False Positives, verbrannte Entwickler: Warum Solaris ‘MetaScan’ beerdigte und per Cycode ein AppSec-Bank ist

Kaum eine Branche ist in Europa so stark reguliert wie der Finanzsektor. Entsprechend groß war der Druck auf Solaris, höchste Standards in Sachen IT-Sicherheit und Compliance zu erfüllen. Das deutsche Technologieunternehmen mit Vollbanklizenz stellt über Europas führende Embedded-Finance-Plattform zahlreiche Finanz­dienstleistungen bereit. Unternehmen können digitales Banking, Transaktionsabwicklung, Kartenmanagement sowie Identifikations- und Kreditservices so direkt via Programmier­schnittstellen (APIs) in ihre eigenen Anwendungen integrieren.

von Nuno Teodoro, Solaris SE

Um die hohen Sicherheits- und Compliance-Anforderungen zu erfüllen, setzte die Solaris auf ein intern entwickeltes Tool namens „MetaScan“. Die Anwendung vereinte quelloffene und proprietäre Scanner für die Software Composition Analysis (SCA), das Static Application Security Testing (SAST), IaC (Infrastructure as Code)-Architekturen und Container-Anwendungen. „Obwohl MetaScan die Visibilität über potenzielle Schwachstellen in unseren Anwendungen maßgeblich verbesserte, fehlte es unserem Tool an Kapazitäten, um die gesamte Infrastruktur abzudecken. Außerdem war es schwer zu warten, schwer zu pflegen und hatte eine hohe Quote an False Positives und False Negatives“, erklärt Nuno Teodoro, Head of Group Cybersecurity, Solaris SE.

Bei der IT-Abteilung und speziell bei den Entwicklern führte dieser Umstand dazu, dass sie aus Frustration Alerts oft komplett ignorierten. Die Ungenauigkeit der Fehlermeldungen machte zudem die sinnvolle Absicherung der CI (Continuous Integration)-Pipelines praktisch unmöglich. Erschwerend kam hinzu, dass pauschalisierte Richtlinien für Compliance und Cybersicherheit ohne risikobasierte Priorisierung zu überhasteten Reaktionen auf weniger relevante Probleme führten – während kritische Schwachstellen vernachlässigt wurden.

Am Ende war es Solaris oft schwer möglich, Service Level Agreements (SLAs) einzuhalten, da eine gewisse Alert Fatigue und schlicht Misstrauen in die eingesetzte Sicherheitstechnologie vorherrschte. Kurz gesagt: Die Cybersicherheit der eigenen Anwendungen wurde als Hindernis wahrgenommen. Das wirkte sich auch negativ auf die Kultur in der IT-Abteilung aus: Entwickler standen Prozessen plötzlich skeptisch gegenüber und die Compliance-Teams konnten weder den Regulatoren noch dem Vorstand sinnvolle Risikokennzahlen vermitteln.

Was wir brauchten war eine Lösung, die das fragmentierte Tooling in einer Plattform bündelt, Sicherheitskontrollen in den Entwicklungsprozess integriert und risikobasiertes Feedback liefert.“

Kimberly Mattheys, Head of AppSec and DevSecOps at Solaris

Wichtige Anforderungen waren die Möglichkeit, die Plattform lokal zu betreiben, die Unterstützung möglichst vieler Programmiersprachen sowie eine nahtlose Integration in vorhandene CI/CD-Pipelines und die bestehende IT-Architektur. Zudem musste die Lösung anpassbare Policies für verschiedene Applikationen unterstützen und für die Risikopriorisierung sowohl den technologischen als auch den geschäftlichen Kontext berückstichtigen.

„Uns war es auch wichtig, dass die Software-Lösung, für die wir uns entscheiden, das Zusammenspiel zwischen Technologie, Mitarbeitenden und Prozessen vorantreibt, denn wir wollten unbedingt DevSecOps-Methoden etablieren. Dazu war es dringend erforderlich, dass unser AppSec-Tool Entwicklungs-, Security- und Engineering-Abteilung gleichermaßen abholt“, ergänzt Teodoro.

Mehr Transparenz und Sicherheit auf allen Ebenen

Nach Evaluierung mehrerer Anbieter entschied sich Solaris für Cycode als zentrale Technologie für ihre Anwendungssicherheit. Ausschlaggebend waren der breite Funktionsumfang, flexible Deployment-Optionen mit Datenhaltung in der EU und die nahtlose Integration in die heterogene Technologielandschaft. Cycode vereint SAST-, SCA-, IaC- und Secrets-Scanning sowie elaborierte Container-Sicherheitsfunktionen in einer Plattform, die sich leicht in bestehende CI/CD-Prozesse einbetten lässt.

Fairerweise müssen wir zugeben, dass die Einführung nicht reibungslos verlief. Die interne Infrastruktur und das On-premises-Deployment erforderten ein wenig Troubleshooting und kleinere Anpassungen. Die Entwickler waren anfangs ebenfalls noch etwas zurückhaltend gegenüber einem neuen Tool.”

Kimberly Mattheys, Head of AppSec and DevSecOps at Solaris

Mit Unterstützung von Cycode konnte Solaris jedoch Sicherheits-Guardrails in die CI-Pipelines integrieren und einheitliche Risikotransparenz gewinnen. Nach zwei Jahren On-premises-Nutzung erfolgte schließlich die Migration zu einer SaaS-Lösung, die nur durch das große Vertrauen in die Lösung von Cycode überhaupt denkbar war. Die Umstellung auf die Software-as-a-Service-Plattform war schließlich ein großer Erfolg, denn dadurch war die Solaris SE in der Lage, das volle Potenzial der Plattform auszureizen. Seitdem arbeiten die Expertinnen und Experten von Cycode hart, um den Anforderungen der Entwicklungsabteilung von Solaris und den Branchenrichtlinien der Finanzsektors für sichere Software-Development-Lifecycle-Prozesse (sSDLC) gerecht zu werden:

Solaris fordert Cycode regelmäßig heraus, False Positives weiter zu reduzieren, die kontextbasierte Risikopriorisierung zu verbessern und maßgeschneiderte Policies für unterschiedliche Anwendungen zu ermöglichen.”

Gleichzeitig führen Awareness- und Enablement-Programme zu größerer Akzeptanz, da Entwickler relevantes Feedback in ihren Workflows erhalten und erkennen, wie Verstöße innerhalb der Plattform von Cycode mit realen Risiken im Live-Betrieb zusammenhängen.

Eine kontinuierliche Entwicklung

Mit der Einführung von Cycode hat die Solaris SE den Reifegrad ihrer Anwendungssicherheit spürbar erhöht. Indem das Unternehmen ihr Homebrew-Tooling durch eine einheitliche Plattform ersetzt hat, konnte Solaris die Komplexität und die Masse an Alerts in den DevSecOps-Workflows deutlich reduzieren. Sicherheitskontrollen sind nun in die CI/CD-Pipelines eingebettet, und statt passiver Warnmeldungen gibt es sogenannte „Guardrails“, anhand derer die Plattform proaktiv Feedback zu nicht-konformen Builds gibt, ohne innovative Entwicklungsarbeit zu behindern. Gleichzeitig haben kontextbasierte sowie risikoorientierte Alerts und flexible Policies die Akzeptanz in der Belegschaft für die neue AppSec-Lösung gesteigert und die Bearbeitung echter Risiken beschleunigt. Aus Governance- und Compliance-Perspektive ist das Risiko-Scoring-System von Cycode heute ein zentraler Bestandteil des Reportings an den Vorstand der Solaris SE.

Das Management erhält auf diese Weise eine klarere Sicht auf das Risikoprofil und die Compliance-Prozesse sind insgesamt effizienter. Anwendungssicherheit ist somit nicht länger nur eine technische Herausforderung, sondern eine strategische Initiative, die auf allen Ebenen unterstützt wird.

Das Ende der Fahnenstange ist damit allerdings noch nicht erreicht, denn die Partnerschaft zwischen der Solaris SE und Cycode entwickelt sich ständig weiter. Beide Teams arbeiten eng an Roadmap-Abstimmungen zusammen, geben Feedback zu neuen potenziellen Features und bemühen sich um kontinuierliche Erweiterungen.

Zudem ist die Integration mit Cycode (Website) mittlerweile eine Kernanforderung bei der Evaluierung neuer Lösungen für die Cloud-Security und das Vulnerability-Management.

Die Zentrale Ergebnisse

• 99 % SLA-Compliance bei kritischen Schwachstellen
• Mean Time to Repair (MTTR) für kritische Probleme um 61 % reduziert
• Compliance-Status um 76 % verbessert
• Zeit für Triage um 99 % reduziert: von 3 Tagen auf unter 60 Minuten
• 46 % der hochriskanten Sicherheitsverstöße wurden automatisch behoben
• Feedback-Zyklus für Entwickler um 66 % verkürzt
• DevSecOps-Engagement stieg von null vor Cycode auf nahezu sofortige Reaktion, mit den meisten Entwicklern, die innerhalb von 30 Minuten auf Alerts reagierenNuno Teodoro, Solaris SE