Automotive-Entwickler verbringen großen Teil ihrer Zeit mit sicherheitsbezogenen Aufgaben

Illustration Absmeier foto freepik

Eine umfassende Branchenumfrage und zeigt zentrale Cybersecurity-Herausforderungen sowie den Stand der DevSecOps-Implementierung bei OEMs und Automobilzulieferern auf.

 

Software-Entwicklungsteams in der Automobilbranche sind zunehmend durch die Komplexität der Produktsicherheit belastet: 63 Prozent der Befragten verbringen mindestens 20 Prozent ihrer Arbeitszeit mit sicherheitsrelevanten Aufgaben. Dieser Zeitaufwand lenkt erheblich von ihrem Hauptfokus, der Produktinnovation, ab. Das ist eines der Key Findings des neuen Jahresberichts von PlaxidityX (ehemals Argus Cyber Security).

 

Große Anzahl von Sicherheitswerkzeugen als Herausforderung

Um die Produktsicherheit effektiv zu verwalten, greifen Automobilhersteller auf eine Kombination aus internen, allgemeinen und automobil-spezifischen Sicherheitswerkzeugen zurück. 90 Prozent der Befragten geben an, allgemeine Unternehmens-IT-Sicherheitswerkzeuge zu nutzen, 83 Prozent greifen auf spezifische Tools für die Automobilindustrie zurück und 79 Prozent nutzen intern entwickelte Sicherheitslösungen. 54 Prozent der Befragten nutzen dabei alle drei Kategorien gleichzeitig. In konkreten Zahlen bedeutet das, dass 55 Prozent der Befragten sieben bis zehn verschiedene Tools gleichzeitig einsetzen. »Die Abhängigkeit von verschiedenen Werkzeugtypen verdeutlicht, dass keine einzelne Lösung umfassend genug ist, um alle Sicherheitsbedürfnisse in der Automobilentwicklung zu erfüllen. Unternehmen sind gezwungen, Werkzeuge zu kombinieren, um Sicherheitslücken zu schließen. Die Komplexität der Verwaltung verschiedener Werkzeuge behindert die Innovationskraft und verlangsamt die Entwicklungsprozesse. Das spiegelt die anhaltende Herausforderung wider, eine integrierte und kohärente Sicherheitsstrategie zu erreichen«, kommentiert Ran Ish-Shalom, VP Strategie und Produkt bei PlaxidityX.

Erschwerend kommt hinzu, dass 76 Prozent der Befragten ihre Sicherheitswerkzeuge als »nicht sehr effektiv« bewerten. Dabei zeigt sich eine deutliche Diskrepanz zwischen den Abteilungen: Während 40 Prozent der Sicherheitsteams ihre Tools als effizient einschätzen, teilen nur 20 Prozent der R&D- und Entwicklungsteams diese Meinung. Letztere empfinden die Sicherheitswerkzeuge also oft als Hindernis für ihre Produktivität.

 

DevSecOps in der Automobilbranche

Die Komplexität bei der Integration mehrerer Tools (47 Prozent), begrenzte Ingenieursressourcen (48 Prozent) sowie begrenzte Budgets und ein mangelnder Fokus des Managements auf Sicherheit (je 45 Prozent) werden als Haupthindernisse für die Implementierung von DevSecOps gesehen.

DevSecOps ist ein Softwareentwicklungsansatz, der Sicherheitspraktiken in jeder Phase des Produktzyklus frühzeitig integriert – von Design über Integration und Tests bis zur Bereitstellung. Durch das Potenzial Entwicklungszeit und -kosten zu reduzieren, die Produktqualität zu verbessern und die Markteinführungszeit zu verkürzen, implementieren OEMs und Zulieferer diesen Ansatz zunehmend.

Der neue Report von PlaxidityX zeigt, dass OEMs in erster Linie die Steigerung der Produktqualität als Vorteil von DevSecOps sehen, während Zulieferer das erhöhte Kundenvertrauen betonen. Kostenersparnisse spielen eine untergeordnete Rolle: Nur neun Prozent der Befragten nennen dies als Hauptvorteil. Dies deutet auf ein reiferes Verständnis für die Rolle der Cybersicherheit bei der Entwicklung hochwertiger und sicherer Produkte hin. Ish-Shalom ordnet ein: »Diese Unterschiede spiegeln die unterschiedlichen Prioritäten der Gruppen wider: OEMs streben danach, ihre Marke durch Produktqualität zu schützen, während Zulieferer darauf fokussiert sind, die Anforderungen der OEMs hinsichtlich Compliance und Sicherheit zu erfüllen«.

Die befragten Unternehmen befinden sich dabei noch in einem frühen Stadium der Reise, wobei Zulieferer weiter fortgeschritten sind: 33 % der Zulieferer befinden sich bereits im Implementierungsprozess, während es bei den OEMs nur 21 % sind. Dies deutet darauf hin, dass Zulieferer möglicherweise ein größeres Dringlichkeitsgefühl haben, um den Sicherheitsanforderungen und den Sicherheitsstandards ihrer Kunden gerecht zu werden. Denn immerhin machen Automobilvorschriften die OEMs für die Cybersicherheitspraktiken ihrer Zulieferer verantwortlich.

Vor diesem Hintergrund ist besorgniserregend, dass 43 Prozent der OEMs berichten, ihre aktuellen Prozesse seien zur Überwachung der Cybersicherheit bei Zulieferern nicht ausreichend wirksam, während sie aber gleichzeitig von ausgelagerter Softwareentwicklung abhängig sind. So lagern 97 Prozent der OEMs zumindest einen Teil ihrer Softwareentwicklung aus, wobei 52 % mehr als ein Viertel ihrer Entwicklungsaufgaben auslagern.

 

[1] »Unser Bericht verdeutlicht den Wandel in der Automobilindustrie in den letzten Jahren, die Entwicklung von SDVs weiter voranzutreiben. Fast jedes Unternehmen plant oder implementiert bereits DevSecOps«, sagt Ran Ish-Shalom. »OEMs und Zulieferer positionieren sich zunehmend als Softwareentwickler und erkennen die Bedeutung von DevSecOps – nicht nur zur Kostensenkung, sondern um die Produktqualität zu verbessern und das Vertrauen der Kunden zu stärken.«
Der diesjährige Bericht »DevSecOps Insights from Automotive Developers« von PlaxidityX basiert auf einer umfassenden Umfrage unter hunderten Fachleuten aus der Automobilsoftwareentwicklung, dem Ingenieurwesen und der Cybersicherheit bei OEMs sowie Tier-1/2-Zulieferern in Nordamerika, Europa und Asien. Er beleuchtet die wesentlichen Herausforderungen bei der Entwicklung von Automobilsoftware und die Vorteile von DevSecOps für Unternehmen, die diesen Ansatz bereits verfolgen.
Der vollständige Bericht steht hier nach Registrierung zur Verfügung: https://plaxidityx.com/resources/report/plaxidityx-annual-devsecops-automotive-report/

 

426 Artikel zu „DevSecOps“

DevSecOps-Teams zweifeln an der Sicherheit von KI-generiertem Code

Die Umfrage analysiert das »Tauziehen«, das KI-gestützte Codierungstools im Software-Entwicklungsprozess hervorrufen.   Der Bericht »Global State of DevSecOps 2024« von Black Duck Software, Inc. (»Black Duck«) analysiert Trends, Herausforderungen und Chancen, die sich auf die Software-Sicherheit auswirken. Die Daten belegen, dass der umfassende Einsatz von KI die Art und Weise, wie Software entwickelt wird, grundlegend…

Security First: DevSecOps durch KI und Cloud vorantreiben

Cloud Computing ist wie das Thema künstliche Intelligenz allgegenwärtig. Auch im Kontext der DevSecOps-Methodik spielen beide Technologien eine gewichtige Rolle. Wie können sie Teams unterstützen und worauf müssen Entwickler und Administratoren achten.   DevSecOps-Teams sind mit den richtigen Methoden und dem richtigen Mindset in der Lage, einen »Security-First-Ansatz« zu verfolgen, bei dem die Frage nach…

Vier Best Practices sichern den DevSecOps-Erfolg

Das DevOps-Prinzip hat sich für IT-Projekte als enorm wertvoll erwiesen: Entwickler und Administratoren brechen Wissenssilos auf und schaffen es mit den entsprechenden Methoden, die Zusammenarbeit zu verbessern. Wie DevOps-Teams nun auch den Sicherheitsaspekt integrieren und DevSecOps erfolgreich in die Praxis umsetzen, zeigt der IT-Dienstleister Consol anhand von vier goldenen Regeln.   Das Kunstwort DevOps setzt…

Der Weg zu DevSecOps: Weiterhin steinig, aber es gibt Fortschritte

Illustration Absmeier Genki Bing   DevSecOps ist eine derjenigen Abkürzungen, die man in der hektischen Welt der Softwareentwicklung durchaus unterschiedlich interpretieren kann. So kann man beispielsweise eine Definition wählen, nach der man das Thema Sicherheit als willkommene Ergänzung der Bereiche Entwicklung (Dev) und Betrieb (Ops) betrachtet. Oder Sicherheit gilt eher als der unerwünschte Eindringling, der…

DevSecOps-Bericht zu KI: Cybersicherheits- und Datenschutz-Bedenken erschweren die KI-Einführung

Studie: Unternehmen sind in Bezug auf KI optimistisch, aber bei deren Einführung muss auf Datenschutz und Sicherheit, Produktivität und Weiterbildung geachtet werden.   83 % der Befragten halten die Implementierung von KI in ihre Softwareentwicklungsprozesse für unerlässlich, um nicht ins Hintertreffen zu geraten. 79 % der Befragten haben jedoch Bedenken, dass KI-Tools Zugang zu privaten Informationen…

Offenlegung von Zugangsdaten in der DevSecOps-Pipeline: Wo Angreifer (zu) oft sensible Daten finden

Entwickler nutzen fest kodierte Zugangsdaten, um nahtlos auf die Dienste zuzugreifen, die für die Erstellung und Bereitstellung von Anwendungen erforderlich sind, oder sich zu authentifizieren. Diese Praxis rationalisiert zwar die Entwicklung, birgt aber auch Risiken.   Wenn Zugangsdaten – wie Kennwörter, API-Schlüssel und Zugriffstoken – im Quellcode öffentlich zugänglich sind, können Angreifer sie nutzen, um…

DevSecOps – Die Kluft zwischen Entwicklung und Sicherheit überwinden

Kontinuierlich, einmal täglich oder alle paar Tage: So häufig geben 70 Prozent der für die DevSecOps-Studie 2022 von GitLab befragten Entwickler-Teams Software-Code frei. Ein Anstieg von 11 Prozent gegenüber dem Vorjahr. Die Umfrage ergab auch, dass die Befragten am meisten in Sicherheit investieren. Das sind die guten Nachrichten.

Konvergenz von Observability, DevSecOps und Sicherheit wird immer wichtiger

80 Prozent der CIOs in Deutschland beabsichtigen DevSecOps-Kultur auf mehr Teams auszuweiten: Schlüssel zur schnelleren und sichereren Softwareentwicklung sowie digitaler Transformation.   Es wird immer schwieriger, die Zuverlässigkeit und Sicherheit von Software aufrechtzuerhalten. Das ergab eine weltweite Umfrage von Dynatrace unter 1.300 CIOs und leitenden DevOps-Managern [1]. Demnach erhöht die Forderung nach kontinuierlichen Release-Zyklen und…

Bei DevOps und DevSecOps holpert es in Deutschland noch

Viele Unternehmen in Deutschland hinken ihren Zielen bei der Implementierung von DevOps und DevSecOps hinterher. Eine Hauptursache dafür sind kulturelle Barrieren. Das zeigt eine aktuelle Umfrage von Progress.   Die Umfrage »2022 DevSecOps: Simplifying Complexity in a Changing World« untersucht den Status quo der DevOps- und DevSecOps-Adaption. Im Auftrag von Progress befragte das Technologieforschungsunternehmen Insight…

Was ist DevSecOps?

Wenn man DevSecOps erklären will, beginnt man am besten mit der Definition von DevOps. DevOps kombiniert Praktiken aus der Softwareentwicklung und dem IT-Betrieb. Um es an einem einfachen Beispiel zu illustrieren: Developer brauchen Umgebungen, in denen sie Software entwickeln können. Dazu zählen solche, in denen sie Code programmieren und zu den Repositories hinzufügen, CI/CD-Plattformen, die…

Sicherheit in der Software Supply Chain – DevOps braucht DevSecOps

Im Gespräch erklärt Frank Fischer, Product Marketing bei Snyk, warum Open Source in Software-Projekten gleichzeitig Fluch und Segen sein kann, warum Sicherheit integraler Bestandteil jedes Prozessschrittes in DevOps werden muss und das Security im Wesentlichen aus den drei Aspekten Technologie, Prozesse und Menschen besteht und die alle gleich bedacht und gestärkt werden müssen.

DevSecOps: Fünf Aspekte für den optimalen ROI

Entwicklungsteams von Morgen denken nicht nur an Code, Sicherheit und den alltäglichen Arbeitsbetrieb, sondern auch an die Rentabilität – den ROI. In einer zunehmend digitalisierten Welt ist es unerlässlich, dass die Verantwortlichen für den ständigen Wandel bei der Modernisierung ihrer IT-Strukturen Geschäftsziele mitdenken.   Spätestens die Covid-19 Pandemie hat Unternehmen vor Augen geführt, wie entscheidend…

DevSecOps: Schneller sichere Software

Immer wieder sorgen Datenverluste und Datenschutzverletzungen aufgrund fehlerhafter Software für Schlagzeilen. Auf der einen Seite werden Cyberkriminelle immer findiger, wenn es darum geht, Sicherheitslücken auszunutzen. Andererseits verschärfen Regierungen und Regulierungsbehörden zurecht die Bestimmungen zum Datenschutz. Das hat in vielen Unternehmen zu der Situation geführt, dass die IT-Sicherheitsspezialisten der beschleunigten Entwicklung von Software durch den Einsatz…

Security-Praxistipps: Sechs DevSecOps-Metriken für DevOps- und Sicherheitsteams

Mitarbeiter im DevOps-Team bekommen leicht das Gefühl, dass das Sicherheitsteam dazu da ist, ihnen die Arbeit schwerer zu machen. Sicherheitsfachkräfte haben vielleicht das Gefühl, dass DevOps ihre Prioritäten nicht teilt und die Sicherheit nie so ernst nehmen wird, wie sie es gerne hätten. Glücklicherweise muss das nicht so sein. Durch das Festlegen und Verfolgen gemeinsamer…

In 6 Schritten zu DevSecOps

Während DevOps schon weitverbreitet ist, erkennen nun immer mehr Unternehmen, dass es entscheidend ist, nicht nur Entwicklung und Betrieb enger zu verzahnen, sondern, dass man auch Sicherheit immer von Anfang an mitdenken sollte. Dem trägt der DevSecOps-Ansatz Rechnung. Doch ebenso wie DevOps, ist dieser Ansatz kein Produkt, das man kauft, oder eine Lösung, die man…

Cybersicherheit und Container – So funktioniert die Umstellung auf DevSecOps

Die schnelle Einführung von Containern im Unternehmen sind eine einzigartige Gelegenheit dar, die generelle Sicherheitsstrategie zu verändern. Container stellen eine gute Möglichkeit dar, die Kluft zwischen Entwicklungs- und Sicherheitsteams zu überbrücken. Ist es möglich, dass Container das Unternehmen einen Schritt näher an DevSecOps heranbringen? Palo Alto Networks nimmt das Thema unter die Lupe. Computing hat…

DevSecOps: Unternehmen müssen umdenken, um in der Softwareentwicklung erfolgreich zu sein

Hindernis für die Integration von Sicherheit in die gesamte Softwareentwicklung sei laut der weltweiten Studie die bestehende Unternehmenskultur.   Im Zentrum der weltweiten Studie »Integrating Security into the DNA of Your Software Lifecycle« von CA Technologies stand die Frage, wie sich die Kultur eines Unternehmens auf dessen Fähigkeit auswirkt, Sicherheit in den gesamten Software-Entwicklungsprozess einzubinden.…

DevSecOps: Wie sich Microservices auf die Anwendungssicherheit auswirken

Die Architektur von Software verändert sich grundlegend – Microservices sind auf dem Vormarsch. Drei zentrale Herausforderungen, die das für die Anwendungssicherheit mit sich bringt. Microservices sind im Software Development schon seit mehreren Jahren auf dem Vormarsch. Viele kleine Services anstatt einzelner monolithischer Applikationen zu entwickeln, bietet in der Tat zahlreiche Vorzüge. Eine kleine Auswahl der…