SolarWinds: Sollte Sicherheit in InfoSec oder DevOps angesiedelt sein?

Der im Dezember 2020 entdeckte Cyberangriff auf SolarWinds betraf zahlreiche Regierungsbehörden und private Unternehmen weltweit. Der Vorfall weckte Bedenken hinsichtlich der Sicherheit von Software-Lieferketten. Um zu bestimmen, wo Sicherheit angesiedelt sein sollte, ist es wichtig, InfoSec (Informationssicherheit) und DevOps (Entwicklungsbetrieb) zu verstehen.

Bei dem Angriff auf SolarWinds wurde die Netzwerkmanagement-Software von SolarWinds kompromittiert. Betroffen waren schätzungsweise 18,000 Kunden, darunter auch große Regierungsbehörden. Es handelte sich um einen Angriff auf die Lieferkette, was die Notwendigkeit der Sicherung von Software-Lieferketten unterstreicht.

InfoSec und DevOps: Was ist das?

Bevor wir uns mit dem SolarWinds-Angriff und der Rolle der Sicherheit befassen, ist es wichtig zu verstehen, was InfoSec und DevOps sind.

InfoSec schützt Informationssysteme, Netzwerke und Daten vor unbefugtem Zugriff, Nutzung, Offenlegung, Störung, Änderung oder Zerstörung. InfoSec-Teams identifizieren Schwachstellen, entwickeln Sicherheitsrichtlinien und schulen Benutzer in Best Practices.

DevOps ist ein Ansatz zur Softwareentwicklung, der die Zusammenarbeit und Kommunikation zwischen Entwicklungs- und Betriebsteams betont. Ziel ist es, den Entwicklungsprozess durch Automatisierung von Aufgaben, kontinuierliches Testen von Code und die Integration von Workflows für schnellere und zuverlässigere Software-Releases zu optimieren.

Der SolarWinds-Angriff

Im Dezember 2020 entdeckten Cybersicherheitsexperten, dass Angreifer SolarWinds kompromittiert hatten. SolarWinds beliefert zahlreiche Regierungsbehörden und private Unternehmen weltweit mit Netzwerkmanagement-Software. Die Angreifer hatten eine Hintertür in die SolarWinds Orion-Software eingebaut, die ihnen Zugriff auf sensible Daten und Systeme ermöglichte. Der Angriff betraf schätzungsweise 18,000 SolarWinds-Kunden, darunter große Regierungsbehörden wie das US-Heimatschutzministerium und das Finanzministerium.

Der SolarWinds-Angriff war ein Supply-Chain-Angriff, was bedeutet, dass die Angreifer einen Drittanbieter von Software und nicht die Organisationen selbst ins Visier genommen haben. Dieser Angriff kommt immer häufiger vor und unterstreicht die Bedeutung der Sicherung von Software Lieferketten.

Wo sollte die Sicherheit angesiedelt sein: InfoSec oder DevOps?

Das SolarWinds greifen an wirft die Frage auf, ob Sicherheit in InfoSec oder DevOps angesiedelt sein sollte. Einige argumentieren, dass Sicherheit in der Verantwortung der InfoSec-Teams liegen sollte, während andere argumentieren, dass Sicherheit in den DevOps-Prozess integriert werden sollte.

Argumente für InfoSec

• Fokus auf Risikomanagement

  InfoSec-Teams sind darauf geschult, sich auf Risikomanagement und Bedrohungsminderung zu konzentrieren. Sie verfügen über ein tiefes Verständnis der potenziellen Schwachstellen und Bedrohungen, denen ein Unternehmen ausgesetzt sein kann, und sind in der Lage, Richtlinien und Verfahren zum Schutz vor diesen Bedrohungen zu entwickeln und umzusetzen.

• Unabhängigkeit

  InfoSec-Teams sind unabhängig vom Entwicklungsprozess und können daher eine unvoreingenommene Perspektive auf Sicherheitsfragen bieten. Sie unterliegen nicht dem Druck, Entwicklungstermine einzuhalten und können Sicherheitsbedenken priorisieren, ohne den Entwicklungsprozess zu beeinträchtigen.

Argumente für DevOps

• Sicherheit als Code

  DevOps-Teams sind für die Erstellung und Bereitstellung von Code verantwortlich und daher bestens aufgestellt, Sicherheit in den Entwicklungsprozess zu integrieren. Durch die Integration von Sicherheit in den Code können DevOps-Teams sicherstellen, dass Sicherheit von Anfang an in die Software integriert ist und nicht erst nachträglich hinzugefügt wird.

• Schnellere Reaktionszeiten

  DevOps-Teams sind für die schnelle und effiziente Bereitstellung von Code verantwortlich. Durch die Integration von Sicherheit in den Entwicklungsprozess können DevOps-Teams schneller auf Sicherheitsprobleme und Schwachstellen reagieren und so das Risiko eines erfolgreichen Angriffs minimieren.

Hier sind einige Faktoren, die bei der Entscheidung, wo die Sicherheit angesiedelt sein soll, zu berücksichtigen sind.

• Unternehmenskultur

  Je nachdem, ob für die Organisation Sicherheit und Compliance oder Innovation und Agilität Priorität haben, sind entweder InfoSec oder DevOps möglicherweise besser geeignet.

• Entwicklungsmethodik

  Bei einer Wasserfall-Entwicklungsmethode kann ein separates InfoSec-Team sinnvoller sein. Bei Agile- oder DevOps-Methoden ist die Integration von Sicherheitsmaßnahmen in den Entwicklungsprozess jedoch möglicherweise praktikabler.

• Einhaltung gesetzlicher Vorschriften

  Wenn das Unternehmen strenge gesetzliche Anforderungen erfüllen muss, kann ein separates InfoSec-Team erforderlich sein, um die Einhaltung sicherzustellen. Wenn das Unternehmen jedoch nicht an solche Vorschriften gebunden ist, kann ein DevOps-Ansatz eine sinnvolle Option sein.

• Fähigkeiten und Ressourcen

  Die beste Vorgehensweise kann sein, das Wissen eines großen, erfahrenen InfoSec-Teams zu nutzen. Umgekehrt kann ein DevOps-Ansatz praktischer sein, wenn das InfoSec-Team klein ist oder sich die Sicherheitsanforderungen ständig ändern.

Fazit

Die Frage, wo Sicherheit angesiedelt sein sollte – in InfoSec oder DevOps – ist nicht eindeutig. Beide Ansätze haben ihre Vorteile, und der beste Ansatz hängt von der Organisation und ihren spezifischen Anforderungen ab. Letztendlich dürfte eine Kombination aus InfoSec und DevOps der effektivste Ansatz sein. InfoSec-Teams sollten für die Festlegung der Sicherheitsrichtlinien verantwortlich sein.