Teamautonomie wird in Zeiten von Cloud-Computing großgeschrieben. Ich habe in dieser Kolumne schon mehrfach Plädoyers dafür gehalten, dass Teams entsprechend des DevOps-Gedankens die Verantwortung nicht nur für Softwarearchitektur und Code übernehmen, sondern auch für den Betrieb und damit verbundene Sicherheitsthemen. Mit modernen PaaS- und Serverless-Diensten wird das machbar. Nächtliche Patchorgien oder manuell installierte und gewartete Firewalls gibt es bei Cloud-native-Softwarelösungen in den großen Public-Cloud-Umgebungen nicht mehr. Für die Basissicherheit von Plattformen wie Webfarmen, Datenbankclustern und Message Brokern sorgt der Cloud-Provider. Für die Absicherung auf Anwendungsebene sind einfach zu integrierende Komponenten für Authentifizierung, Verschlüsselung und Logging verfügbar. Teams, die ihre Cloud-Umgebung kennen, eine gute Basisausbildung in der Entwicklung sicherer Software haben und das notwendige Verantwortungsbewusstsein mitbringen, sind in der Lage, die Gesamtverantwortung für ihre Cloud-basierenden Lösungen zu übernehmen.

Veränderungen sind schwierig

Eine Verschiebung von Verantwortung weg von zentralen Betriebs- und Sicherheitsteams hin zu den dezentralen Anwendungsteams sorgt meiner Erfahrung nach in vielen Organisationen für nicht unwesentliche Herausforderungen. Die über Jahre von Sicherheitsverantwortlichen erstellten Richtlinien sind in der Cloud nicht unverändert anwendbar. Im Gegenteil, sie sind oft hinderlich und kontraproduktiv. Hinzu kommen oft Schwierigkeiten auf persönlicher Ebene. Mitglieder zentraler Betriebs- und Sicherheitsabteilungen suchen ihre Rolle in einer von autonomen DevSecOps-Teams geprägten Welt. Änderungen werden nicht immer mit offenen Armen willkommen geheißen. Man sieht den eigenen Einflussbereich schwinden und hat Bedenken, ob die Entwicklungsteams wirklich das notwendige Wissen und die erforderliche Einstellung für den stabilen und sicheren Betrieb ihrer Software besitzen.

Zentrale Teams sind nicht obsolet

Es versteht sich von selbst, dass es in größeren Organisationen dedizierte Teams für die Sicherheit der eigenen IT-Infrastruktur (z. B. Netzwerk, lokal installierte Server, virtuelle Maschinen, Laptops, Smartphones etc.) braucht. Mir geht es jedoch hier um die Sicherheit von Softwarelösungen in der Public Cloud, die von autonomen Teams gestaltet und entwickelt werden. Selbst in diesem Umfeld halte ich persönlich in Organisationen ab einer gewissen Größe zentrale Teams, die gewisse Aufgaben f...