DevSecOps: “Es braucht einen kulturellen Wandel” – Ralf Schmid, Atruvia, im Interview

Der DevSecOps-Ansatz ist in der Software­entwicklung nicht mehr wegzudenken. Auch Atruvia, der Digitalisierungspartner der Genossenschaftlichen FinanzGruppe, hat sich auf diesen Weg gemacht. Was das für das Unternehmen bedeutet und welche Vorteile darin liegen, berichtet Ralf Schmid, Principial Expert Großaufträge bei Atruvia.

Herr Schmid, was versteht man unter DevSecOps?

Der Begriff ist ein Kofferwort und steht für die Verschmelzung von Development (Dev), Security (Sec) und Operations (Ops). DevSecOps erweitert also den bisher schon weit verbreiteten DevOps-Ansatz um Sicherheitsaspekte und geht so einen Schritt weiter. Das Vorgehen ist bereits in vielen Entwicklungsabteilungen erfolgreich etabliert. Und auch wir bei Atruvia haben uns auf diesen Weg gemacht.

Was sind die Vorteile?

Größter Vorteil ist, dass der Sicherheitsaspekt von Beginn an in die Planung und Umsetzung von Software integriert ist.”

Im Grunde ist das die Reaktion auf geänderte und zunehmende Bedrohungsszenarien, schärfere Datenschutzgesetze und Gefahren durch Sicherheitslücken. Wir sehen durch das Vorgehen zwei große Chancen: Auf der einen Seite profitieren unsere Entwicklerinnen und Entwickler von den bereits aus dem DevOps-Ansatz gewohnten, dynamischeren Entwicklungszyklen. Andererseits erhöhen wir die Zuverlässigkeit unseres IT-Betriebs.

Im besten Fall können wir Sicherheits- und Qualitätschecks automatisieren und dadurch zudem die Geschwindigkeit erhöhen.”

Außerdem arbeiten Expertinnen und Experten aus crossfunktional zusammengesetzten Teams zusammen, was die Schlagkraft nochmals verstärkt. Am Ende erhöhen wir durch all das die Qualität, die Sicherheit und die Compliance unserer Anwendungen, gleichzeitig verkürzen wir die Time-to-market.

Stichwort Zusammenarbeit: Was ist aus Ihrer Sicht dabei mit Blick auf den DevSecOps-Ansatz wichtig?

Eins ist entscheidend:

DevSecOps ist deutlich mehr als der Einsatz einer Tool-Landschaft.”

Um den Ansatz erfolgreich zu implementieren, braucht es einen kulturellen Wandel, der das Denken in Silos aufbricht und die Zusammenarbeit zwischen verschiedenen Teams fördert. Fachexpertinnen und -experten, Designerinnen und Designer, Entwicklerinnen und Entwickler, Testerinnen und Tester, Anwendungsbetrieb und Kundensupport arbeiten in einem Tribe – also in einer Facheinheit – zusammen und profitieren durch den Austausch vom 360-Grad-Blick auf ein Thema. So können alle ihre Expertise frühzeitig mit einbringen – zum Wohle der Kunden und des Produkts. Damit dieser Wandel gelingen kann, ist eine grundsätzliche Offenheit für Kommunikation und Zusammenarbeit und ein Bewusstsein aller Beteiligten für Sicherheitsthemen wichtig.

Für Atruvia als Digitalisierungspartner in der Finanzbranche sind Sicherheit und Compliance dabei ohnehin von größter Bedeutung und liegen geradezu in unserer DNA.”

Gerade deshalb ist es uns wichtig, dem kulturellen Aspekt einen hohen Stellenwert beim Change hin zu DevSecOps einzuräumen. Das Team kann und soll die Verantwortung für den gesamten Prozess der Softwarebereitstellung übernehmen, nicht mehr nur für einzelne Aspekte.

Silogrenzen müssen fallen, Zusammenarbeit über Abteilungsgrenzen hinweg ist ein entscheidender Erfolgsfaktor. Gibt es diesbezüglich Erfahrungen, auf denen Atruvia bei der DevSecOps-Einführung aufbauen kann?

Wir haben wichtige Erfahrungswerte aus zwei großen Vorhaben: Die agile Arbeitsweise haben wir in größerem Rahmen erstmals ab 2018 in unserem Großprojekt „KundenFokus“ erprobt – und viele positive Erfahrungen gesammelt. Mit der Einführung unseres neuen Zusammenarbeitsmodells im Oktober 2020 haben wir dann im gesamten Unternehmen entscheidende organisatorische Grundlagen gelegt:

weg von der klassischen Wasserfallorganisation und hin zu kleinen, schlagkräftigen und agilen Teams. Von dieser Vorarbeit profitieren wir jetzt bei der Einführung von DevSecOps.”

Was kann dabei helfen, die Mitarbeiter auf dem Weg mitzunehmen?

Kommunikation ist ein entscheidender Faktor, wie immer, wenn man eine große Change vor den Füßen hat. Zusätzlich braucht es Schulungen.

Alles mit dem Ziel, das Sicherheitsbewusstsein in der gesamten Organisation zu fördern und die Mitarbeitenden auf dem Weg in die „neue Welt“ mitzunehmen.”

In den Schulungen vermitteln wir Inhalte und Tools und insbesondere die neuen Prozesse und das geänderte Mindset. Die Frage, wie wir zusammenarbeiten wollen, ist uns dabei viel wichtiger als die konkrete Umsetzung in Werkzeugen – wenngleich diese die neue Arbeitsweise natürlich optimal unterstützen. Deshalb setzen wir hier stark auf interaktive Formate und Hands-on-Erlebnisse, zum Beispiel „Capture-the-flag“-Simulationen, in denen sich die Teams in einer geschützten Umgebung spielerisch miteinander messen können.

Welche Herausforderungen sehen Sie bei und nach der Einführung von DevSecOps?

Einerseits sind da die genannten kulturellen Aspekte, die die Zusammenarbeit untereinander betreffen. Wenn wir durch den neuen Ansatz aber schneller werden, bedeutet das gleichzeitig aber auch, dass die Intervalle zwischen Software-Releases kürzer werden. Das kann zu Zeitdruck in den Entwicklungsteams führen. Die Kunst ist es, Sicherheitsaspekte dann eben nicht zu vernachlässigen, weil sie in der konkreten Entwicklung nicht die größte Rolle spielen – sondern im Gegenteil den Fokus scharfgestellt zu lassen.

Denn Fehler und Schwachstellen, die im Prozess der Bereitstellung von Software erst spät entdeckt werden, sind teuer und aufwändig zu beheben.”

Je eher wir also auf Probleme stoßen, desto günstiger für alle Beteiligten – und zwar mit Blick auf Zeit und Geld. Zumal Sicherheitsschwachstellen, die erst nach der Veröffentlichung entdeckt werden, größere Datenlecks und Reputationsschäden nach sich ziehen könnten. Das gilt es – besonders in der Rolle von Atruvia – unbedingt zu vermeiden.

Wie lange dauert es, bis DevSecOps erfolgreich eingeführt ist?

Wir bei Atruvia machen seit der Einführung unseres neuen Zusammenarbeitsmodells die Erfahrung, dass eine derartige Transformation nie ganz abgeschlossen ist. Und so sehen wir auch DevSecOps nicht als einmalige Implementierung unterschiedlicher Entwicklungs- und Sicherheitstools, sondern als eine kontinuierliche Reise: Es geht darum, Sicherheitsaspekte von Anfang an und dann im gesamten Prozess zu berücksichtigen. Und wir wollen – wo das möglich ist – alle Schritte automatisieren. Das ist aber ein Prozess, der eine Veränderung in der Denkweise und in der Zusammenarbeit erfordert. In dem Sinne ist DevSecOps auch mehr als eine Sammlung von Tools und Prozessen. Wir setzen dabei auf die Toolsuite von GitLab. Denn diese passt sehr gut zu unserer Arbeitsweise und ermöglicht es uns, den Teams die unterschiedlichen Aspekte über den Produktlebenszyklus in einer einheitlichen Oberfläche zu präsentieren. Dadurch verringern wir die manuellen Schritte und die Kontextwechsel und können uns stärker auf die inhaltliche Arbeit konzentrieren.

Die Arbeitsweise im DevSecOps-Ansatz ist eine Transformation, die eine enge Zusammenarbeit, offene Kommunikation und eine ständige Verbesserung fördert. Langfristig sichern wir so den Weg zu mehr Qualität, Sicherheit und Lieferfähigkeit.”

aj