Reifegrad der IT Security bestimmenDevSecOps-Maturity-Modell für mehr IT-Sicherheit
Von
Stefan Marx
6 min Lesedauer
Das DevSecOps-Konzept, also die Verbindung aus Development, Security und IT-Operations, kann gefährliche Schwachstellen in Sicherheitsprozessen offenlegen. Vor der Einführung eignet sich ein Maturity-Modell zur Bestimmung des Status quo.
DevSecOps-Praktiken können einen wichtigen Bestandteil zur Unternehmenssicherheit darstellen – wollen Unternehmen entsprechende Prozesse einführen, hilft eine Reifegradbestimmung.
Das Konzept von DevOps, eine Wortzusammensetzung aus den Begriffen Development und IT Operations, soll im Sinne des Kundenerlebnisses die Geschwindigkeit und Qualität der Anwendungsentwicklung erhöhen. Doch mit wachsender Geschwindigkeit und Komplexität der Entwicklung entstehen auch neue Sicherheitsrisiken. DevOps-Teams entwickeln sich weiter und mit DevSecOps ist ein neuer Bereich entstanden, der bessere Sicherheitsmechanismen in den Software Developement Lifecycle (SDLC) integriert.
eBook „DevOps und Security“
(Bild: Dev-Insider)
E-Book zum Thema
Das eBook „DevOps und Security“ erläutert die Unterschiede von DevSecOps, SecDevOps und DevOpsSec und befasst sich mit dem Warum und Wie.
Obwohl DevSecOps die IT-Sicherheit erhöhen, ist ihre Einführung wenig bis gar nicht standardisiert. Hier kann das Maturity Model helfen, um Lücken in Sicherheitsprozessen zu identifizieren und DevSecOps im Unternehmen erfolgreich voranzutreiben.
Einblicke in Sicherheitsprozesse
Meine Erfahrung in der Entwicklung von DevOps- und nun eben auch DevSecOps-Praktiken hat ein paar grundlegende Erkenntnisse über den Security-Bereich zutage gefördert.
So kann Sicherheit schnell zu einem Engpass im Bereitstellungsprozess neuer Software werden, da DevOps-Teams meist schneller arbeiten als ihre Kollegen in der IT-Sicherheit. Bessere Sicherheitskontrollen sind daher bereits in der Entwicklung notwendig, um die Softwarebereitstellung zu beschleunigen und das Risiko von Anwendungsschwachstellen zu minimieren. Schon heute werden Sicherheits-Teams viel früher in den SDLC eingebunden als noch vor einigen Jahren.
Es bleibt jedoch das Problem, dass Sicherheitsteams oft isoliert sind. Sie verwenden häufig andere Tools, Prozesse und eine andere Terminologie als DevOps-Bereiche, was die Einbindung von Sicherheitspraktiken in bestehende Entwicklungsabläufe erschwert.
Ausgereifte DevOps-Praktiken beschleunigen die Bemühungen, DevSecOps voranzutreiben. Aber selbst Unternehmen, die bereits über einen hohen Reifegrad verfügen, finden immer wieder erhebliche Lücken in der Transparenz der Anwendungssicherheit, etwa einen Mangel an klar definierten Metriken, die in jedem Team zugänglich sind.
DevSecOps Kompetenzen
Folgende Kompetenzen sind von Bedeutung für den Aufbau von DevSecOps-Prozessen und der eigenen DevSecOps-Reife. Wenn Verantwortliche verstehen, wie sich diese Kompetenzen auf ihr Unternehmen und den SDLC auswirken, können sie den DevSecOps-Prozess entmystifizieren und die richtigen Schritte in Richtung organisatorischer Reife einleiten.
Kultur: Die Kultur eines Unternehmens ist ein wichtiger Bestandteil beim Aufbau ausgereifter DevSecOps-Prozesse. Hier sollte im Sinne der Kommunikation auf die Beseitigung von Silos gesetzt und eine regelmäßige Kommunikation zwischen den beteiligten Teams gefördert werden. Im Onboarding müssen Unternehmen zwingend darauf achten, dass neue Teammitglieder sich schnell in die Entwicklungsprozesse einarbeiten können. Die Verantwortlichen sollten zudem eine Kultur pflegen, die Teams ermutigt, transparent zu agieren und die Verantwortung für Entscheidungen zu übernehmen
Planung und Entwicklung: Die Idee von DevSecOps ist es, Sicherheitsüberlegungen in die Planungs- und Entwicklungsphasen des SDLC zu verlagern. So haben die Teams genügend Zeit, um angemessene Sicherheitsmaßnahmen zu implementieren und das Risiko zu verringern, dass Schwachstellen erst beim Kunden auftreten. Vor allem, da Sicherheitsschwachstellen in späteren Phasen des SDLC schwieriger zu beheben sind, da diese oft eine grundlegende Änderung der Anwendungsarchitektur erfordern, für die nicht genügend Zeit zur Verfügung steht.
eBook „DevOps und Security“
(Bild: Dev-Insider)
E-Book zum Thema
Das eBook „DevOps und Security“ erläutert die Unterschiede von DevSecOps, SecDevOps und DevOpsSec und befasst sich mit dem Warum und Wie.
Es gilt vor allem die Punkte Risikobewertung, Technical Dept Management, Priorisierung und Code-Validierung zu berücksichtigen. Unternehmen sollten beim Entwurf neuer Funktionen umfassende Risikobewertungen und Bedrohungsmodelle erstellen. Sie sollten Designentscheidungen treffen, die die möglichen Konsequenzen schlechter technischer Umsetzung von Software, man spricht von Technical Dept, minimieren. Das beinhaltet das Aufsetzen von Prozessen für die Priorisierung von Funktionen und Fehlern sowie eine regelmäßige Überprüfung der Qualität und Sicherheit von neuem Code durch Validierungsprüfungen, die in den Entwicklungsprozess integriert sind.
Erstellen und Testen: Neue Funktionen können während der Code-Feinabstimmung längere Zeit in der Erstellungs- und Testphase verbringen, um Bugs und Probleme mit der Benutzerfreundlichkeit zu beheben. DevSecOps-Praktiken definieren in dieser Phase, wie Sicherheitsschwachstellen oder Designmängel behandelt werden und ihnen entsprechende Priorität eingeräumt wird. Um die eigene DevSecOps-Reife abzuleiten, sollte in diesem Bereich die Qualitätssicherung und Testautomatisierung unter die Lupe genommen werden. Überprüfen routinemäßig verschiedene Arten von automatisierten Tests die Funktionalität? Gibt es ein regelmäßiges Code-Scanning, um Schwachstellen und andere damit verbundene Probleme aufzudecken? Wie sieht es mit der Build-Validierung aus? Werden neue Builds anhand von Sicherheits- und Entwicklungsrichtlinien verifiziert?
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Release und Bereitstellung: Eine Bereitstellungsstrategie sollte dabei helfen, Code mit weniger Zwischenfällen oder Konfigurationsfehlern freizugeben und gleichzeitig schnell auf Probleme zu reagieren, die im Rahmen einer Freigabe auftreten. Das DevSecOps Maturity Model empfiehlt die Überprüfung der folgenden Bereiche, um festzustellen, wie gut Ihre Teams die Bereitstellung verwalten: Bereitstellungsautomatisierung von Code in der entsprechenden Umgebung, um Benutzerfehler oder Fehlkonfigurationen zu minimieren; Durchführung von Sicherheits- und anderen Validierungsprüfungen vor einer neuen Bereitstellung; Automatische Rücknahme von Code-Änderungen, die die Funktionalität beeinträchtigen oder eine Sicherheitsschwachstelle aufdecken
Operativer Betrieb: Die folgenden Aspekte stellen sicher, dass die richtige Infrastruktur für eine Anwendungen gewählt wurde. Im Plattformmanagement sollte die Nutzung von Infrastructure as Code zur automatischen Verwaltung von Sicherheitskonfigurationen und -ressourcen zum Tragen kommen. Ressourcenkapazitäten sollten auf den täglichen Ausgaben und dem saisonalen Wachstum geplant werden und eine automatische Skalierung der Ressourcen sollte möglich sein, um schwankende Nachfragen abzudecken und Angriffe, zum Beispiel DDoS-Attacken, problemlos abzufangen.
Im Sinne der Zuverlässigkeit sollten Ressourcen in mehreren Verfügbarkeitszonen und Regionen gehostet sein. Regelmäßige Ausfallsicherheitstests mit automatisierten Chaostests überprüfen die Infrastruktur, während ein automatisierter Patching-Prozesses Schwachstellen identifiziert und hilft, diese zu beheben. Und letztlich braucht es einen Disaster Recovery-Plan für die Wiederherstellung von Infrastrukturressourcen im Ernstfall.
Beobachten und Reagieren: In den letzten Phasen des SDLC müssen Unternehmen in der Lage sein, Probleme wie neue Schwachstellen und Bedrohungen nach der Bereitstellung in der Produktion zu überwachen und zu beheben. Hier sollten Unternehmen entsprechende Service Level Objectives (SLOs) und Fehlerbudgets verwenden, um technische Entscheidungen zu treffen und die Zuverlässigkeit ihrer Dienste zu messen. Sie sollten in der Lage sein, ihre Infrastruktur regelmäßig zu scannen, um Schwachstellen und Fehlkonfigurationen von Diensten aufzudecken. Das beinhaltet auch eine Überwachung von Sicherheits-KPIs, die dienstübergreifend messbar sind. Ebenso sollten Benutzerfreundlichkeit und Performance der Anwendung im Blick behalten werden. Den Abschluss macht das Incident Management und Postmortems. Hier gilt es eine umfassende Ursachenanalyse mit detaillierten Runbooks für das Management von Incidents zu fördern.
Lücken erkennen
Sind DevSecOps-Praktiken erst ausgereift, ziehen sie eine erhebliche Verbesserung der allgemeinen Sicherheitslage und eine beschleunigte Produktentwicklung nach sich. Die hier genannten Themenfelder sind Best Practices für die Einführung von DevSecOps. Die Bewertung des aktuellen Stands in jeder dieser Bereiche ermöglicht Unternehmen den Übergang von DevOps-Methoden zu ausgereifteren DevSecOps-Verfahren. So können Lücken identifiziert und die notwendigen Pläne zur Weiterentwicklung in jedem dieser Zweige umgesetzt werden, etwa die Einführung neuer Tools, Schulungen und Teams zur Unterstützung des Übergangs.
E-Book zum Thema
DevOps und Security
eBook „DevOps und Security“
(Bild: Dev-Insider)
Sicherheit sollte eng mit den DevOps-Prozessen integriert und gleich zu Beginn der Entwicklung berücksichtigt werden. Die Frage lautet, wie man eine Veränderung am besten umsetzt, die Organisation und die Unternehmenskultur betrifft.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3a/09/3a09946ff12c2ff220edd2cbf77e593d/0129895217v1.jpeg "In der Nachrichtensendung von Geo News vom 1. März 2026 brach das Signal ab, während Angreifer eigene Inhalte einspeisten. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/18/d418b1e7e2ee34ca123e80d4e921cab7/0129875056v2.jpeg "2025 erreichten OT-Schwachstellen ein Rekordniveau mit 2.155 veröffentlichten CVEs. Doch 78 Prozent aller identifizierten Schwachstellen fehlen in offiziellen CISA-Advisories. Betreiber kritischer Infrastrukturen müssen ihre Informationsquellen über CISA hinaus erweitern, um das tatsächliche Risiko zu erfassen. (Bild: © Viktor - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/a7/2fa79f6402a1117c8496159a24092fc6/0129859499v2.jpeg "Governance wird unter NIS2 zur sicherheitskritischen Funktion: Geschäftsleitungen müssen Cyberrisiken aktiv steuern, Entscheidungen nachweislich treffen und können die Verantwortung nicht mehr einfach delegieren. (Bild: © Khfd - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8a/36/8a36b00d7f6be97b488df00401360c18/0129877671v1.jpeg "Jailbreaking und andere Angriffe auf KI-Systeme erfordern neue Sicherheitsansätze. Unternehmen müssen Schutzmechanismen außerhalb des Modells verankern und KI-spezifisches Red-Teaming einsetzen. (Bild: © InfiniteFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/95/9b95467aad0c6c19529d9ccb0edb0ce5/0129748679v2.jpeg "Ein Cyberkrimineller konnte 150 Gigabyte an Daten von mexikanischen Behörden stehlen. Darunter Informationen zu Steuerzahlungen, Ausweisdaten, Registerdaten, Mitarbeiterzugangsdaten sowie Betriebsdaten. (Bild: Benjamin - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c4/36/c436aa200af465e47517ac7e08a02d92/0129642309v1.jpeg "Kräftebündelung für mehr Governance: (v.l.) Joschka Fischer (Außenminister und Vizekanzler a.D.), Martin Merz (President of SAP Sovereign Cloud), Frédéric Munch (CEO Sopra Steria Deutschland und Österreich), Benjamin Haddad (französischer Europaminister), François Delattre (französischer Botschafter in Deutschland). (Bild: Julian Reith)")
:quality(80)/p7i.vogel.de/wcms/97/c2/97c233365254f16ac4f7fda04075660c/0129380266v1.jpeg "Cohesity Data Cloud: Werden beim Scan verdächtige Dateien gefunden, werden diese mit Kompromittierungsindikatoren angezeigt. (Bild: Cohesity)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/04/92/049241d64160979bbcff397d28d51bd2/0129753548v2.jpeg "Cyberkriminelle nutzen die Content-Type-Confusion-Schwachstelle aus, indem sie manipulierte Webhook-Requests mit falschem Content-Type senden und darüber ein gefälschtes „files“-Objekt einschleusen. So können sie lokale Dateien und Secrets auslesen und Schadcode schmuggeln. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f3/7d/f37dc8c76ed53109bcb9f0685833b476/0129556118v1.jpeg "Die neue App soll Unternehmen helfen, die eigene Krisen-Resilienz zu überprüfen. (Bild: © Wanan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/cc/83cc8ef3d0201c8a899011eb2428a3a4/0129633537v1.jpeg "Bei einem amerikanischen Unternehmen, das sich auf KI-basierte Identitätsverifikation spezialisiert hat, kam es zu einem massiven Datenleck. Dabei wurden drei Milliarden Datensätze, darunter rund eine Milliarde sensible Daten, aus 26 Ländern offengelegt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/83/06/8306e6732e1cdfca7c3c5f7667d0a31a/0129631503v2.jpeg "Das aktuelle Ransomware-Ökosystem zeichnet sich durch einen kontinuierlichen Anstieg an Angriffen in der DACH-Region aus, der durch eine arbeitsteilige Struktur unter Cyberkriminellen und Millionen kompromittierter Accounts im Darknet gefördert wird. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/75/b9/75b947d0d652fabc454a61cb164dbbb6/0129898446v2.jpeg "Evrotrust, Anbieter für digitale Identitäts- und qualifizierte Vertrauensdienste mit Hauptsitz in Sofia, gründet mit der Evrotrust Technologies GmbH eine Niederlassung in Deutschland. (Bild: Evrotrust)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b1/9c/b19ccd8ab4cac6cef1ff7a428eb1fcdf/0126593157v1.jpeg "Data Sanitization verhindert Datenlecks durch irreversibles Unbrauchbarmachen oder Löschen von Daten auf Speichermedien. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80):fill(efefef,0)/p7i.vogel.de/wcms/61/1e/611e44658013f/insys-titelbild-wp.png "Insys Titelbild WP")
:quality(80)/p7i.vogel.de/wcms/08/68/08686ee49eb4837bda62f10def41553f/0124155107v1.jpeg "Viele Unternehmen, die ihre Backups mit Hilfe von Veeam-Lösungen realisieren, vertrauen laut Grau-Data-CEO Adriana Grau zusätzlich auf den Ransomware-Schutz Blocky for Veeam. (Bild: Phokin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/be/79be2f734b81ec11ca4ed4130cbf03ab/0125106509v1.jpeg "Die Komplexität von KI-Modellen erfordert skalierbaren Speicher, der unabhängig von den Rechenressourcen wächst. Disaggregierte Architekturen verbessern die Nutzung, während Sicherheitsrisiken, vor allem in Cloud-Umgebungen, zunehmen. (Bild: Midjourney / KI-generiert)")