Die Vorteile, Softwaresicherheit und Softwareentwicklung eng miteinander zu verzahnen scheinen offensichtlich zu sein. Dennoch ist die Investition in entsprechende Werkzeuge, deren Integration und die dazu nötige Expertise nicht für jedes Unternehmen sinnvoll oder machbar. Managed Security Testing ist eine interessante Alternative.
Schnellere Innovationszyklen dürfen nicht zu Kompromissen bei Sicherheit und Risiko-Minimierungs-Strategien führen.
Es ist kein Geheimnis, dass die Zahl der Cyberattacken kontinuierlich zunimmt. Jedes Unternehmen, das Software entwickelt oder betreibt, muss sich zwangsläufig mit den damit verbundenen Risiken auseinandersetzen und damit, wie man diese minimiert. Eine große Herausforderung liegt dabei in der ständigen Weiterentwicklung und wachsenden Agilität der Prozesse rund um die Entwicklung und Verwendung von Software in einem Unternehmen. Damit steigen die Anforderungen an Entwickler und Sicherheitsexperten, und ihr Verantwortungsbereich erweitert sich.
In der Vergangenheit waren die obligatorischen Penetration-Tests eines Dienstleisters vielleicht noch ausreichend. Heute kommt man um proaktive, automatisierte Test-Methoden nicht herum, wenn man die Bandbreite der Anforderungen adressieren will. Dazu zählen:
Echtzeit-Informationen zu aktuell betriebener Software und Diensten sowie den dazugehörigen Betriebsumgebungen und -konfigurationen
Informationen dazu, wie sich die Software zusammensetzt, das heißt, ob z.B. Open Source-Anteile vorhanden sind oder Cloud-APIs
Automatisch durchgeführte Mindest-Tests zur Schwachstellenerkennung mit jeder Software-Release und die automatische Erzeugung entsprechender Tickets in Bug-Tracking-Systemen
Aggregation von und Suche nach Betriebsdaten hinsichtlich aussagekräftiger Sicherheitsinformationen über einen Wertstrom hinweg
Rückverfolgbarkeit laufender Dienste bis zu den Repositories, zum Build und dem Team, das sie erstellt hat
Entwicklungsteam mit den notwendigen Mitteln ausstatten, um Sicherheitsmängel zu beheben
Aktualisierung der Konfiguration auf Netzwerk-, Host-, Container- oder Anwendungsebene durch Orchestrierung
Automatisches Invalidieren und Rotieren sensibler Assets (Zugangsdaten, Schlüssel) innerhalb eines Deployments
Automatisches Failover/Rollback zu funktionierenden Assets oder zur letzten, funktionierenden Konfiguration/Build
Das ist aktuell die Realität in Unternehmen, die Software entwickeln und/oder betreiben. Die Integration von Werkzeugen wie GitLab zum Versionsmanagement, Jenkins für die Continuous Integration (CI), Jira für das Defekt-Management und Docker für Container-Umgebungen nimmt rasant zu. Ziel ist es, eine durchgängige, automatisierte Umgebung zu schaffen, die es einem Unternehmen ermöglicht, Innovationen bei gleichbleibend hohen Qualitäts- und Sicherheitsstandards möglichst schnell auf den Markt zu bringen.
Es scheint auf der Hand zu liegen, dass eine analoge Integration und Automatisierung von Sicherheitstests an den entsprechenden Stellen im Software-Entwicklungsprozess vorteilhaft ist. Dadurch erreicht man engere Feedback-Schleifen bei weniger „Reibung“. Das wiederum erlaubt es den Entwicklern, Sicherheitsschwachstellen innerhalb ihrer natürlichen Arbeitsaufläufe schneller zu finden und zu beheben.
Was sich gut anhört, ist aber nicht über Nacht implementiert. Eine solche Integration erfordert nicht nur die Auswahl und Anschaffung von Tools, sondern Zeit, Ressourcen und Expertise. Man braucht dediziertes Personal, um die entsprechenden Tools im Unternehmen zu integrieren, zu konfigurieren, zu betreiben und zu betreuen. Die Skalierung von zunächst nur wenigen Teams auf die Größe des gesamten Unternehmens ist eine weitere Herausforderung. Nicht zu vergessen, dass Sicherheitstools letztendlich darauf ausgelegt sind, mehr und mehr Schwachstellen zu finden. Das erscheint erst einmal kontraproduktiv zu der von DevOps angestrebten Entwicklungsgeschwindigkeit. Was also tun, wenn sich dieses Anforderungsprofil in der aktuellen Unternehmenssituation nicht realisieren lässt?
Schnellere Innovationszyklen dürfen nicht zu Kompromissen bei Sicherheit und Risiko-Minimierungs-Strategien führen. Betreibermodelle (sogenannte Managed Services) sind eine attraktive Ergänzung und Alternative, um diese Kluft zu überbrücken. Dazu zählen beispielsweise Managed Dynamic Application Security Testing (DAST), Static Application Security Testing (SAST) oder Penetration Testing.
Managed Security Testing-Lösungen adressieren die wichtigsten Aspekte von Personen, Prozessen und Technologien, die Unternehmen dabei unterstützen, das gewünschte Innovationstempo aufrechtzuerhalten und gleichzeitig Anwendungssicherheit zu gewährleisten. Tatsächlich bieten die richtigen Lösungen die Möglichkeit, die Beziehung zwischen Automatisierung und Mensch umzukehren. Dann agieren Menschen als "Microservices" in einem ansonsten maschinengetriebenen Prozess, statt wie in der herkömmlichen Sichtweise, in der Automatisierung den menschlichen Prozess ergänzt und/oder erweitert.
Managed Security Testing bietet Unternehmen zudem die nötige Flexibilität unter finanziellen Gesichtspunkten. Unternehmen haben Zugang zu Expertenwissen auf dem Gebiet der Cybersicherheit, und zwar bedarfsgerecht. Eine Firma zahlt nur für die Leistungen, die sie aktuell benötigt. Das hat gerade bei schwankendem Ressourcenbedarf deutliche Vorteile und führt zu einem hohen Maß an Transparenz, Flexibilität und Qualität bei vorhersehbaren Kosten. Zudem liefert dieser Prozess die erforderlichen Daten, um Risiken effizient und effektiv zu beheben.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Bei der Auswahl einer Managed Security Testing-Lösung sollte man die folgenden Kriterien in Betracht ziehen:
Qualität – durch gemanagte Sicherheitstests zur richtigen Zeit und mit der richtigen Tiefe verbessert sich die Qualität einer Produkt-Release. Das gewährleistet sowohl die Stabilität der Software als auch die Integrität der Codebasis.
Standardisierung – durch Implementierung besserer Prozesse und Technologien sowie durch Formalisierung oder Standardisierung bereits existierender Prozesse; dazu dient die konsequente Verwendung von Checklisten und Runbooks für gemanagte Sicherheitstests.
Effizienz – Gemanagte, integrierte Sicherheitstests innerhalb der konkreten Entwicklungsabläufe optimieren und beschleunigen den Softwareentwicklungs- und Softwarebereitstellungsprozess – vom Quellcode-Repository bis hin zu Build-Lösungen, CI/CD-Infrastruktur, Test-Frameworks, Container-Bereitstellung und Auslieferung.
Reife durch Kompetenz – Managed Security Testing bietet kontinuierlich Zugang zu Fachwissen und Technologien, die eine effiziente Skalierung und schnelles Scannen nach Schwachstellen innerhalb des Softwareentwicklungsprozesses erlauben. Dies hilft Unternehmen beim Übergang zu Automatisierung, der digitalen Transformation, einer nativen Cloud-Bereitstellung und/oder bei der Unterstützung neuer Technologien.
Abdeckung – Im Zuge der Anwendungsinnovation stellen gemanagte Sicherheitstests ein einheitliches Testniveau für ein wachsendes Anwendungsportfolio sicher. Dadurch werden Sicherheitslücken behoben und Sicherheitsstandards implementiert.
Wenn Unternehmen die Vorteile von Managed Security Testing-Lösungen innerhalb ihrer Entwicklungsabläufe nutzen, erhalten sie nicht nur eine höhere Testbandbreite, sondern erweitern Umfang und Tiefe der Testdienstleistungen - zusammen mit den zugrunde liegenden Fähigkeiten, Prozessen und Werkzeugen. Die Servicebandbreite erlaubt es, verschiedenste Sicherheitstests zu integrieren – von automatisiertem DAST über auf Geschäftslogik basierende Penetrationstests bis hin zu SAST. Die Tiefe erlaubt es, Tests besser auf das Risikoprofil der jeweiligen Anwendungen zuzuschneiden.
Während Unternehmen beständig evaluieren, in welche Sicherheitstesttools sie investieren und wie sie diese einsetzen, konfigurieren und für ihre Entwicklungsabläufe optimieren sollten, bieten Managed Security Testing-Lösungen zusätzliche Bandbreite für Sicherheitstests. Und sie helfen, Lücken bei der Testabdeckung und Risikominderung zu schließen. Das gilt verstärkt in unsicheren Zeiten wie gerade aktuell durch COVID-19. Kurzarbeit verknappt die Ressourcen zusätzlich, und eine langfristige Investitionsplanung ist deutlich schwieriger geworden. Elastische Lösungen helfen Unternehmen und geben ihnen die Möglichkeit, den richtigen Test, in der richtigen Tiefe und zur richtigen Zeit innerhalb des Entwicklungs-Workflows durchzuführen.
Über den Autor: Gunnar Braun ist Technical Account Manager bei Synopsys.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/8b/3f/8b3fb0b245b256cb3b5c131762dcd7ef/0126746007v2.jpeg "Automatisierte DevSecOps-Prozesse integrieren Sicherheit direkt in den Software-Lebenszyklus. (Bild: © Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/d7/f7d771b8b25cf078f58448ff4049bc38/0125638406v2.jpeg "Das Forschungszentrum ATHENE empfiehlt, die Anforderungen des Cyber Resilience Acts direkt in die SecDevOps-Pipeline zu integrieren – für automatisierte Sicherheit entlang des gesamten Produktlebenszyklus. (Bild: gemeinfrei)")