Sichere Softwareentwicklung in allen PhasenDevSecOps verankert IT-Sicherheit in Entwicklungszyklen
Ein Gastbeitrag von
Daniel Huchthausen *
6 min Lesedauer
Der Stellenwert moderner Softwareentwicklung, die kurze Release-Zyklen und Flexibilität bietet, ist mit der Digitalisierung der Gesellschaft deutlich gestiegen. Dabei darf die Sicherheit allerdings nicht zu kurz kommen.
Durch eine Schärfung des Bewusstseins der Developer lässt sich die Sicherheit mit wenig zusätzlichem Aufwand deutlich verbessern.
Vor einigen Jahren noch gab es viele Unternehmen, die Software traditionell im Wasserfallmodell entwickelt haben. Mittlerweile erwarten Kunden jedoch, dass es regelmäßig neue Produkte und Updates gibt, die schnell und problemlos auch auf den neuesten Smartphones laufen.
Um weiter am Markt bestehen zu können, sind Unternehmen angehalten, ihre Entwicklungsprozesse zu beschleunigen. DevOps, als ein Ansatz um die Zusammenarbeit über den gesamten Produktlebenszyklus zu verbessern, ist mittlerweile schon weit verbreitet.
eBook „DevOps und Security“
(Bild: Dev-Insider)
E-Book zum Thema
Das eBook „DevOps und Security“ erläutert die Unterschiede von DevSecOps, SecDevOps und DevOpsSec und befasst sich mit dem Warum und Wie.
DevSecOps geht noch einen Schritt weiter und setzt einen starken Fokus auf das Thema IT-Sicherheit, was hinsichtlich der steigenden Bedeutung von digitalen Produkten sinnvoll ist. Der DevSecOps Report 2021 von GitLab zeigt, dass der Großteil der Unternehmen bereits Ziel von Angriffen war:
etwa 70% der Unternehmen hat bereits kritische Daten durch Cyber-Attacken verloren
ca. zwei Drittel haben Betriebsstörungen erfahren
mehr als 60% haben negative Auswirkungen auf ihre Marke festgestellt
Da nicht zu erwarten ist, dass die Bedeutung von Daten wieder abnehmen wird, werden wahrscheinlich auch die versuchten Angriffe zunehmen. Die Bedeutung von Sicherheit steigt also.
In der Theorie kann durch die Abkehr von traditionellen, nachgelagerten Sicherheitstests durch einen „Shift left“ die Sicherheit verbessert und gleichzeitig Release-Zyklen verkürzt werden. Dieser Ansatz wird bereits von vielen DevSecOps-Teams verfolgt. Die Herausforderung besteht jedoch darin, das notwendige Wissen von bestehenden AppSec-Teams in die Entwicklungsteams zu bekommen. Denn Entwickelnde benötigen zum einen mehr Wissen über die eigentlichen Themen, müssen aber auch ein Bewusstsein für Security bekommen, um das Wissen anzuwenden.
Angreifende erfinden das Rad nicht neu
Die gute Nachricht ist, dass ein Großteil der Attacken bekannte Schwachstellen ausnutzt. Der „State of Cybersecurity 2021“-Bericht von ISACA hat ergeben, dass neben dem Versuch, den Menschen als Schwachstelle durch Social Engineering auszunutzen, folgende Angriffsarten sehr verbreitet sind:
ungepatchte Systeme
falsch konfigurierte Sicherheitssysteme
kaputte Authentifizierung und Autorisierung
mangelndes Logging und Monitoring
Alle diese Angriffsarten sind in den Top 10 des Open Web Application Security Project (OWASP) zu finden – eine Liste, die weit verbreitete Angriffsarten auf Webanwendungen zeigt und Details zu Angriffsszenarien bietet. Durch das Abdecken der OWASP Top 10 können also bereits viele potentielle Angriffe vereitelt werden.
Security-Botschafter schärfen das Bewusstsein für Sicherheit
Der Shift-Left-Ansatz wird bereits in vielen DevSecOps-Teams angewendet, bzw. befindet sich in der Umsetzung. Die große Herausforderung liegt darin, die Wissenslücken der Entwickelnden zu schließen. Ein wichtiger Erfolgsfaktor ist, Sicherheitsspezialisten als Botschafter in Entwicklungsteams zu etablieren.
Für eine hohe Akzeptanz kommen diese direkt aus den Teams, indem Entwickelnde, denen das Thema Sicherheit bereits wichtig ist, zu Botschaftern werden. Wenn es bisher ein AppSec-Team im Unternehmen gab, können auch diese Spezialisten in die Teams integriert werden, um die Cross-funktionalen DevOps-Teams um den Sicherheitsaspekt zu erweitern. Beide Vorgehen haben ihre Vor- und Nachteile:
Security-Botschafter, die aus einem bestehenden Team heraus entwickelt werden, haben sehr wahrscheinlich von vorn herein eine große Akzeptanz im Team. Sie müssen jedoch oft fachlich und methodisch weitergebildet werden.
AppSec-Spezialisten, die von extern in Teams integriert werden, verfügen bereits über sehr gutes Wissen, müssen aber wahrscheinlich härter dafür arbeiten, vom Team akzeptiert zu werden. Im traditionellen Vorgehen ist das Verhältnis zwischen Entwicklungs- und AppSec-Teams oft belastet, da letzte Fehler melden und sich Entwickelnde dadurch in ihrer Ehre angegriffen fühlen könnten.
Sehr gut eignet sich auch eine Kombination beider Ansätze: So können AppSec-Spezialisten in Teams integriert und gleichzeitig Botschafter aus den Teams weiterentwickelt werden. Die Kombination hat den Vorteil, dass gleich mehrere Ansprechpartner für Sicherheit in den Teams bereitstehen. Dadurch können sie sich die Aufgaben teilen und so einen „Flaschenhals“ verhindern.
Dabei handelt es sich jedoch nur um eine Zwischenlösung. Das Ziel muss es sein, das Wissen über die Botschafter in den Teams ganzheitlich zu verteilen und Lerninhalte direkt in Entwicklungsprozesse zu integrieren. Sicherheit muss ein fester Bestandteil für die Entwickelnden werden. Das kann z.B. auch durch entsprechende Erweiterungen der DoR (Definiton of Ready) oder DoD (Definition of Done) erfolgen.
Weiterbildung des Teams essenziell
Um das Wissen zum Thema Sicherheit in den Arbeitsalltag zu integrieren, können Lerninhalte nach dem Prinzip des Micro-Learnings direkt in Entwicklungsprozesse integriert werden. Dadurch wird das Wissen situationsgebunden und in kleinen Häppchen bereitgestellt.
eBook „DevOps und Security“
(Bild: Dev-Insider)
E-Book zum Thema
Das eBook „DevOps und Security“ erläutert die Unterschiede von DevSecOps, SecDevOps und DevOpsSec und befasst sich mit dem Warum und Wie.
Es gibt bereits entsprechende Lösungen, die Lerninhalte in Form von Videos und Übungsaufgaben für alle gängigen Programmiersprachen und die OWASP Top 10 in Entwicklungsprozesse zu integrieren. Die Sicherheitsspezialisten können dann ihre Teammitglieder durch Reviews oder Aufgabenbeschreibungen auf potentielle Sicherheitslücken hinweisen. So können die Entwickelnden sich direkt bei der Entwicklung das notwendige Wissen aneignen und anwenden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Eine andere Möglichkeit ist es, automatisiertes Echtzeit-Coaching zu nutzen. Bei diesem Ansatz bekommen Entwickelnde direkt beim Schreiben des Codes Rückmeldung zu potentiellen Sicherheitslücken. Für dieses Coaching gibt es Erweiterungen für IDEs, die in Echtzeit den Code prüfen und basierend auf Best-Practices Vorschläge für die Umsetzung geben.
Allerdings erkennen diese Erweiterungen noch nicht alle potenziellen Schwachstellen und sind davon abhängig, dass die Best-Practices noch von den Teams erweitert werden. Durch die individuelle Erweiterung bieten sie aber viel Potential für produktspezifische Sicherheitsthemen.
Gamification als Lernanreiz
Zusätzlich zur Integration von Lerninhalten in Entwicklungsprozesse, ist auch entscheidend, wie die Inhalte vermittelt werden. Ein wichtiger Erfolgsfaktor ist der Spaß am Lernen, der besonders bei Entwickelnden durch Gamification gesteigert werden kann. So können Ranglisten oder Abzeichen den natürlichen Spiel- und Vergleichsdrang anspornen.
Lösungen, wie die Integration von Lerninhalten in Code Reviews, bieten Möglichkeiten, mit denen sich die Entwickelnden Badges und Punkte erarbeiten können. Denkbar ist auch, dass die Erweiterung von Security-Best-Practices durch die Vergabe von Belohnungen unterstützt werden.
Oft umfassen die Angebote der Services für Lerninhalte bereits Ranglisten und Auszeichnungen, die ein Startpunkt sein können. Eigene Auszeichnungen für gefundene oder behobene Bugs, Vorschläge zur Verbesserung der Security oder Teilen von Wissen können die Gamification noch steigern.
Noch einen Schritt weiter gehen offene Wettbewerbe, bei denen die Teilnehmenden sich mit anderen Experten vergleichen können. Der Vorteil ist, dass bei Wettbewerben nicht nur bestehendes Wissen abgefragt wird. Die Teilnehmenden sehen sich auch neuen Herausforderungen ausgesetzt, die sie unter Zeitdruck lösen müssen. Bestehendes Wissen wird so in einem neuen Kontext neu verknüpft. Solche Wettbewerbe können in unterschiedlichsten Formen durchgeführt werden, z.B. sehr kompakt in nur wenigen Stunden oder verteilt über einen längeren Zeitraum.
Fazit: Security ist ein wichtiger Aspekt von Software, der oft nur im Schadensfall große Aufmerksamkeit bekommt und dadurch häufig im Alltag von Softwareentwicklung zu wenig beachtet wird. Wenn es dann zu einer Attacke kommt, ist der Schaden immens.
Daniel Huchthausen
(Bild: Jan v. Deichen / www.JanDeichen.com)
Durch eine Schärfung des Bewusstseins von Entwickelnden kann mit wenig zusätzlichem Aufwand die Sicherheit im Hinblick auf alltägliche Attacken deutlich verbessert werden, da Angriffsvektoren aus den OWASP Top 10 gut abgesichert werden können. Dieser Bewusstseinswechsel lohnt sich – braucht allerdings auch Zeit, da zunächst Security-Botschafter etabliert und Prozesse angepasst werden müssen.
* Daniel Huchthausen nutzt seine langjährige Erfahrung als IT-Consultant dafür, die komplexen Sachverhalte rund um moderne Softwareentwicklung verständlich zu vermitteln. Die Cloudogu GmbH hat es sich zum Ziel gesetzt, den gesamten Product Lifecycle der Softwareentwicklung durch ein einfach nutzbares Toolset abzubilden, das durch Standardisierung und Automatisierung dazu beiträgt, Software noch effizienter entwickeln zu können.
E-Book zum Thema
DevOps und Security
eBook „DevOps und Security“
(Bild: Dev-Insider)
Sicherheit sollte eng mit den DevOps-Prozessen integriert und gleich zu Beginn der Entwicklung berücksichtigt werden. Die Frage lautet, wie man eine Veränderung am besten umsetzt, die Organisation und die Unternehmenskultur betrifft.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ab/c4/abc4346adf0d031c478a138dd10e3ec9/0128637719v2.jpeg "Die Schwachstelle, die HashJack ausnutzt, besteht laut Cato darin, dass KI-Browser unsichtbare URL-Fragmente lokal verarbeiten und deren versteckte Befehle ungeprüft in den Kontext des KI-Assistenten übernehmen. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/10/ba/10bae076405664ebd82e96c36e36a3e8/0128826249v2.jpeg "In Mittelfranken wurde das IT-Netzwerk der Kreisklinik Roth Ziel eines Hackerangriffs, was kurzzeitig zur Schließung der Notaufnahme führte. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1b/d6/1bd65487872c5a13507782e703434a9e/0128868304v1.jpeg "KI kann als Enabler für effektive Compliance und Governance dienen, indem sie die Automatisierung von Risikoanalysen und Richtlinienentwicklungen unterstützt und somit die Herausforderungen der rasant wachsenden KI-Regulierungen in praktikable Lösungen umwandelt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6e/2d/6e2dae8dfad47cd031d8727dc87e578b/0128886755v1.jpeg "Lohn- und Gehaltsabrechnungen enthalten besonders sensible personenbezogene Daten und unterliegen strengen datenschutzrechtlichen Anforderungen. (Bild: © StockPhotoPro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/9a/c99a8808294a5aafcf9b076f7e8f9f1e/0122470970v1.jpeg "Der Microsoft Patchday im Januar 2026 zeigt erneut eine starke Konzentration auf lokale Rechteausweitungen und komplexe Angriffsketten, die Speicherlecks, Kernel-Bugs und Virtualisierungskomponenten kombinieren. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/b1/04b1d6bf801ccd26ef735a77ff1ce662/0128685991v2.jpeg "Ab sofort können sich Schülerinnen und Schüler für die Hacking Challenge der TH Augsburg anmelden. Die Challenge beginnt am 3. Februar. (Bild: © Seventyfour - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/25/6e25fe25fd017458e7c3c2cca2629623/0128786853v2.jpeg "Mit FRITZ!OS 8.20 bringt AVM neue Funktionen, u.a. Fritz! Failsafe als Ausfallschutz für die Internetverbindung. (Bild: AVM GmbH)")
:quality(80)/p7i.vogel.de/wcms/1c/f5/1cf5cfb8d1888abeecba82e9c7e396f1/0127320123v1.jpeg "SSoT ist keine neue Technologie, spielt aber eine immer wichtigere Rolle in modernen Netzwerken. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/b3/48/b348b5b4c3b5253cd22f69cbca436295/0128830451v1.jpeg "Über Untergrundforen und soziale Netzwerke verbreiten Kriminelle angebliche Datenleaks, auch wenn keine aktuellen Systeme kompromittiert wurden. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/67/6c/676c57a5470e5ab12edf5da910455703/0128870241v1.jpeg "2026 wird zum Stresstest für Security-Teams, denn Cyberangriffe werden noch raffinierter. IT-Entscheider müssen sich auf den Ernstfall vorbereiten und überzeugende Talentstrategien entwickeln. (Bild: © Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/5b/5a/5b5adfce7ce58d10c1087e005a6e24b0/0123039749v1.jpeg "Mehr als 30 Prozent der IT-Profis sind laut einer neuen Kaseya-Umfrage angesichts ihrer Backup- und Recovery-Vorkehrungen besorgt. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/68/08686ee49eb4837bda62f10def41553f/0124155107v1.jpeg "Viele Unternehmen, die ihre Backups mit Hilfe von Veeam-Lösungen realisieren, vertrauen laut Grau-Data-CEO Adriana Grau zusätzlich auf den Ransomware-Schutz Blocky for Veeam. (Bild: Phokin - stock.adobe.com)")