DevSecOps wird oft falsch verstanden
Warum DevSecOps kein Tool-Problem ist, sondern ein Entscheidungsproblem. Und warum ich mit OnlyOle genau da ansetze.
DevSecOps wird oft falsch verstanden. Es geht nicht darum, mehr Tools einzubauen. Es geht darum, die richtigen Entscheidungen zu treffen. Und genau da verlieren die meisten Teams Zeit. Nicht weil sie es nicht können, sondern weil sie in die falsche Richtung optimieren.
Ich sehe das immer wieder in Gesprächen mit Teams, die ihre Pipeline gehärtet, ihre Images gescannt und ihr SAST-Tool eingeführt haben. Auf dem Papier sieht das nach einer ernsthaften Sicherheitsarbeit aus. In der Praxis stehen sie trotzdem vor denselben Fragen wie vor zwei Jahren: Wer darf was deployen? Wie kommen Secrets in den Build? Wer trägt die Verantwortung, wenn der Scanner anschlägt? Die Werkzeuge sind da. Die Entscheidungen fehlen.
Tools sind billig. Entscheidungen sind teuer.
Ein gutes Tooling kauft man sich in ein paar Tagen zusammen. Es einzuführen dauert ein paar Wochen. Aber eine saubere Entscheidung, wer in welcher Umgebung was darf, wer welchen Alarm wirklich bearbeitet und welche Risiken ein Unternehmen bewusst akzeptiert, fordert Haltung und Ruhe. Sie lässt sich nicht durch eine weitere SaaS-Lizenz ersetzen.
Ich erlebe Teams, die ihr Vulnerability-Backlog jeden Monat um 300 Befunde erweitern, aber nichts davon schließen. Das ist kein Scanner-Problem. Das ist ein Priorisierungsproblem. Ein Team, das sich nicht traut, zu sagen: „Diese drei Findings bearbeiten wir diese Woche, der Rest wartet." Ein Team, das von seiner Tool-Landschaft vor sich hergetrieben wird, statt sie zu steuern.
Ähnlich ist es bei Pipelines. Jedes Unternehmen hat heute YAML. Nicht jedes Unternehmen weiß, wer Zugriff auf die Secrets in dieser YAML hat. Wer den Runner patcht. Was passiert, wenn der Ex-Admin vor zwei Jahren seine persönlichen Tokens dort hinterlegt hat. Das sind keine Tool-Fragen. Das sind Governance- und Entscheidungsfragen.
Warum ich OnlyOle genau dafür gestartet habe
Mit OnlyOle gehe ich bewusst einen anderen Weg als mit meiner Agentur. Keine Projekte. Keine Slides. Keine langen Analysen. Ich arbeite 1:1 mit maximal fünf Kunden pro Monat an genau den Entscheidungen, die ein Team alleine nicht trifft, weil sie politisch, fachlich oder organisatorisch unbequem sind.
Eine Session ist kein Pitch. Ich komme nicht mit einem Produktkatalog. Ich komme mit Fragen. Wo blutet es gerade? Welche Entscheidung schiebst du seit drei Monaten vor dir her? Was würdest du tun, wenn du eine Stunde Schlaf hättest und niemand dir widersprechen könnte? Oft reicht das, um den Knoten zu lösen. Der Rest ist Handwerk, und das können die Teams in der Regel selbst.
Das limitiere ich bewusst auf fünf Kunden im Monat, weil ich die Zeit, die ich pro Fall investiere, ernst meine. Ich arbeite tagsüber weiter in Projekten bei Moselwal und sehe dort, was funktioniert und was nicht. OnlyOle ist der Ort, an dem ich dieses Wissen in kurzen, konzentrierten Gesprächen weitergebe, ohne dass jemand ein dreimonatiges Beratungsprojekt kaufen muss, um eine Stunde echte Klarheit zu bekommen.
Was ich mir von dem Format erhoffe
Ich bin kein Fan von Beratungsmodellen, die davon leben, dass der Berater länger bleibt, als er müsste. Mein Ziel ist das Gegenteil: nach einer Session soll der Kunde in der Lage sein, die nächsten drei Schritte selbst zu gehen. Wenn er danach nie wieder mit mir spricht, habe ich meinen Job gemacht.
Das klingt ungewöhnlich, ich weiß. Aber ich habe in 23 Jahren genug Kunden gesehen, denen man mit einer klaren Antwort mehr geholfen hat als mit einer 80-seitigen Powerpoint. DevSecOps ist für mich am Ende keine Ansammlung von Tools, sondern ein Führungsstil. Wer diesen Stil hat, braucht wenige Werkzeuge. Wer ihn nicht hat, kann sich jedes Werkzeug der Welt kaufen und wird sich trotzdem in seiner eigenen Komplexität verlieren.
Deshalb starte ich OnlyOle genau jetzt. Nicht als Skalierungsspiel, sondern als klares Gegenangebot zu einer Branche, die lieber verkauft als zuhört. Fünf Kunden im Monat, keine Slides, keine Ausreden. Wer gerade merkt, dass sein Team in die falsche Richtung optimiert, findet dort den Einstieg.
Fragen, die ich oft dazu höre
Ein paar Dinge, die Leserinnen und Leser mich zu diesem Thema regelmäßig fragen.
Hast du konkrete Tools, die du trotzdem empfiehlst?+
Aktuell nutze ich je nach Kontext unterschiedliche Werkzeuge, und ich bin bewusst nicht dogmatisch. Wichtiger als die konkrete Wahl ist, dass ein Team eines durchzieht und jemand klar zuständig ist. Ich nenne im Gespräch gern Namen, aber erst, wenn klar ist, wofür genau das Werkzeug ein Problem lösen soll.
Wann passt OnlyOle nicht?+
Wenn jemand einen Dienstleister sucht, der länger bleibt und umsetzt, bin ich der falsche. Ich bleibe bewusst kurz und gebe Impulse. Wer jemanden braucht, der drei Monate in der Pipeline mitarbeitet, findet bei meiner Agentur das passende Format – aber nicht bei OnlyOle.
Funktioniert das auch für kleine Teams ohne eigene Security-Rolle?+
Gerade dann. Kleine Teams haben oft das ehrlichere Problem: sie wissen genau, dass niemand die Rolle hat, und verstecken das hinter Tools. Ich helfe, die Verantwortung explizit zu machen – auch wenn sie am Ende bei einer Person liegt, die das zusätzlich macht. Das ist unbequem, aber ehrlicher als eine weitere Lizenz.
Wie gehst du in so einer OnlyOle-Session konkret vor?+
Ich mache das so: erst zuhören, was gerade wirklich weh tut, dann eine konkrete Entscheidung isolieren, die seit Wochen vor sich hergeschoben wird. In der Stunde versuchen wir, diese eine Entscheidung zu treffen. Keine Roadmap, keine Folien – nur Klarheit über den nächsten Schritt.
Brauchen wir nicht trotzdem ein gutes DevSecOps-Tooling?+
Doch, klar. Ich bin nicht gegen Tools. Ich bin dagegen, mit Tools anzufangen, bevor klar ist, wer welche Entscheidung trifft. Ein gutes SAST-Tool ohne klare Verantwortlichkeit produziert nur mehr Backlog. Ich schaue deshalb zuerst auf die Entscheidungsstruktur und dann auf das Werkzeug.
Wenn du das tiefer besprechen willst
Ich berate einzelne IT-Verantwortliche unter OnlyOle — 1:1, ohne Agentur-Overhead. Wenn dich das hier länger beschäftigt und du es in deinem Kontext sortieren willst, ruf einfach an oder schreib mir eine kurze Nachricht.