Die Wurzeln des angespannten Verhältnisses führt Chris McHenry von Aviatrix auf die Entwicklung der Unternehmens-IT zurück. Die rasche Einführung der Cloud habe grundlegend verändert, wie Organisationen Anwendungen bereitstellen und Benutzerzugriffe verwalten. Vor der Cloud-Ära hätten Sicherheitsteams am Steuer gesessen, weil Firmen mit physischen Laptops, Desktops und Rechenzentren arbeiteten. “Sie konnten buchstäblich physische Grenzen schaffen, die sie kontrollieren konnten”, sagt McHenry gegenüber Dark Reading. “Es fällt Menschen schwer, von voller Kontrolle zu gar keiner Kontrolle zu wechseln.”

Mit der Cloud wurden Entwickler selbst zu Einkäufern und mussten nicht mehr auf Beschaffung und Einrichtung durch andere warten. Das erhöhte das Tempo – und brachte die Sicherheit in die Rolle dessen, der hinterherläuft. Früher ließen sich Firewalls leichter umgehen, als Richtlinien noch auf statischen IP-Adressen beruhten; in der Cloud ändern sich diese laufend. Wenn eine Firewall nur IP-Adressen verarbeiten könne, so McHenry, gerieten Unternehmen in Schwierigkeiten, weil dies zu deutlich größeren Mengen an Änderungen führe. Firewalls stellten zudem einen “riesigen Explosionsradius” dar, der ganze Netzwerke gefährden könne.

Aaron Rose vom Office of the CTO bei Check Point sieht die Reibung zwischen Entwicklung und Sicherheit grundsätzlich im Sinken: Mehr Organisationen behandelten Sicherheit als gemeinsame Verantwortung statt als kurzfristigen Blockierer. Dennoch stünden beide Seiten unter gegensätzlichem Druck – die einen müssten schnell Code ausliefern, die anderen “das Risiko mit begrenzter Zeit und begrenztem Kontext senken”. “Wenn Sicherheitswerkzeuge oder Freigaben außerhalb des Entwickler-Workflows liegen, entstehen lange Rückkopplungsschleifen, Nacharbeit und Frust auf beiden Seiten”, sagt Rose.

Hybride und Multi-Cloud-Architekturen hätten die Zahl der Durchsetzungspunkte und der nötigen Richtlinienübersetzungen je Geschäftsänderung erhöht, doch viele Organisationen hätten ihre Strategien nicht angepasst. Sie betrieben Firewalls weiterhin über Tickets, manuelle Prüfung, manuelle Umsetzung und periodische Audits. “Dieses Modell kann mit der modernen Liefertaktung nicht mithalten, also entstehen Rückstände”, so Rose. In großen Unternehmen führt er die Rückstände auf eine Vielzahl von Anbietern, globale Strukturen und verschachtelte Prozesse zurück; bei kleinen und mittleren Unternehmen sei es meist ein Ressourcenproblem, wenn eine Person zugleich Netzwerk, Sicherheit, Cloud und mitunter den Helpdesk betreue.

Rückstände bremsen laut McHenry den Betrieb, erhöhen die Angriffsfläche und mindern die Sichtbarkeit drastisch. Viele kleinere Unternehmen nutzten überhaupt keine Regeln, weil ihnen die Kapazität zur Verwaltung fehle – ihre Firewalls stünden in der Regel weit offen. Als Ausweg empfehlen beide, bestimmte Abläufe zu automatisieren und Kontrollen direkt in die Entwickler-Workflows einzubetten. Firewall-Richtlinien würden zunehmend wie ein technisches Produkt behandelt: Absichten in Anwendungsbegriffen definieren, Risikoprüfungen automatisieren und menschliche Prüfung für Ausnahmen oder Hochrisiko-Änderungen reservieren.

Geschwindigkeit und Sicherheit schließen sich für McHenry nicht aus – nötig sei aber, neben neuer Technik auch die Prozesse zu erneuern. “Wenn App-Teams mit Claude Code und KI-Entwicklung schneller vorankommen, dann wächst das Protokoll wie verrückt”, warnt er. “Ohne den Prozess zu ändern, wird es nur schlimmer.”