Anwendungssicherheit war nie wichtiger als jetzt. Jedoch kommen Entwicklungs- und IT-Security-Teams selten gut miteinander aus. Um die unüberwindbar scheinenden Gräben zu überbrücken, reichen organisatorische Ansätze allerdings nicht aus. Unternehmen brauchen die technische Unterstützung von ASPM-Lösungen.
ASPM-Lösungen erleichtern die Zusammenarbeit im DevSecOps-Team und helfen die Aufgabenbereiche nahtlos miteinander zu verbinden.
(Bild: stone36 - stock.adobe.com)
Es ist ein Irrtum, dass Entwicklungs- und IT-Sicherheitsabteilungen immer auf einer Wellenlänge sind. Zwar haben Programmierer eine intrinsische Motivation, möglichst sichere Anwendungen zu schreiben, doch ihre Priorität liegt meist auf der Funktionalität. Hinzu kommt der Zeitdruck: Er führt dazu, dass Entwickler den Code von Anwendungen nicht immer selbst schreiben, sondern sich in öffentlichen Programmierbibliotheken (Public Libraries) bedienen und Funktionalitäten via Glue-Code („Klebe-Code“) in ihre Anwendungen einfügen. Eine nahezu hundertprozentige Sicherheit können sie damit kaum gewährleisten. IT-Security-Abteilungen stehen also vor der großen Aufgabe, Entwicklern die unbedingte Einhaltung von Sicherheitsstandards zu vermitteln. Allerdings sind die wenigsten Sicherheitsspezialisten Anwendungsentwickler, und das führt nicht selten dazu, dass Entwickler und Security-Experten aneinandergeraten.
Hängebrücken brauchen stabile Pfeiler
Der DevOps-Ansatz hilft, die Gräben zwischen Entwicklung und IT-Betrieb zu überbrücken. Organisatorisch lässt sich dieser Weg auch für die Zusammenarbeit zwischen Entwicklern, dem IT-Betrieb und der IT-Security in Form eines DevSecOps-Teams abbilden. Es genügt allerdings nicht, alle Bereiche einfach in einem Team zusammenzufassen und zu hoffen, dass die nötigen Synergien aus dem Nichts entstehen. Was DevSecOps-Teams an dieser Stelle brauchen, ist ein stabiler Pfeiler, auf dem die sprichwörtliche Brücke zwischen den Bereichen aufliegt: einen dedizierten Verantwortlichen für die Anwendungssicherheit, also die Application Security (AppSec). AppSec-Manager genießen bei Entwicklern in der Regel mehr Vertrauen als reine IT-Security-Spezialisten, da sie einen Hintergrund als Anwendungsentwickler haben oder zumindest über entsprechendes Fachwissen verfügen. Gleichzeitig genießen sie auch das Vertrauen der IT-Security-Abteilung, in deren Auftrag sie agieren. Ein vollwertiges DevSecOps-Team, in dem AppSec-Manager als Bindeglied dienen, ist die beste Methode, um den gesamten Secure Software Development Lifecycle (SSDLC) einer Anwendung abzubilden.
Personal ist nicht alles
Anwendungssicherheit ist allerdings nicht nur eine organisatorische und fachliche Frage, sondern impliziert auch eine technologische Komponente. Um die Zusammenarbeit im DevSecOps-Team zu erleichtern und die Aufgabenbereiche nahtlos miteinander zu vereinen, dienen ASPM (Application Security Posture Management)-Lösungen. Sie stellen zunächst die für die IT-Security wichtige Visibilität her, zeigen also, wo das Unternehmen überhaupt in Sachen AppSec steht. Einmal mit der zentralen Quellcodeverwaltung, dem so genannten Source-Code-Management-System (SCM), des Unternehmens verbunden, zeigen ASPM-Lösungen auf, welche Technologien und -Tools bei den Softwareentwicklern Verwendung finden. Nicht selten werden dabei diverse, unabhängig voneinander agierende Security-Tools entdeckt, die beispielsweise nach Schwachstellen im selbst entwickelten Code suchen. Diese Übersicht ermöglicht es, den Tool-Stack zu konsolidieren, denn oft nutzen unterschiedliche Teams verschiedene Softwarelösungen, die die gleiche Funktionalität haben. Unternehmen profitieren dadurch von geringeren Kosten und einer deutlich verminderten Komplexität.
ASPM-Lösungen haben zudem den Vorteil, dass sie aufzeigen, welche Daten und Metriken die vorhandenen Security-Tools bereits erfassen, sammeln und bereitstellen – und auch, was mit ihnen anschließend geschieht. So legt eine ASPM-Lösung offen, ob die Tools Daten und Metriken lediglich allokieren oder ob sie auf deren Basis automatisiert auch weiterführende Maßnahmen ergreifen. Gute ASPM-Lösungen lassen sich darüber hinaus direkt in die IDE (Integrated Development Environment) der Entwickler implementieren. Auf diese Weise kann die IT-Security-Abteilung Entwicklern Informationen zu erkannten Schwachstellen im Code nativ und nahtlos in deren gewohnter Entwicklungsumgebung und ohne lästiges Ticket-System oder zusätzliche Tools bereitstellen. Visuell erscheinen sie als einfaches zusätzliches Fenster in ihrer IDE. Das senkt die Hürden für Entwickler, auf die Sicherheit ihrer Anwendungen zu achten und spart zeitraubende Iterationen.
Priorisierung und Visualisierung
Ein ganz entscheidendes Thema ist überdies die Priorisierung von Schwachstellen. Gerade in großen Anwendungslandschaften gibt es schnell Hunderttausende Violations – Schwachstellenscanner definieren deren Kritikalität zumeist ohne jeglichen Kontext. IT-Security-Teams haben demnach oft damit zu kämpfen erst einmal sämtliche relevanten Informationen zu potenziellen Schwachstellen zusammenzutragen, den Kontext herzustellen und anschließend eine Triage durchzuführen. Gute ASPM-Lösungen bieten diesen Service nativ und KI-gestützt an. IT-Sicherheitsexperten sehen dann im Dashboard bereits eine Übersicht über die dringlichsten Violations und eine vom System kuratierte Liste, die anzeigt, welche Schwachstellen das größte Schadenspotenzial haben.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Um alle relevanten Informationen über eine Sicherheitslücke dann auch noch an genau den richtigen Entwickler weiterleiten zu können, ist es extrem hilfreich, wenn eine ASPM-Lösung sämtliche Abhängigkeiten aufspürt, die Verantwortlichkeiten ermittelt und dafür eine Visualisierung bereitstellt. Dadurch stellt sie totale Visibilität auf einen Blick für die IT-Security-Abteilung her. Da Schwachstellen zwar oft genug nur an einer Stelle im Code oder in einer verwendeten Library vorzufinden sind, allerdings gleichzeitig erheblich Auswirkungen auf unterschiedlichste Bereiche der Softwareinfrastruktur haben können, ist eine Visualisierung aller Abhängigkeiten einer Schwachstelle von größtem Wert.
Optionalität ist alles
Das Problem vieler ASPM-Lösungen ist, dass sie lediglich ein „Hub“ für Drittanbieter-Tools sind, während gute ASPM-Lösungen zusätzlich native Funktionen bieten. Das Konzept ist an dieser Stelle, alles aus einem Guss bereitzustellen, was Entwicklungs- und IT-Security-Abteilung an Anwendungssicherheitsfunktionalität benötigen. Dazu zählen Sicherheitslösungen für die Pipeline- und die Software-Supply-Chain-Security, eine nahtlose Integration in die CI/CD-Pipelines sowie AppSec-Testing-Tools. Der Vorteil: ein reibungsloser Secure Software Development Lifecycle (SSDLC).
Bei der Einführung einer ASPM-Lösung ist vor allem wichtig, nicht zu viel auf einmal zu verlangen. Unternehmen, die auf einen Schlag sämtliche eingesetzten Secure-Development-Tools ersetzen wollen, werden auf heftigen Widerstand stoßen. Viel wichtiger ist die sogenannte Optionalität: sie müssen einerseits die Möglichkeit haben, die ASPM-Lösung ihrer Wahl nahtlos in die Git-Umgebung der Entwickler zu integrieren und somit die Sichtbarkeit über sämtliche Code-Basen, IT-Infrastrukturen und Tools hinweg herzustellen. Andererseits muss die ASPM-Lösung auch die (möglicherweise nur vorübergehende) Verwendung sämtlicher vorhandener Teile des Tool-Stacks zu gewährleisten. Durch diesen holistischen Ansatz, bestehend aus nativen Tools und der Kombinierbarkeit mit Drittanbieter-Software, erleichtern ASPM-Lösungen den schrittweisen Übergang zu einem konsolidierten Tool-Stack.
Über den Autor: Jochen Koehler ist Vice President of Sales EMEA bei Cycode.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/33/37/3337aa61f824fff11f601469a8096c61/0124274911v1.jpeg "In bedrohlichen Zeiten bieten ASPM-Ansätze Schutz über den gesamten Software Development Lifecycle. (Bild: Sora / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ba/44/ba44c6bfbe4d5aaa2f674975cc8cac35/0122382341v1.jpeg "Spitzenpoition in puncto Application-Security - der „State of ASPM Report“ von Cycode lässt deutsche Unternehmen das Feld anführen. (Bild: frei lizenziert)")