Warum Cloud-Software noch Security-Defizite hat

Aus dem ursprünglichen Ansatz, Software-Entwicklung und IT-Administration zusammenzuführen, ist DevOps zu einer übergreifenden Idee für die Entwicklung, Bereitstellung und Nutzung von Software gereift. Und wie so oft, wenn ein brillanter Gedanke für einen Teilaspekt zu einem umfassenden Konzept weiterentwickelt wird, passen noch nicht alle Puzzleteile dieses gerade entstehenden Ökosystems zusammen.

Wer über Cloud Computing spricht, kommt am Megatrend DevOps/SecOps nicht vorbei. Die Gründe dafür sind schnell aufgezählt: IT-Modernisierungstrends wie Skalierbarkeit, Hochverfügbarkeit, Rapid Deployment und Continuous Delivery sind ohne ihn ebenso wenig umsetzbar wie die Erfüllung anspruchsvoller Security-Vorgaben. Ganz zu schweigen von den Zwängen zur permanenten TCO-Optimierung. IT-Verantwortliche wissen nur zu gut, wovon die Rede ist. Aus dem ursprünglichen Ansatz, Software-Entwicklung und IT-Administration zusammenzuführen, ist DevOps zu einer übergreifenden Idee für die Entwicklung, Bereitstellung und Nutzung von Software gereift. Leider passen noch nicht alle Puzzleteile dieses gerade entstehenden Ökosystems zusammen – und manche sind schlicht und einfach noch gar nicht vorhanden, auch wenn sie dringend gebraucht werden.

DevOps kommt quasi aus der Mitte des Schichtenmodells: der Plattform, respektive den Plattform-Services (PaaS). Hier hat mittlerweile dank Kubernetes eine Quasi-Standardisierung für das Management von Containern stattgefunden. Auch wenn es immer noch ein paar proprietäre Anstrengungen unter dem verschämt-euphemistischen Begriff Customizing gibt, DevOps und SecOps funktionieren nur mit Hersteller-unabhängigen Werkzeugen. Offenheit und Standardisierung sind damit auch die Voraussetzungen dafür, die darunterliegende Infrastruktur-Ebene (IaaS) ebenso wie die darüber rangierende Applikations-Ebene (SaaS) in ein ganzheitliches DevOps-Konzept integrieren zu können.

Das klingt ziemlich vernünftig, ist aber noch nicht bis zur Bottom-, respektive Top-Line zu Ende gedacht. Was machen wir beispielsweise auf der untersten Hardware-Ebene im Backend mit einem Switch und seinem Embedded OS, der in dieses standardisierte, offene Ökosystem integriert werden soll? Ähnlich unklar ist die Situation am anderen Ende der digitalen Nahrungskette: dem Frontend, sprich dem Nutzer und seinen Endgeräten. Was machen wir mit den proprietären Betriebssystemen wie Android, iOS und Windows, die alles andere als DevOps/SecOps-konform sind? Und es ist nur schwer vorstellbar, dass deren Anbieter echtes Interesse daran haben, das zu ändern. Was machen wir mit dem Nutzerverhalten, das dem Thema Komfort meist ganz andere Prioritäten einräumt als dem Thema Sicherheit? Muss letztlich zu DevOps und SecOps als drittes unverzichtbares Element eines stringenten Ökosystems auch noch so etwas wie UsOps (User Operations) dazukommen? Wir haben es hier mit offenen Fragen und divergierenden, nicht selten milliardenschweren Interessenlagen zu tun, die nur schwer unter einen Hut zu bringen sind.

Machen wir uns also nichts vor: Ja, DevOps und SecOps sind die Signatur unserer Software-Gegenwart und -Zukunft. Nein, wir sind noch nicht soweit, von einem stimmigen und praktisch sinnvoll nutzbaren Gesamtkonzept zur Entwicklung, Bereitstellung und Nutzung von Software auf allen Ebenen reden zu können. Besonders an den beiden Enden des Schichtenmodells ist da noch viel zu tun. Fakt ist: DevOps und SecOps haben sich aus der Mitte heraus ausgebreitet – und tun dies aus nachvollziehbaren Gründen nach wie vor. Die Richtung stimmt also – und das stimmt optimistisch.