Kluft zwischen Entwickler- und Security-Teams vertieft sich

Wie steht es um das Verhältnis zwischen IT-, Sicherheits- und Entwickler-Teams innerhalb eines Unternehmens? Diese Fragestellung stand im Mittelpunkt einer von VMware in Auftrag gegebenen und von Forrester Consulting durchgeführten weltweiten Studie mit dem Titel «Bridging the Developer and Security Divide». Das zentrale Ergebnis der Untersuchung lässt aufhorchen: Denn die IT-Sicherheit wird bei vielen Entwicklern immer noch als Hindernis wahrgenommen. Offenbar haben die zunehmenden Hacker- und Ransomware-Attacken der letzten Zeit noch nicht für ein Umdenken gesorgt. 52 Prozent der Entwickler sind sogar der Meinung, dass Sicherheitsrichtlinien Innovationen behindern. 

Zudem gaben unter den 665 befragten europäischen IT- und Sicherheitsverantwortliche nur 19 Prozent an, zu verstehen, warum welche Sicherheitsrichtlinien eingehalten werden müssen (zum Vergleich: weltweit waren es unter 1475 Befragten immerhin 22 Prozent). Alarmierend ist, dass mehr als ein Viertel (27 Prozent) der befragten Entwickler nicht an Entscheidungen über Sicherheitsrichtlinien beteiligt ist, obwohl viele dieser Entscheidungen einen starken Einfluss auf ihre tägliche Arbeit haben.

Positiv hingegen: 73 Prozent sehen bei ihren Chefs, dass diese sich inzwischen mehr auf die Stärkung der Beziehung zwischen Entwicklung und Sicherheit konzentrieren als das noch vor zwei Jahren der Fall war. Auch wenn das Verhältnis weiter angespannt bleibt. Rund einer von drei Entscheidungsträgern (32 Prozent) gab an, dass die einzelnen Teams in ihrem Unternehmen nicht effektiv zusammenarbeiten oder keine Massnahmen ergreifen, um die Beziehungen zu stärken. Fehlende Rollendefinition für Entwicklungsteams, mangelnde Kommunikation zwischen den Abteilungen und konkurrierende Prioritäten sind Faktoren, die grosse Auswirkungen auf die Zusammenarbeit haben.

«Unsere Untersuchung zeigt, dass Sicherheit einen Wahrnehmungswandel braucht», kommentiert Rick McElroy, Principal Cybersecurity Strategist bei VMware die Ergebnisse. «Anstatt als das Team gesehen zu werden, dass sich nur um Behebungen von Sicherheitslücken kümmert oder der Innovation ‚im Weg steht‘, sollte der Sicherheitsgedanke in den Köpfen, Prozessen und Technologien fest verankert werden», meint er weiter. «Sicherheit sollte als Mannschaftssport betrachtet werden und Hand in Hand mit IT und Entwicklung gehen, um den Schutz von Clouds, Anwendungen und der gesamten digitalen Infrastruktur zu gewährleisten. Wir müssen eine Kultur entwickeln, in der alle Teams gemeinsame Interessen, Ziele und Messgrössen haben und eine gemeinsame Sprache sprechen», fordert McElroy folglich. Der Nutzen für das Unternehmen sei «überwältigend», wenn Personen aus IT, Sicherheit und Entwicklung aktiv in Prozesse einbezogen werden – von der Entscheidungsfindung über das Design bis hin zur Ausführung, ist er überzeugt.

Trotz der offensichtlichen Kluft zwischen Entwickler- und IT-Security-Teams dürften die beiden Fraktionen künftig immer enger zusammenarbeiten. Mehr als die Hälfte (53 Prozent) der Befragten erwartet sogar, dass Sicherheits- und Entwicklungsteams innerhalb von drei Jahren vereinheitlicht werden. Für den gleichen Zeitraum erwarten rund 44 Prozent eine stärkere Integration von Sicherheit in Entwicklungsprozesse. Darüber hinaus besteht allgemein die Ansicht, dass eine teamübergreifende Abstimmung Unternehmen in die Lage versetzt, Silos im Team zu überwinden (71 Prozent), sicherere Anwendungen zu erstellen (71 Prozent) und die Flexibilität bei der Übernahme neuer Arbeitsabläufe und Technologien zu erhöhen (66 Prozent).