VMware-Studie offenbart sich vertiefende Kluft zwischen Entwickler- und Security-Teams

Unter den 665 befragten europäischen IT- und Sicherheitsverantwortliche gaben nur 19 % an, zu verstehen, warum welche Sicherheitsrichtlinien eingehalten werden müssen (zum Vergleich: weltweit waren es unter 1.475 Befragten 22 %). Alarmierend ist, dass mehr als ein Viertel (27 %) der befragten Entwickler nicht an Entscheidungen über Sicherheitsrichtlinien beteiligt ist, obwohl viele dieser Entscheidungen einen starken Einfluss auf ihre tägliche Arbeit haben. Unternehmen, in denen Sicherheits- und Entwicklungsteams ein positives Verhältnis zueinander haben, können den Software-Entwicklungs-Lebenszyklus um fünf Arbeitstage schneller abwickeln als Unternehmen, in denen dies nicht der Fall ist – dabei geht es um eine schnelle Markteinführung und Wettbewerbsvorteile.

Positiv hingegen: 73 % sehen bei ihren Chefs, dass diese sich inzwischen mehr auf die Stärkung der Beziehung zwischen Entwicklung und Sicherheit konzentrieren als das noch vor zwei Jahren der Fall war. Auch wenn das Verhältnis weiter angespannt bleibt. Rund einer von drei Entscheidungsträgern (32 %) gab an, dass die einzelnen Teams in ihrem Unternehmen nicht effektiv zusammenarbeiten oder keine Maßnahmen ergreifen, um die Beziehungen zu stärken. Fehlende Rollendefinition für Entwicklungsteams, mangelnde Kommunikation zwischen den Abteilungen und konkurrierende Prioritäten sind Faktoren, die große Auswirkungen auf die Zusammenarbeit haben.

„Unsere Untersuchung zeigt, dass Sicherheit einen Wahrnehmungswandel braucht“, sagt Rick McElroy, Principal Cybersecurity Strategist bei VMware. „Anstatt als das Team gesehen zu werden, dass sich nur um Behebungen von Sicherheitslücken kümmert oder der Innovation ‚im Weg steht‘, sollte der Sicherheitsgedanke in den Köpfen, Prozessen und Technologien fest verankert werden. Sicherheit sollte als Mannschaftssport betrachtet werden und Hand in Hand mit IT und Entwicklung gehen, um den Schutz von Clouds, Anwendungen und der gesamten digitalen Infrastruktur zu gewährleisten. Wir müssen eine Kultur entwickeln, in der alle Teams gemeinsame Interessen, Ziele und Messgrößen haben und eine gemeinsame Sprache sprechen. Der Nutzen für das Unternehmen ist überwältigend, wenn Personen aus IT, Sicherheit und Entwicklung aktiv in Prozesse einbezogen werden – von der Entscheidungsfindung über das Design bis hin zur Ausführung.“

Gemeinsam gesetzte Teamprioritäten und kollektives Engagement werden den Weg in die Zukunft ebnen – in dieser Hinsicht sind bereits Fortschritte zu verzeichnen. Mehr als die Hälfte (53 %) der Befragten erwartet, dass Sicherheits- und Entwicklungsteams innerhalb von drei Jahren vereinheitlicht werden. Für den gleichen Zeitraum erwarten rund 44 % eine stärkere Integration von Sicherheit in Entwicklungsprozesse. Darüber hinaus besteht allgemein die Ansicht, dass eine teamübergreifende Abstimmung Unternehmen in die Lage versetzt, Silos im Team zu überwinden (71 %), sicherere Anwendungen zu erstellen (71 %) und die Flexibilität bei der Übernahme neuer Arbeitsabläufe und Technologien zu erhöhen (66 %).

„Sicherheitsteams arbeiten häufig getrennt von IT- und Operations-Teams. Dadurch ist es schwierig, sich ein ganzheitliches, klares Bild der Sicherheitsumgebung zu machen. Ein Intrinsic Security-Ansatz bringt Tools und Teams zusammen. Mit Intrinsic Security können Sicherheitsexperten Daten und Ereignisse aus der IT und aus Betriebsabläufen nutzen, um Bedrohungen und Richtlinien wirksamer zu kontrollieren. Dieser einheitliche Ansatz nutzt Cloud-, Anwendungs- und Geräteinfrastruktur, um fundierte Erkenntnisse über die Sicherheitsumgebung zu gewinnen,“ erklärt Armin Müller, Area Vice President und Country Manager, VMware Deutschland.

Die vollständige Studie mit Empfehlungen zur Überbrückung der Kluft zwischen Entwickler- und Sicherheitsteams können Sie hier herunterladen.
Die Infografik zur Studie können Sie hier herunterladen.

Methodik
Die Umfrage wurde von VMware in Auftrag gegeben und im April 2021 von dem unabhängigen Forschungsunternehmen Forrester Consulting durchgeführt. Befragt wurden weltweit 1.475 IT- und Sicherheitsmanager und höher (einschließlich CIOs und CISOs) mit Verantwortung für die Sicherheitsstrategie und Entscheidungsfindung, darunter 665 aus Europa. Zusätzlich wurden fünf qualitative Interviews mit VPs und höher (einschließlich CIOs und CISOs) mit Verantwortung für die Entscheidungsfindung im Bereich Entwicklung oder Sicherheitsstrategie aus IT-, Sicherheits- und Entwicklungsbereichen geführt. Die Befragten stammten aus verschiedenen Branchen, darunter Technologiedienstleistungen, Fertigung, Finanzdienstleistungen, Einzelhandel und Gesundheitswesen. Die Untersuchung wurde in 26 Ländern auf der ganzen Welt durchgeführt, darunter: Australien, Belgien, Kanada, China, Frankreich, Finnland, Deutschland, Indien, Italien, Israel, Japan, Norwegen, Neuseeland, Niederlande, Polen, Russland, Saudi-Arabien, Südafrika, Spanien, Singapur, Südkorea, Türkei, Vereinigtes Königreich, Vereinigte Staaten und Vereinigte Arabische Emirate.