IT-Sicherheit ist langsam, unflexibel und behindert Fortschritte. Diese Einstellung herrschte über Jahre in den Unternehmen vor – gerade was die Softwareentwicklung anbetrifft. Doch immer mehr Verantwortliche erkennen, dass sie veraltete Sicherheitspraktiken und -tools gegen effizienzsteigernde und innovative Methoden ersetzen müssen. DevSecOps gilt dabei als vielversprechender Ansatz.
Weil die Zusammenarbeit von Sicherheits- und Entwicklungsteams anfangs von Betroffenen häufig kritisch aufgenommen wird, erfordert DevSecOps auch einen internen Kulturwandel.
(Bild: Murrstock - stock.adobe.com)
DevSecOps ist für viele Sicherheitsverantwortliche ein vielversprechender Ansatz, mit dem Sicherheit von Anfang Teil des Planungs- und Entwicklungsprozesses wird. Er bringt zwar viele Vorteile, aber eben auch Herausforderungen bei der Einführung.
Sicherheit ‚nach links‘ verschieben und auf DevSecOps wechseln?
Die Hauptaufgaben der IT-Sicherheit sind das Identifizieren und Bekämpfen von Sicherheitslücken. Bisher bedeutete dies lange Testphasen mit ausführlichen Freigabeschleifen am Ende des Entwicklungslebenszyklus. DevSecOps bekämpft diese Zeitfresser: Indem Sicherheitsteams ihre Expertise in den Entwicklungsprozess einbringen und mit Entwicklungsteams zusammenarbeiten, können Sicherheitsrisiken im Code schon während des Prozesses erkannt, bearbeitet und entschärft werden. Diese Verschiebung der Sicherheit im „nach links“ wird von der DevOps-Community gerne als ‚Shift-Left‘ bezeichnet. Sicherheit wird damit zu einem flexiblen und agilen Workflow, die Anwendungen werden sicherer und stehen vor allem schneller zu Verfügung. DevSecOps löst also das notorische Problem, dass Software an den Start geht, ohne sicher zu sein.
Traditionell arbeiten Teams getrennt voneinander an gleichen Projekten, ohne Rücksicht oder Verständnis für andere. Dies kostet Zeit, Geld und führt häufig auch zu einer Grabenbildung zwischen den beteiligten Teams, die für die interne Chemie nicht hilfreich ist. Arbeiten sie hingegen effektiv zusammen, fördert dies das Verständnis für die gegenseitigen Aufgaben, Arbeitsweisen und Wünsche. Die Veränderungen in der Teamstruktur und die Zusammenarbeit bringen jedoch auch Herausforderungen mit sich.
Kommunikation und Kulturwandel für DevSecOps
Weil die Zusammenarbeit von Sicherheits- und Entwicklungsteams anfangs von Betroffenen häufig kritisch aufgenommen wird, erfordert DevSecOps auch einen internen Kulturwandel. Umso wichtiger ist es, die Verantwortlichkeiten und Aufgaben zwischen den Teams klar zu definieren. Ohne diese Vorgaben kann das Potenzial von DevSecOps nicht ausgeschöpft werden. Eine unklare Verteilung wird vielmehr zum Gegenteil führen: Ist die Abstimmung zwischen den Teams nicht geklärt, bleiben Aufgaben liegen, während andere doppelt bearbeitet werden. Damit sind Konflikte und Kollisionen zwischen den Teams vorprogrammiert. Deshalb gilt: Nur mit klar definierten Zuständigkeiten und guter Kommunikationsfähigkeit kann die Zusammenarbeit gelingen.
Teams auf den Umschwung vorbereiten
Innerhalb der Teams benötigt die Umstellung auf DevSecOps Expertise sowie Lernbereitschaft. Denn gleichzeitig mit der Einführung von DevSecOps wird auch eine Anzahl neuer Werkzeuge Einzug in den Alltag der Sicherheitsteams halten. Es braucht also Fachkräfte, die mit modernen Zugängen zur IT-Sicherheit vertraut sind bzw. bereit sind, sich diese anzueignen. Generell müssen Sicherheitsteams adaptiv sein. Denn zum einen sind moderne Sicherheitsarchitekturen oft höchst kompliziert, zum anderen bestehen Anwendungen oft aus vielen Mikrodiensten und Cloud-Ressourcen, was die Sicherheitsüberwachung und -verwaltung komplexer macht. Umso wichtiger ist es, kompetente Fachkräfte, die neugierig und lernbereit sind, zu finden und zu binden. Eines ist sicher: Eine agile und moderne Sicherheitsarchitektur macht das eigene Unternehmen für die Talente der Zukunft in jedem Fall attraktiver.
Führungsetagen vom Wandel überzeugen
Auch wenn Kulturwandel und Expertise entscheidende Voraussetzungen für die Entwicklung sicherer Codes und Anwendungen sind, gibt es noch weitere Herausforderungen: Die Umstellung auf DevSecOps bringt Kosten und Aufwand mit sich. Die Führungsetage muss sich also der Notwendigkeit eines innovativen Sicherheitsansatzes bewusst werden, ebenso der daraus entstehenden Kosten und des Mehraufwandes. Nur mit entsprechendem Budget und Ressourcen, können die Sicherheitsteams zielführend und effektiv arbeiten.
DevSecOps in die Praxis umsetzen
Was sind also konkrete Schritte, die nötig sind, um den Wandel anstoßen?
Zuerst einmal gilt es, Aufmerksamkeit für die Notwendigkeit von DevSecOps zu generieren und die relevanten Stakeholder als Unterstützende für die Transformation zu gewinnen. Für die Sicherheitsverantwortlichen heißt dies, dass sie die Führungsebene von den Vorteilen einer Umstellung überzeugen müssen, um das nötige Budget sowie Rückendeckung zu gewinnen. Nur wenn das Management hinter DevSecOps steht, wird es die nötige Akzeptanz bei den Mitarbeitenden geben. Gleichzeitig muss die Vision auch an die betroffenen Teams kommuniziert werden, so dass sie verstehen, wie ihnen ein ‚Shift Left‘-Ansatz langfristig helfen kann.
Zusätzlich müssen die Mitarbeitenden zu den DevSecOps-Vorgängen und Prinzipien geschult werden. Denn die Transformation geht diesen nicht von selbst von Hand. Sie müssen die Chance bekommen, neue Vorgänge zu erlernen. Eine einheitliche Schulung stellt sicher, dass alle wichtigen Informationen an alle nötigen Adressaten gelangen.
Automatisierung wird in Zukunft eine immer wichtigere Rolle spielen, kann aber schon jetzt viele Aufgaben übernehmen. Es gibt Tools, die repetitive und arbeitsintensive manuelle Aufgaben problemlos übernehmen. Beispiele sind die Implementierung und Überwachung bestimmter Sicherheitsfunktionen einer Anwendung, das Monitoring von Anwendungen auf IT-Sicherheit oder auch der automatische Check von Codes zu deren Verifikation. Sie erlauben den Sicherheitsteams, sich auf wichtige Aufgaben zu konzentrieren und mehr Effizienz zu erzielen.
Zudem braucht es messbare Metriken, mit denen sich Erfolg und Effektivität von DevSecOps verfolgen lassen. Beispiele sind die Vorlaufzeit für Änderungen, die Änderungsfehlerrate oder auch die Deployment-Häufigkeit. Zusammen mit einer kontinuierlichen Sicherheitsüberwachung und -prüfung stellen sie sicher, dass Sicherheitspraktiken aktuell sind.
DevSecOps ist ein wichtiger Ansatz, um Sicherheit in modernen Softwareentwicklungsprozessen zu gewährleisten, ohne die Geschwindigkeit der Innovation zu beeinträchtigen. Er hat ein großes transformatives Potenzial. Gerade mit dem jetzigen Wachstum in der Cloudbranche ist der Zeitpunkt gekommen, eine effektive Sicherheitsarchitektur schon früh in Prozesse einzubinden.
Über den Autor: Andy Schneider begann seine Karriere im Bereich der IT-Sicherheit bereits im Jahr 2000 bei einer Landesbank. In den letzten 10 Jahren hatte er verschiedene CISO-Positionen inne, immer mit dem Ziel, Cybersicherheit agiler und nutzerorientierter zu gestalten und Security by Design in digitale Produkte zu integrieren. Schneider ist derzeit als Field CISO EMEA für Lacework tätig und arbeitet als Berater für TX Ventures und verschiedene Security-Start-ups. Er lebt mit seiner Frau und seinen zwei Söhnen in Zürich, Schweiz.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/60/70/60706f14b8bae3e625f870a9979a78ae/0122914419v2.jpeg "SecOps ist ein ganzheitlicher Ansatz zur Verbesserung der IT-Sicherheit, der auf die enge Zusammenarbeit zwischen IT-Sicherheits- und IT-Betriebsteams setzt.
(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/8b/3f/8b3fb0b245b256cb3b5c131762dcd7ef/0126746007v2.jpeg "Automatisierte DevSecOps-Prozesse integrieren Sicherheit direkt in den Software-Lebenszyklus. (Bild: © Murrstock - stock.adobe.com)")