Wenn wir gemütlich in unserem Bett mit unserer Liebsten liegen, dann wollen wir nicht gestört werden. Wir können hoffentlich unseren Job komplett beiseite lassen und einfach wir selber sein.
Inspector Clouseau von den berühmten Pink Panther – Filmen hatte da einen anderen Ansatz: Der tolpatschige, ur-komische Polizei-Inspektor nahm seinen Job buchstäblich mit nach Hause. Um jederzeit auf Angriffe vorbereitet zu sein, instruierte er seinen treuen Diener Cato, ihn zu jeder beliebigen Zeit zu überfallen. Die Szenen – in denen Cato Jaques Clouseau in den unpassendsten Momenten heimsucht und sich mit ihm einen waghalsigen Kampf liefert – gehörten zu den absoluten High-lights der Pink-Panther Filme, die ich mir gerne zum x-ten Mal an verschlafenen Nachmittagen zur Gemüte führe.
In der Realität würden wir wohl ungern diese Herangehensweise für unser privates und berufliches Leben wählen. Aber sie würde uns vermutlich deutlich resilienter machen, denn wir müssten ständig mit dem schlimmsten rechnen. Kein Rezept für ein entspanntes, langes Leben für uns Menschen.
Aber…
… für Computer-Systeme wäre und ist diese Herangehensweise Gold wert. Tatsächlich werden diese nämlich häufig nach dem typisch österreichischen Prinzip “Es wird schon irgendwie gehen…” betrieben . Man vertraut dem Prinzip Hoffnung und auf eine störungsfreie Umgebung. Der häufig anzutreffende Zwillingsbruder dieses Glaubens ist das Mantra “Never change a running system”. Also, wenn es einmal rennt, einfach nix ändern. Stattdessen hoffen und beten.
Oftmals braucht es einen radikalen Gegenansatz, um aufzurütteln. Und dieser radikale Gegenansatz kam von den großen, erfolgreichen Internet-Giganten wie Google und Netflix. Netflix etablierte zum Beispiel eine störrische und geradezu bösartige “Simian Army”, die bewusst Unruhe und Chaos in der Produktionsumgebung anrichtet. Da werden Komponenten einfach abgeschossen, auf zufälliger Basis Antwortzeiten verlängert und jegliche Gemeinheit auf dieser Erde verwendet, um die armen Operations-Teams auf die Probe zu stellen. Der Diener Cato bringt buchstäblich seine ganze Familie, um Inspector Netflix zu irgend einer beliebigen Zeit, an einen beliebigen Ort herauszufordern.
Ein derartiges Konzept würde vermutlich einen Großteil der heutigen IT-Abteilungen vor schwerste Probleme stellen. Und wie so oft wären IT-Operations diejenigen, die als erstes davon betroffen wären. Tatsächlich entsteht das Problem von mangelnder Resilizenz aber über die gesamte Kette des Software-Lebenszyklus, keiner der Beteiligten kann hierfür aus der Pflicht genommen werden. Denn es braucht ein ganzheitliches Verständnis von funktionalen und nicht-funktionalen Anforderungen vom geschäftlichen Kontext, der Software-Entwicklung, Security bis hin zum Betrieb, um Cato und ähnliches Gesindel in die Schranken zu weisen.
Weiterhin Prinzip Hoffnung. Sich zu Tode fürchen?
Auftritt von DevSecOps.
Man könnte ein wenig fatalistisch die Welt als unruhigen und rauen Ort bezeichnen. Heute, mehr als gestern. Und morgen vermutlich mehr als heute. Deswegen macht es Sinn, dass sich die verschiedenen Spezialisierungen auf gut wienerisch auf “ein Packl hauen”, d.h. an einem Strang ziehen.
Entwicklung (Dev), Security-Verantwortliche (Sec) und Betrieb (Ops) müssen gemeinsam über mögliche Bedrohungs-Szenarien nachdenken und Gegenstrategien entwickeln. Nur damit kann man auf Unwegbarkeiten zeitnah reagieren und daraus lernen. Jederzeit, überall und kontinuierlich.
Eine sehr gute Herangehensweise ist in dem „DevOps Audit Defense Toolkit“ beschrieben. Es zeigt wie Bedrohungs-Szenarien im gesamten Life-cycle adressiert werden können und damit auch interne und externe Auditoren zufrieden gestellt werden können. Ich empfehle die Lektüre jedem, der – in welcher Rolle auch immer – mit Software zutun hat. Mit dem Ziel, dass wir – wenn wir nicht gerade in der Arbeit sind – gemütlich in unserem Bett liegen können und weder einen chinesischen Diener noch einen bösartigen Hacker fürchten müssen.
Digi-Versationen 