Neue Technologien und die Zunahme an Applikationen stellen die Anwendungssicherheit vor Herausforderungen. Julian Totzek-Hallhuber von Veracode stellt im Interview mit Dev-Insider Ansätze vor, um diesen zu begegnen, und äußert sich zur Zukunft von Veracode.
Julian Totzek-Hallhuber: „Security in einen bestehenden DevOps-Prozess zu integrieren, ist extrem schwierig.“
(Bild: Veracode)
Dev-Insider: Herr Totzek-Hallhuber, was sind Ihrer Meinung nach aktuell die drei größten Baustellen oder Herausforderungen für die Anwendungssicherheit?
Julian Totzek-Hallhuber: Zu den größten Herausforderungen gehört sicherlich, dass viele Security-Verantwortliche keinen vollständigen Überblick über ihre Applikationen mit allem, was dazu gehört, haben. Man nennt diese Ecken auch bezeichnend „Blind Spots“.
Welche Software läuft wo, wie arbeiten Systeme überhaupt zusammen und welche längst vergessenen Webseiten sind noch aktiv? Gerade Letzteres passiert öfter als man meinen sollte und ist für Angreifer geradezu eine Einladung, ins System einzudringen. Im Grunde braucht jede einzelne Applikation sowohl einen Onboarding- als auch einen Offboarding-Prozess. Das ist jedoch meist nicht der Fall.
Dann hat das Thema Geschwindigkeit in den letzten Jahren enorm an Bedeutung gewonnen. Applikationen werden immer schneller und schneller entwickelt, auf den Markt gebracht und an die Bedürfnisse der Nutzer angepasst. Dabei bleibt allerdings oft die Sicherheit auf der Strecke, denn sie kann nicht unbedingt mit dieser Geschwindigkeit mithalten.
Und zu guter Letzt würde ich die verwendeten Sprachen und Frameworks als große Herausforderung speziell für uns sehen, und zwar im Hinblick auf das mobile Umfeld. Wir kennen das alle: Sobald ein neues iOS- oder Android-Update veröffentlicht wird, steht für mobile Anwendungen ebenfalls sofort ein Update bereit.
Für Anbieter kann es manchmal herausfordernd sein, diese neuen Versionen sofort zu unterstützen, da beispielsweise gerade Apple die Spezifikationen des neuen Betriebssystems und der Programmierung nicht direkt veröffentlicht. Die Entwicklerinnen und Entwickler erhalten diese Informationen zwar, wir aber nicht.
Dev-Insider: Je größer das Unternehmen, desto mehr dieser blinden Flecken gibt es bei den diversen Anwendungen. Wie lassen sich diese „toten Winkel“ in der Anwendungssicherheit identifizieren und beheben?
Julian Totzek-Hallhuber: Die unwichtigste Seite für ein Unternehmen ist auch die, die am wenigsten geschützt ist – Angreifer wissen das. Blind Spots sind zweifelsohne eine sehr große Herausforderung, doch es gibt Lösungen, mit denen sie sich aufdecken lassen. Veracode Discovery beispielsweise sucht in den Systemen nach live laufenden Webapplikationen und APIs und führt alle Ergebnisse in einer langen Liste auf.
Dazu gehören natürlich die Standardwebseiten eines Unternehmens, aber auch die Admin-Interfaces, die dort nicht publiziert sein sollten, oder Marketing- und Eventpages, die man längst hätte abschalten sollen. Anhand solcher Reports können Operation-Teams punktgenau reagieren. Dies verringert die Angriffsflächen und auch die Kosten. Gleichzeitig erfahren Unternehmen über diese Liste, welche Applikationen sie regelmäßig auf Schwachstellen überprüfen sollten.
Dev-Insider: Zeit ist ein kritischer Faktor für Anwendungen und die Teams dahinter. Wie lässt sich also die Geschwindigkeit erhöhen, ohne dass die Sicherheit darunter leidet?
Julian Totzek-Hallhuber: Security in einen bestehenden DevOps-Prozess zu integrieren, ist extrem schwierig. DevOps ist ganz auf Geschwindigkeit ausgerichtet, alles wird automatisiert und soll so schnell wie möglich ablaufen. Wenn nicht von Anfang an Security in diesen Prozess integriert ist, werden Sicherheitsmaßnahmen den Prozess verlangsamen bzw. von den Entwicklern abgelehnt werden, weil sie diese Zeit nicht mehr haben. Schnelligkeit und Sicherheit stehen sich hier diametral gegenüber.
Verschieden Scan-Typen der Statischen Code-Analyse können daher in verschiedenen Phasen des Codes und der Pipeline-Automatisierung eingesetzt werden um einen Security Scan so nahtlos wie möglich, mit dem geringsten Zeitverlust zu integrieren.
Zusätzlich müssen Entwickler die Ergebnisse der Scans so früh wie möglich bekommen, damit sie Schwachstellen so früh wie möglich beheben können und der Prozess der Pipeline hinterher nicht mehr gestört wird. Es gibt dafür inzwischen sehr viele Technologien, die sehr früh ansetzen – etwa bei einzelnen Dateien oder auch Teilapplikationen. Unternehmen müssen sich solche flexiblen Lösungen zunutze machen, um möglichst akkurate Ergebnisse möglichst früh den Entwicklern zur Verfügung zu stellen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Dev-Insider: Durch die digitale Entwicklung und das Aufkommen diverser Dienste und Services werden herkömmliche Security-Ansätze vor große Herausforderungen gestellt. Diese hohe Dynamik erschwert den IT-Teams das Entdecken und Beheben von Sicherheitslücken. Wie sieht vor diesem Hintergrund die langfristige strategische Ausrichtung von Veracode aus?
Julian Totzek-Hallhuber: Wir sehen gerade im Enterprise-Bereich, dass Unternehmen, die Hunderte oder gar Tausende von Web-Applikationen haben, überhaupt nicht wissen, was in ihren Systemen passiert, welche Applikationen sie überhaupt haben und wie und in welchen Abstufungen ihre Systeme zusammenarbeiten. Sie haben kein entsprechendes Repository und damit auch keine Übersicht, welche Schwachstellen in ihren Systemen vorhanden sind. An dieser Stelle werden wir künftig noch stärker ansetzen und Produkte auf den Markt bringen, die diese Herausforderung für Unternehmen lösen sollen.
Dev-Insider: Und welche Ziele hat sich Veracode für 2023 gesetzt?
Julian Totzek-Hallhuber: Wir werden uns auf neuen Technologien konzentrieren, wie Container-Scanning, Infrastructure-as-Code und Updates zur Software Composition Analysis. Wir haben damit bereits angefangen, wollen diese Bereiche im kommenden Jahr aber deutlich ausbauen, denn sie werden von Entwicklern und Unternehmen stark nachgefragt. Alles wird zunehmend automatisiert, aber auch ein Automatisierungscode kann, natürlich, Schwachstellen aufweisen. Hier sehen wir großes Potenzial, wie wir Unternehmen und Entwickler in Zukunft unterstützen zu können.
* Julian Totzek-Hallhuber ist Manager Solution Architects bei Veracode.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:quality(80)/p7i.vogel.de/wcms/41/d9/41d92513855f8edc365b723bc094a6bb/0123813981v2.jpeg "ASPM-Lösungen erleichtern die Zusammenarbeit im DevSecOps-Team und helfen die Aufgabenbereiche nahtlos miteinander zu verbinden. (Bild: stone36 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/3f/8b3fb0b245b256cb3b5c131762dcd7ef/0126746007v2.jpeg "Automatisierte DevSecOps-Prozesse integrieren Sicherheit direkt in den Software-Lebenszyklus. (Bild: © Murrstock - stock.adobe.com)")