Entwickler gegen Security oder Dreamteam? So baust du echte Zusammenarbeit im Unternehmen auf

In dieser Folge spricht Nico Freitag mit Dennis Buroh,
Informationssicherheitsbeauftragter und CISO in der Minimax
Viking Gruppe. Dennis verantwortet Informationssicherheit und
Business Continuity Management für mehrere Gesellschaften
weltweit und betreibt gleich fünf ISMS parallel von Entwicklung
und Brandhäusern bis hin zu Produktion und Service im Feld.


Im Mittelpunkt steht die Beziehung zwischen Entwicklung und
Security. Dennis erzählt offen, wie Security schnell als „Bremse“
wahrgenommen wird, wenn sie erst kurz vor Go Live in Projekte
einsteigt etwa bei der Einführung von PAM oder Sicherheitsreviews
in letzter Minute. Gleichzeitig zeigt er, wie frühe Einbindung in
Architektur und Design, klare Leitplanken und eine ehrliche
Fehlerkultur dafür sorgen können, dass Security Teil des Codes
wird und nicht nur ein Häkchen im Audit.


Ein weiterer Schwerpunkt ist der Cyber Resilience Act mit Themen
wie SBOM, Secure Development Lifecycle und mehrjähriger
Updatepflicht. Dennis erklärt, was das konkret für Hersteller
bedeutet vor allem in der OT, wo Anlagen jahrzehntelang laufen
und warum SBOM und Sicherheitsanforderungen nur funktionieren,
wenn Entwicklung, Security und Management gemeinsam daran
arbeiten. Dazu kommen aktuelle Fragen rund um KI in der
Entwicklung, Umgang mit Quellcode als „Kronjuwel“, Secrets,
externe Dienstleister und Git Repositories.


Außerdem geht es um:


• wie du Security früh in den Entwicklungsprozess holst, statt am
Ende alles zu stoppen


• was der Cyber Resilience Act für Hersteller und langfristige
Patches praktisch bedeutet


• warum Bug Bounty kein Ersatz für Schulungen, Pentests und
saubere Prozesse ist


• wie Security Champions, Leitplanken und Fehlerkultur das
Verhältnis zu Entwicklern verändern


• welche Risiken KI Tools für Quellcode und Architekturwissen
haben


• warum Security für große Unternehmen gesetzt ist, im Handwerk
und bei kleinen Betrieben aber oft noch als Luxus gesehen wird


Eine Episode für alle, die Entwicklung und Security endlich als
gemeinsames Projekt verstehen wollen ohne Bullshit-Bingo, sondern
mit Praxisbeispielen aus einem Unternehmen, das jeden Tag
sicherheitskritische Technik baut.


____________________________________________


Mehr Informationen


Dennis Buroh - LinkedIn Profil:
https://www.linkedin.com/in/dennis-buroh-77643811b/


____________________________________________





Reinschauen lohnt sich!


Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache


Podcast - Cybersecurity shall be C-Level priority:
@cybersec_clevel_priority


Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyber





Schließe dich uns an, um tiefer in die Welt der digitalen
Sicherheit einzutauchen.





____________________________________________





Du findest mich auf folgenden Social Media Kanälen:


Instagram: cybersec_ist_chefsache


TikTok: