Schnellere Entwicklung und mehr Sicherheit. Ist das möglich?

Alles in der Software ist ein Kompromiss. Man kann eine Verbesserung in einem Bereich nicht erreichen, ohne an anderer Stelle Abstriche zu machen. Typische Beispiele hierfür sind die Feature-completeness und die Komplexität, die Sicherheit und die Entwicklungsgeschwindigkeit.

Manchmal lässt sich dieser Kompromiss jedoch verschieben, so dass man beispielsweise auf Kosten der Komplexität sowohl eine bessere Sicherheit als auch eine höhere Entwicklungsgeschwindigkeit erreichen kann. Wenn diese Komplexität dann gut gemanagt wird, kann dies ein grosser Vorteil für ein Unternehmen sein.

Genau das war in diesem Projekt mit unserem Kunden unser Ziel. Wir mussten es den Entwicklungsteams irgendwie ermöglichen, ihre Produktivität zu steigern und die Sicherheit der erstellten Software zu erhöhen, um den hohen Ansprüchen der Sicherheitsvorkehrungen gerecht zu werden

Während sich die Produktivität der Entwickler von Enterprise Software mit einer starken, zentralisierten Plattformunterstützung steigern lässt, kann die Verbesserung der Sicherheit ziemlich schwierig sein. Entwickler wissen oft recht gut, was viel Zeit beansprucht und leicht automatisiert werden kann. Über Sicherheit haben sie jedoch in der Regel wenig Wissen.

Gleichzeitig wissen die zentralisierten Sicherheitsteams nur wenig über die Anwendungen, die von den Entwicklern gebaut werden. Ausserdem ist Sicherheit ein sehr breites Thema. Daher ist es sinnvoll, zunächst herauszufinden, welche Prioritäten zu setzen sind.

Laut Verizon DBIR 1 aus dem Jahr 2023 werden bei fast der Hälfte der Datenschutzverletzungen durch Hacker gestohlene Zugangsdaten als erste Zugriffsmethode verwendet.

Daher ist es sinnvoll, sich zunächst damit zu befassen, wie Entwicklerteams Anmeldedaten verwalten. Dies ist tendenziell ein Bereich mit viel Potenzial, da die meisten Teams Schwierigkeiten haben, die von ihnen verwendeten Anmeldeinformationen angemessen zu sichern, oder sogar den Überblick darüber verlieren, welche Anmeldeinformationen auf den von ihnen benötigten Systemen verwendet werden.

Dieses Phänomen wird als «secret sprawl» bezeichnet und ist der Hauptgrund dafür, dass sich böswillige Akteure Zugang zu Computersystemen verschaffen und sich dann problemlos durch ganze Firmennetzwerke bewegen können.

Das Ziel bei unserem Kunden war es daher, die Produktivität der Entwickler zu verbessern und gleichzeitig die Ausbreitung von Anmeldedaten zu reduzieren. Ist das möglich?

Hast du auch einen spannenden Use Case? Let's talk!

Jakob Beckmann