen müssen Sicherheitskonzepte übergreifend entwickelt werden. Hierfür braucht es Einheiten, die unabhängig von Einzelanwendungen aufgestellt sind. Dies gilt analog für das Architekturmanagement.
Originallink aufrufen