In der Softwareentwicklung ist der DevSecOps-Ansatz nicht mehr wegzudenken. Auch Atruvia, der Digitalisierungspartner der Genossenschaftlichen FinanzGruppe, hat sich auf diesen Weg gemacht und dabei festgestellt: DevSecOps ist viel mehr als ein Framework. Der Ansatz bedeutet nicht weniger als einen kulturellen Wandel.
Die Vorteile von DevSecOps
DevSecOps (Development, Security, Operations) entwickelt den DevOps-Ansatz weiter, der bereits in vielen Entwicklungsabteilungen erfolgreich etabliert ist. Denn DevSecOps integriert den Sicherheitsaspekt von Beginn an in die Planung und Umsetzung von Software. Auf diese Weise reagiert Atruvia auf geänderte und zunehmende Bedrohungsszenarien, schärfere Datenschutzgesetze und Gefahren durch Sicherheitslücken. Entwickler*innen profitieren so einerseits von den aus dem DevOps-Ansatz gewohnten, dynamischeren Entwicklungszyklen und erhöhen andererseits die Zuverlässigkeit des IT-Betriebs. Sicherheits- und Qualitätschecks werden im besten Fall automatisiert, die Geschwindigkeit erhöht sich. Zudem arbeiten Expert*innen aus cross-funktional zusammengesetzten Teams zusammen, was die Schlagkraft nochmals verstärkt. Am Ende erhöhen sich Qualität, Sicherheit und Compliance unserer Anwendungen, gleichzeitig verkürzt sich die Time-to-market. Viele Unternehmen nutzen dafür eigens spezielle Tools.
DevSecOps als kultureller Wandel
DevSecOps ist aber deutlich mehr als der Einsatz einer speziellen Tool-Landschaft. Um den Ansatz erfolgreich zu implementieren, braucht es einen kulturellen Wandel, der das Denken in Silos aufbricht und die Zusammenarbeit in verschiedenen Teams verstärkt. Dieser Wandel erfordert eine Offenheit für Kommunikation und Zusammenarbeit und ein Bewusstsein aller Beteiligten für Sicherheitsthemen. Denn Sicherheit und Compliance sind für Atruvia als Digitalisierungspartner in der Finanzbranche von zentraler Bedeutung. Gerade deswegen ist es uns wichtig, dem kulturellen Aspekt einen hohen Stellenwert beim Change hin zu DevSecOps einzuräumen. Mitarbeitende sollen die Verantwortung für den gesamten Prozess der Softwarebereitstellung übernehmen, nicht mehr nur für einzelne Aspekte.
Zusammenarbeit im Fokus, Silos müssen fallen
DevSecOps erfordert also eine neue Art der Zusammenarbeit über die Grenzen einzelner Facheinheiten hinweg. Erste positive Erfahrungen damit sammelten wir bei Atruvia bereits seit 2018 im Rahmen unseres agilen Großprojekts KundenFokus. Mit der Einführung unseres neuen Zusammenarbeitsmodells legten wir dann wichtige organisatorische Grundlagen im gesamten Unternehmen: weg von der klassischen Wasserfallorganisation und hin zu kleinen, schlagkräftigen und agilen Teams. Von dieser Vorarbeit profitieren wir jetzt bei der Einführung von DevSecOps. Und wir setzen verstärkt auf Schulungen, um die Mitarbeitenden mitzunehmen und gut in die „neue Welt“ zu bringen.
DevSecOps ist eine Reise
Bei Atruvia machen wir seit mehr als drei Jahren die Erfahrung, dass eine Transformation nie ganz abgeschlossen ist. Und so sehen wir auch DevSecOps nicht als einmalige Implementierung unterschiedlicher Sicherheitstools, sondern als eine kontinuierliche Reise: Es geht darum, Sicherheitsaspekte von Anfang an und dann im gesamten Prozess zu berücksichtigen. Und wir wollen – wo das möglich ist – alle Schritte automatisieren.
Fazit: DevSecOps ist eine kulturelle Transformation
DevSecOps ist ein kontinuierlicher Prozess, der eine Veränderung in der Denkweise und in der Zusammenarbeit erfordert. Der Ansatz ist die Antwort der Softwareentwicklung auf die steigenden Sicherheitsanforderungen in einer zunehmend vernetzten Welt. In dem Sinne ist DevSecOps auch mehr als eine Sammlung von Tools und Prozessen. Es ist eine Transformation, die eine enge Zusammenarbeit, offene Kommunikation und eine ständige Verbesserung fördert. Langfristig sichert DevSecOps so den Weg zu mehr Qualität, Sicherheit und Lieferfähigkeit. Wir haben diesen Weg bereits eingeschlagen – und das voller Überzeugung.