Kluft zwischen Entwicklern und Security-Teams

Zwischen Entwickler- und Security-Teams gibt es oft unterschiedliche Auffassungen darüber, wie Security-Richtlinien gehandhabt werden sollten. Das hat die von VMware beauftragte und von Forrester Consulting durchgeführte Studie "Bridging the Developer and Security Divide" ergeben. Weltweit wurden dafür im April diesen Jahres 1.475 IT- und Sicherheitsmanager (einschließlich CIOs und CISOs) befragt, darunter 665 aus Europa.

Ergebnis: Trotz des wachsenden Drucks durch Hacker- und Ransomware-Angriffe wird IT-Security in vielen Unternehmen immer noch als Bremser wahrgenommen. Mehr als die Hälfte der Entwickler sind sogar der Meinung, dass Sicherheitsrichtlinien Innovationen behindern. Nicht einmal ein Fünftel der Entwickler gab an, zu verstehen, warum bestimmte Sicherheitsrichtlinien eingehalten werden müssten. Ein alarmierendes Signal ist auch, dass mehr als ein Viertel (27 Prozent) der befragten Entwickler nicht an Entscheidungen über Security-Richtlinien beteiligt wird, obwohl viele dieser Entscheidungen einen starken Einfluss auf die Softwareentwicklung haben.

Dabei hat eine engere Zusammenarbeit der Entwickler- und Security-Teams durchaus positive Effekte, wie die Umfrage zeigt. Unternehmen, in denen beide Bereiche ein positives Verhältnis zueinander pflegen, können den Software-Entwicklungs-Lebenszyklus im Durchschnitt um fünf Arbeitstage schneller abwickeln als Betriebe, in denen Spannungen auftreten.

Um die Situation zu entschärfen, gibt es allerdings für viele Unternehmen noch eine Menge zu tun. Rund ein Drittel der befragten Entscheidungsträger beklagt, dass die Zusammenarbeit der Teams nicht funktioniert und auch keine Maßnahmen ergriffen werden, um das zu ändern. Unklare Aufgabenbeschreibungen für Entwicklungsteams, eine mangelnde Kommunikation zwischen den Abteilungen und konkurrierende Prioritäten sind Gründe dafür, dass die Situation weiter schwierig bleibt. "Sicherheitsteams arbeiten häufig getrennt von den IT- und Operations-Teams", stellt Armin Müller, Area Vice President und Country Managerbei VMware Deutschland, fest. Dadurch falle es den Betrieben schwer, sich ein ganzheitliches Bild von ihrer Sicherheitsumgebung zu machen.

Entwickler- und Security-Teams sollen enger zusammenarbeiten

Es gibt allerdings auch positive Zeichen: Fast drei Viertel der Interviewten sehen bei ihren Chefs, dass diese an einer besseren Beziehung zwischen Entwicklung und Sicherheit arbeiten. Das lässt auf weitere Fortschritte hoffen. Mehr als die Hälfte erwartet, dass Sicherheits- und Entwicklungsteams innerhalb von drei Jahren enger zusammenarbeiten werden. Für den gleichen Zeitraum rechnen rund 44 Prozent grundsätzlich mit einer stärkeren Integration von Security in Entwicklungsprozesse. Darüber hinaus besteht weitgehend Konsens darüber, dass eine teamübergreifende Abstimmung Unternehmen in die Lage versetzen würde, Silos im Team zu überwinden (71 Prozent), sicherere Anwendungen zu erstellen (71 Prozent) und die Flexibilität bei der Übernahme neuer Arbeitsabläufe und Technologien zu erhöhen (66 Prozent).

"Sicherheit braucht einen Wahrnehmungswandel", fordert Rick McElroy, Principal Cybersecurity Strategist bei VMware. "Anstatt als das Team gesehen zu werden, dass sich nur um Behebungen von Sicherheitslücken kümmert oder der Innovation 'im Weg steht', sollte der Sicherheitsgedanke in den Köpfen, Prozessen und Technologien fest verankert werden." Sicherheit müsse als Mannschaftssport betrachtet werden und Hand in Hand mit IT und Entwicklung arbeiten. Schließlich gehe es um den Schutz der gesamten digitalen Infrastruktur eines Unternehmens. "Wir müssen eine Kultur entwickeln, in der alle Teams gemeinsame Interessen, Ziele und Messgrößen haben und eine gemeinsame Sprache sprechen", empfiehlt der VMware-Manager.