Automatisierte Sicherheitsprozesse machen DevSecOps unverzichtbar. KI, Policy-as-Code und Compliance-Automatisierung sorgen dafür, dass Sicherheit in jeder Phase des Software-Lebenszyklus mitläuft – proaktiv statt reaktiv.
Automatisierte DevSecOps-Prozesse integrieren Sicherheit direkt in den Software-Lebenszyklus.
Anwendungssicherheit ist und bleibt das sensible Thema in vielen Unternehmen, erst recht in Anbetracht der ständig wachsenden Cyberrisiken. Es gehört deshalb in jede Phase des Softwarelebenszyklusses – aus DevOps-Initiativen werden zunehmend DevSecOps-Teams. Durch die Automatisierung sicherheitsrelevanter Aufgaben ändern sich nicht nur die Arbeitsabläufe, sondern die gesamte Art und Weise, mit Sicherheit umzugehen. Hier die fünf wichtigsten Entwicklungen im Überblick.
Anwendungsentwicklung und operationaler Betrieb sind in den letzten Jahren als DevOps-Initiativen näher aneinander gerückt. Das ist sinnvoll, weil die Anforderungen beider Phasen des Software-Lebenszyklus so schon früh aufeinander abgestimmt werden können: Bestimmte Erfordernisse des IT-Betriebs können bei der Entwicklung bereits berücksichtigt werden, Unstimmigkeiten und Inkompatibilitäten werden früher erkannt und schneller gelöst. Da erscheint es als logischer Schritt, die Sicherheit der Anwendung ebenfalls mit diesem Blickwinkel zu betrachten und sie in jeden Entwicklungsschritt zu integrieren.
DevSecOps will genau das in der Praxis etablieren: Sicherheitsmaßnahmen wie Security Scans, Abhängigkeitsprüfungen, Konfigurations- und Schwachstellen-Management, Patching sowie proaktive Reaktionen auf Unregelmäßigkeiten und Ähnliches in jede Phase des Software-Lebenszyklus zu integrieren. Manuell ist das kaum möglich, zu komplex sind die Verfahren moderner Softwareentwicklung und zu hoch die Entwicklungsgeschwindigkeit zunehmend digitalisierter Unternehmen. Doch viele dieser Funktionen und Abläufe lassen sich automatisieren.
An zwei Beispielen – der kontinuierlichen Überwachung des Entwicklungsprozesses und der Nutzung von Policy-as-a-Code – lässt sich die DevSecOps-Automatisierung gut verdeutlichen: Auf der Basis vordefinierter Ereignisse können jedes Stück Code und jedes Container Image während des laufenden Entwicklungsprozesses automatisch überprüft werden. Solche Ereignisse sind beispielsweise unautorisierte Änderungen, Verschiebungen der Abhängigkeiten oder Abweichungen bei der definierten Konfiguration. Die Entwickler werden sofort informiert und können eingreifen.
Mit Policy-as-Code-Konzepten lässt sich ebenfalls ein wichtiges Maß an Sicherheit automatisch in den Entwicklungsprozess einbringen. In jedem Unternehmen gibt es zahlreiche interne und externe Richtlinien, die eingehalten werden müssen. Das können bestimmte Grundregeln, wie eine Anwendung aufgebaut ist, Zugriffsrechte oder übergreifende Compliance-Regeln für die IT-Infrastruktur sein. Wenn diese Richtlinien als Code definiert und hinterlegt werden, ist sichergestellt, dass deren Einhaltung schon während des Entwicklungsprozesses geprüft wird. So verlangen Compliance-Regularien beispielsweise ein kontinuierliches Configuration Monitoring, bei dem laufend geprüft wird, welche Konfigurationen geändert werden und ob diese Änderungen den Vorgaben entsprechen. So ist jederzeit nachvollziehbar, wer was geändert hat.
Die Akzeptanz von DevSecOps nimmt zwar stetig zu, die Umsetzung in der Praxis ist aber nicht immer ausgereift. Viele Teams haben Schwierigkeiten damit, ihre Sicherheits- und Entwicklungsabläufe zu einem kohärenten System zusammenzufügen. Technologien wie KI und ständig neue Vorgaben seitens der Compliance machen die DevSecOps-Automatisierung mehr und mehr zu einer Notwendigkeit.
Fünf bedeutende Entwicklungen im Überblick:
1. KI wird DevSecOps nachhaltig verändern
Eine KI-gestützte Orchestrierung wird künftig dabei helfen, die Bedrohungen besser zu identifizieren und die Reaktionen bei Vorfällen spezifischer zu priorisieren. So können beispielsweise Modelle für maschinelles Lernen Schwachstellen auf der Basis von Nutzungsmustern erkennen oder das Gefahrenpotenzial einer Fehlkonfiguration vorhersagen. Genauso stehen die KI-Technologien aber auch Cyberkriminellen zur Verfügung, die sie für ihre Zwecke nutzen. Von KI optimierte Malware oder intelligente Penetrationsangriffe – bereits jetzt entwickelt sich hier eine interessante Dynamik. Um gegen KI-optimierte Cyberangriffe gewappnet zu sein, werden Unternehmen gezwungen sein, sich mit KI-basierter Security und DevSecOps-Automatisierung zu beschäftigen.
2. Shift Left für die DevSecOps-Automatisierung
Je früher manche Aufgaben im Softwarelebenszyklus erledigt werden oder zumindest Beachtung finden, umso besser. Dafür werden Aufgaben wie eben die Umsetzung von Sicherheitsfeatures bei der Anwendung nun innerhalb des Prozesses nach vorn, also nach links verschoben (Shift Left). „Secure by Design“ und „Secure by Default“ sind typische Konzepte innerhalb der DevSecOps-Prinzipien. Viele der Verfahren, wie zum Beispiel statische und dynamische Anwendungssicherheitstests (SAST und DAST, Static/ Dynamic Application Security Testing) lassen sich automatisieren. Shift-Left-Strategien werden dadurch gestärkt.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
3. Klare Verantwortung für Sicherheit in der Software-Lieferkette
Einige Richtlinien, wie zum Beispiel die NIS2-Directive (Network and Information Security) oder der EU Cyber Resilinec Act, fordern bereits jetzt die Einführung von Software-Stücklisten (SBOM, Software Bill of Materials). In diesen detaillierten Listen sind alle Software-Komponenten, dazugehörige Bibliotheken, Abhängigkeiten, etc. verzeichnet, die in der Software verwendet werden. SBOMs schaffen Transparenz über die gesamte Software-Lieferkette und stellen die Integrietät sicher – ein wichtiger Bestandteil einer Sicherheitstrategie. Automatisierung kann DevSecOps-Teams hier zusätzlich unterstützen: So kann durch ein Policy-as-a-Code-Konzept praktisch erzwungen werden, das jedes Stück Code signiert und verifiziert wird. Manipulationen werden dadurch deutlich erschwert und es ist stets transparent, wie die Software entstanden ist. Scanning-Tools können während des gesamten Prozesses den Code auf Abhängigkeiten überprüfen, um veraltete oder unsichere Beziehungen blockieren.
4. Die Hyper-Automatiseriung der Compliance
Compliance Frameworks, wie die DSGVO (Datenschutzgrundverordnung), die NIS-Richtlinie oder EU AI Act, sind umfangreiche Regelwerke. Deren Einhaltung ist jedoch geschäftskritisch und wird deshalb mehr und mehr automatisiert umgesetzt werden. Anstatt Server und virtuelle Maschinen manuell zu validieren, werden Unternehmen Compliance-Standards künftig auf jeder Ebene kodifizieren. Das heißt konkret, dass die IT-Infrastruktur auf der Basis vordefinierter und unumgänglicher, weil fest einprogrammierter, Security Baselines konfiguriert und verwaltet wird (Infrastructure-as-a-Code). Richtlinien können so kontinuierlich und konsistent auch in hybriden IT-Umgebungen durchgesetzt werden und skalieren jederzeit automatisch mit.
5. Schwachstellen nicht nur automatisiert erkennen, sondern beheben
Sicherheitsrelevante Ereignisse werden durch Monitoring und kontinuierliche Analyse automatisch erkannt. Dies löst entsprechende Workflows aus, der IT-Administrator wird informiert, die Nutzer gesperrt oder Ähnliches. Im nächsten Entwicklungsschritt übernimmt nun das System selbst bestimmte, regelbasierte Maßnahmen selbst: etwa problematische Updates zurücksetzen, Patches einspielen oder kompromittierte Systeme isolieren. Durch die Integration von Patch-Management und Schwachstellenbehebung in die bestehenden CI/CD-Workflows sind DevSecOps-Teams den Fehlerquellen immer einen Schritt voraus und werden zugleich von zahlreichen Routineaufgaben befreit.
Die Sicherheit jeder Software von Beginn an konsequent miteinzubeziehen, sorgt nicht nur für sicherere Anwendungen, sondern beschleunigt den Entwicklungs- und Bereitstellungsprozess sogar. Langfristige Tests und Überarbeitungen entfallen, kürzere Release-Zyklen werden möglich. Mit der Automatisierung verschiedener Security-Funktionen setzt sich die Entwicklung fort: Sicherheitsprobleme weniger lösen, sondern sie gar nicht erst entstehen lassen.
Über den Autor: Volker Rippegather ist Regional Director DACH & CEE bei Perforce Puppet.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/d8/7c/d87ccce1c10c750056a03d4a814ef592/0124325043v2.jpeg "Die Implementierung von DevSecOps ist unverzichtbar für Organisationen, die ihre Systeme wirksam vor böswilligen Angriffen schützen und gleichzeitig eine schnelle, effiziente und nachhaltige Wertschöpfung gewährleisten möchten. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/85/18851556b97d05d44d4989e34835194d/0120695236v1.jpeg "DevSecOps können Compliance-Richtlinien als Code implementieren und so Sicherheits- und Datenschutzanforderungen von Anfang an berücksichtigen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/43/0e/430eb2e5140c4ad290d62619d58f26d8/0121986487v1.jpeg "Shift-Left-Security integriert DevSecOps, Zero Trust und Policy as Code für maximale Agilität und Sicherheit. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/1f/161faed9d9ffef258436000874491721/0126364198v2.jpeg "Die Ursachen vieler aktueller Cybersecurity-Probleme liegen nicht nur in kulturellen Unterschieden zwischen Entwicklungs- und Security-Teams, sondern auch in strukturellen Schwächen, sagt Josh Lemos, Chief Information Security Officer bei GitLab. DevSecOps-Praktiken könnten hier nachhaltig Abhilfe schaffen. Besonders mit Blick auf KI-gestützte Softwareentwicklung ist ein Umdenken nötig. (Bild: © tippapatt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/88/a8/88a8d767df8115d133d1c105fa29bbbf/0121769785v2.jpeg "Entwickler müssen ihre Software täglich oft mehrere hundert Male aktualisieren. Dies sowie fehlende Sichtbarkeit können sich negativ auf die Sicherheit des Codes auswirken. (Bild: immimagery - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/d7/f7d771b8b25cf078f58448ff4049bc38/0125638406v2.jpeg "Das Forschungszentrum ATHENE empfiehlt, die Anforderungen des Cyber Resilience Acts direkt in die SecDevOps-Pipeline zu integrieren – für automatisierte Sicherheit entlang des gesamten Produktlebenszyklus. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/33/37/3337aa61f824fff11f601469a8096c61/0124274911v1.jpeg "In bedrohlichen Zeiten bieten ASPM-Ansätze Schutz über den gesamten Software Development Lifecycle. (Bild: Sora / KI-generiert)")