Die Einführung neuer Anwendungen dauert oft Monate – insbesondere, wenn Entwickler den Code anpassen und seine Sicherheit verifizieren müssen. Der hohe finanzielle und personelle Aufwand könnte an anderer Stelle für echte Innovationen sorgen. Was passiert, wenn diese Schritte weitgehend automatisiert werden?
Das Automatisieren unliebsamer Aufgaben kann die Developer Experience deutlich verbessern.
In der Welt der Unternehmenssoftware ist Sicherheit ein nicht verhandelbares Element. Besonders mit der Erkenntnis des Veracode State of Software Security 2024 Report (SoSS 2024), der festgestellt hat, dass bei 71 Prozent der Unternehmen sogenannte „Sicherheitsschulden“ - eine Anhäufung von Fehlern, die über längere Zeiträume nicht behoben werden - identifiziert wurden.
Doch obwohl die Notwendigkeit eines Risikomanagements für Anwendungen mit Sicherheitsscans und -korrekturen unbestreitbar und durch den SoSS 2024 belegt ist, haben Entwickler in der Regel nicht viel Zeit, um sich damit zu beschäftigen. Denn von der Konfiguration von Pipelines bis zur Einrichtung von Tickets - jeder Schritt bedeutet Zeit und Mühe.
Dieser Aufwand steigt exponentiell in Unternehmen mit Hunderten oder Tausenden von Anwendungen, die implementiert, bearbeitet, gescannt und abgesichert werden müssen. Doch die Deadlines sind in der Regel eng getaktet und die Entwickler überlastet. Kein Wunder also, dass Security nicht zu den Lieblingsaufgaben der Entwickler gehört.
Noch dazu ist es häufig der Fall, dass sie von ihren Unternehmen nicht ausreichend dazu geschult werden. Im Veracode ESG Survey Report gaben fast sieben von zehn Entwicklerinnen und Entwicklern an, dass ihr Arbeitgeber keine angemessene Sicherheitsschulung anbietet. Sie müssen also schauen, wie sie sich in diesem Bereich selbst weiterbilden.
Wie Automatisierung Entwicklungsworkflows vereinfacht
Hier kommt „Make it disappear“ ins Spiel ؘ– eine Idee, die darauf abzielt, den zeitaufwändigen Prozess der Sicherheitsintegration bei Softwareentwicklung zu eliminieren und stattdessen mit Machine-Learning- (ML) bzw. KI-basierten Tools wie beispielsweise Veracode Fix zu automatisieren. Das Prinzip ist einfach: Sobald ein Entwickler eine Aktion ausführt, wie beispielsweise das Codeänderung, stößt das Tool den Sicherheitsscan automatisch im Hintergrund an. Ergebnisse werden sofort präsentiert, einschließlich potenzieller Sicherheitslücken und Bibliotheksabhängigkeiten. Außerdem werden mögliche Lösungswege aufgezeigt.
Der Ansatz zielt darauf ab, Entwickler und Entwicklerinnen von der manuellen Konfiguration und Anwendungsentwicklung zu entlasten. Stattdessen werden Sicherheitsscans von Code und die Behebung von Schwachstellen durch Automatisierung nahtlos in ihre Arbeitsabläufe integriert. Anstatt Zeit mit der Einrichtung, dem Scannen und der Wartung zu verbringen, können sie sich auf das Wesentliche konzentrieren: die Entwicklung und Anpassung hochwertiger Software, die eine Vielzahl von Aufgaben und Prozessen unterstützt oder ermöglicht.
Das macht ihre Arbeit wesentlich effizienter und erfolgreicher und eliminiert lästige, sich wiederholende Aufgaben. Die Arbeit macht mehr Spaß, das Innovationspotenzial steigt und auch die Sicherheit profitiert: Da Sicherheitsscans und Verbesserungsvorschläge automatisch durchgeführt werden, sinkt die Wahrscheinlichkeit von Sicherheitslücken erheblich. Dies ist besonders wichtig in einer Zeit, in der die Sicherheitsrisiken zunehmen, weil Hacker sich vermehrt auf KI stützen.
Ein wichtiger Aspekt des „Make it disappear“-Ansatzes ist die automatisierte Beseitigung von Sicherheitslücken im Code von Anwendungssoftware und deren Anpassbarkeit an unterschiedliche Entwicklungsplattformen. Von integrierten Entwicklungsumgebungen bis hin zu Continuous-Integration-Systemen ist die Automatisierung fast überall möglich. Ob mit GitHub, Azure DevOps, GitLab oder Bitbucket, jeder Entwickler sollte von diesen Vorteilen profitieren können.
Onboarding von mehr Anwendungen in kürzerer Zeit
Die Auswirkungen von „Make it disappear“ sind bereits zu spüren. Unternehmen, die auf Automatisierung setzen, haben beeindruckende Ergebnisse erzielt. So konnte beispielsweise ein bekanntes, großes Medienunternehmen dank halbautomatischer Prozesse und Vorlagen, wie der CI-Integration und der GitHub Workflow App, 3.000 Anwendungen in nur eineinhalb Monaten sicher integrieren.
Im Vergleich zu herkömmlichen manuellen Methoden stellt dies eine massive Beschleunigung dar. Dies verdeutlicht die transformative Kraft von KI- und ML-basierter Automatisierung, die es Unternehmen ermöglicht, ihre Anwendungsentwicklung und Sicherheitsabläufe zu optimieren, um mehr Ziele in kürzerer Zeit zu erreichen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Reduzierte „Sicherheitsschulden“ und optimierte Prozesse für Entwickler
Der Erfolg der Anwendungsentwicklung und das Innovationspotenzial eines Unternehmens hängen von zufriedenen Entwicklern ab, die Spaß am Coding haben. Durch die Automatisierung wichtiger, aber ungeliebter Aufgaben wie der Codesicherheit, die viel Zeit in Anspruch nimmt, können sie sich auf ihre Kernaufgaben konzentrieren und kreativer als bisher zur Weiterentwicklung ihres Unternehmens beitragen - ohne Abstriche bei der Sicherheit machen zu müssen.
Die Automatisierung nimmt den Entwicklern jedoch nicht die Verantwortung für die sichere Codierung ab. Vielmehr unterstützt sie sie, indem sie frühzeitig auf Fehler oder Lücken hinweist und Lösungen vorschlägt. Sie hilft auch, Sicherheitsaspekte stärker in den Entwicklungsprozess zu integrieren, was letztlich zu einer höheren Softwarequalität führt.
Darüber hinaus können Entwickler leichter gegen „Sicherheitsschulden“ vorgehen. Laut dem State of Software Security Report von Veracode haben 46 Prozent der Unternehmen hartnäckige, schwerwiegende Schwachstellen, die als „kritische Sicherheitsschulden“ gelten und die Unternehmen hinsichtlich der Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit ernsthaft gefährden. Mit KI-gestützter Fehlerbehebung können Entwickler die Zeit zur Beseitigung von Sicherheitsmängeln von Stunden auf Minuten verkürzen und so Hunderttausende von Euro für ihre Unternehmen einsparen.
Die Zukunft des sicheren Coding heißt Automatisierung
Bei der Anwendungsentwicklung stehen heutzutage zwei Aspekte im Vordergrund: Geschwindigkeit (Going-Live, Time-to-Market) und Sicherheit. Durch die Eliminierung manueller Prozesse und die Bereitstellung von automatisierten Lösungen sparen Unternehmen nicht nur Zeit und Kosten, sondern heben ihre Softwareentwicklung auch auf ein neues Niveau – mit mehr Sicherheit, mehr Innovationspotenzial, schnellerem Time-to-Market und besseren Wettbewerbschancen in einer globalen Welt. Das Prinzip ‚Scanne so früh wie möglich, so viel wie möglich und in jeder Phase der Pipeline‘ lässt sich so umsetzen – ohne dass die Entwickler den Spaß am Coden verlieren.
Die Zukunft des Coding ist automatisiert – Zeit- und Kosteneffizienz sowie gleichzeitig die Gewährleistung von Softwaresicherheit und Spaß beim Programmieren sind so kein Wunschtraum mehr, sondern bereits heute möglich.
* Über den Autor Julian Totzek-Hallhuber ist Manager Solution Architect EMEA/APAC/LATAM bei Veracode.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/8b/3f/8b3fb0b245b256cb3b5c131762dcd7ef/0126746007v2.jpeg "Automatisierte DevSecOps-Prozesse integrieren Sicherheit direkt in den Software-Lebenszyklus. (Bild: © Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/db/5a/db5a89304949875e57ee9359ec47c27d/0124138477v4.jpeg "Unzureichend kontrollierter Software-Code kann schnell zum unternehmensweiten Sicherheitsrisiko werden. (Bild: valerybrozhinsky - stock.adobe.com)")