Cloud-Architektur und optimierte Software-Lebenszyklen haben in vielen Unternehmen die Spielregeln verändert und neue Impulse gesetzt. So konnte die Bereitstellung von digitalen Produkten und Dienstleistungen beschleunigt, die Kundenzufriedenheit verbessert und der Umsatz gesteigert werden. Doch der Fokus auf eine schnelle Bereitstellung kann auch auf Kosten der Sicherheit gehen und zu einer Zunahme von Schwachstellen und Fehlern in der Produktivumgebung führen.
Eine DevSecOps-Strategie erfordert einen kompletten Kulturwandel und eine neue Priorisierung von Security innerhalb eines Unternehmens. Es gilt, sich auch auf die Prävention zu konzentrieren, nicht nur auf die Fehlerbehebung.
(Bild: svetazi - stock.adobe.com)
Diese Entwicklung bestätigen auch die Ergebnisse einer aktuellen DevSecOps-Umfrage von GitLab. Demnach haben nahezu drei Viertel der Befragten bereits eine DevOps-Plattform eingeführt oder planen dies im Laufe des Jahres. Ziel ist es, die steigenden Erwartungen der Branche in Bezug auf Sicherheit, Compliance, Toolchain-Konsolidierung und schnellere Softwarebereitstellung zu erfüllen.
Doch der Fokus auf eine schnelle Bereitstellung kann auch auf Kosten der Sicherheit gehen und zu einer Zunahme von Schwachstellen und Fehlern in der Produktivumgebung führen. Deshalb gilt es Sorge zu tragen, dass Effizienz und IT-Security im Kern des Prozesses gleichrangig behandelt werden. Die Zusammenarbeit zwischen Entwicklungs- und Sicherheitsteams steht dabei im Mittelpunkt dieser Bemühungen.
Achillesferse Anwendungen
Anwendungen sind der bevorzugte Angriffspunkt für erfahrene Cyberkriminelle. Sie wissen, dass dort reichlich Software-Schwachstellen existieren. So waren 2021 DDoS-Angriffe (Distributed Denial of Service) auf Anwendungsebene in der Fertigungsindustrie am weitesten verbreitet. Dieser Sektor verzeichnete laut Cloudflare zwischen dem 3. und 4. Quartal einen Anstieg der Angriffe um 641 Prozent.
Um den Entwicklungsprozess sicherer zu machen, ohne dabei die Effizienz zu beeinträchtigen, müssen die Entwicklungsteams Sicherheitsprotokolle mithilfe von Tools und sicheren Programmiertechniken in ihre Arbeitsabläufe integrieren. Die Mehrheit der im oben erwähnten DevSecOps-Bericht befragten Entwickler (60 Prozent) geben ihren Code zwar schneller frei als früher. Der Wildwuchs an Toolchains wirkt sich jedoch auf ihre Geschwindigkeit und Produktivität aus und raubt ihnen wertvolle Zeit. Gleichzeitig müssen die Entwickler während des gesamten Prozesses mit den Security-Teams zusammenarbeiten. Beide Seiten sollten dafür verantwortlich gemacht werden, dass Cloud-native-Anwendungen frei von Softwarefehlern und Schwachstellen bleiben.
Methoden für die Entwicklung und Bereitstellung der Cloud erfordern einen durchgehenden Ansatz in Hinblick auf die Anwendungssicherheit. Es ist von entscheidender Bedeutung, dass Unternehmen ihre Security-Methoden kontinuierlich evaluieren und ihre Investitionen entsprechend erhöhen. Dass Sicherheit für Unternehmen die höchste Priorität bei Neuinvestitionen hat, belegt auch der DevSecOps-Bericht. Nur so können Organisationen ihre eigene Sicherheit sowie die Sicherheit ihres Netzwerks, einschließlich der Kunden und Partner, gewährleisten.
Klare und transparente Prozesse entwickeln
Da der Entwicklungszyklus viele verschiedene Phasen umfasst, ist es wichtig, dass Teams eine DevSecOps-Strategie anwenden. Dies impliziert, dass von Anfang an und bei jedem Schritt das Thema Security berücksichtigt wird. Schließlich ist es viel einfacher, Softwarefehler zu verhindern, bevor sie in die Produktivumgebung gehen. Je früher im Software-Lebenszyklus Fehler oder Schwachstellen erkannt werden, desto besser.
Das Fehlerrisiko in den Anwendungen kann gesenkt werden, indem ein ausführlicher und umfangreicher, kontinuierlicher Test-, Überwachungs- und Feedback-Prozess eingeführt wird. Dabei ist es auch wichtig, genaue Zeitpläne in den Entwicklungsprozess mit einzubeziehen, um alle funktionsübergreifenden Teams mit im Boot zu haben. Die Einhaltung dieser sorgfältigen Zeitpläne gewährleistet, dass alle Beteiligten die nötige Zeit haben, um auf Schwachstellen zu reagieren und diese zu beheben.
Tools richtig einsetzen
Oft ist es den Security-Teams unmöglich, auf jede einzelne Bedrohung zu reagieren. Deshalb sind Tools für die Automatisierung so wichtig. Diese Werkzeuge können Teams dabei helfen, umfangreiche Probleme zu erkennen, eine Ausgangslage zu definieren und Anomalien zu identifizieren. Dabei ist klar – diese Tools können und sollen keine menschlichen Sicherheitsexperten ersetzen. Vielmehr sollten sie als Ergänzung zu den Fachkräften betrachtet werden. IT-Experten können einen differenzierteren Blick auf Angriffsflächen werfen, proaktive Maßnahmen ergreifen und versteckte Schwachstellen identifizieren, die ein Tool möglicherweise nicht aufspürt. Erst durch die Kombination von Mensch und Technologie wird das bestmögliche Ergebnis erzielt.
Zusammenarbeit fördern
Eine gute Zusammenarbeit ist entscheidend, um zu gewährleisten, dass sich die Produktpipeline effizient fortsetzt, ohne die Security zu vernachlässigen. DevSecOps bedeutet, alle Teams sind gemeinsam dafür verantwortlich, den Code und das Produkt sicher zu halten.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die Entwickler sollten während des gesamten Prozesses der Softwareentwicklung kontinuierlich Feedback von den Security-Teams einholen. Dadurch können Schwachstellen in Echtzeit erkannt und beseitigt werden, so dass alle Produkte von vornherein frei von Mängeln sind. Die Zusammenarbeit zwischen den Teams sorgt für Transparenz sowie für eine Feedback-Kultur und trägt damit zu einer höheren Sicherheit und Effizienz bei.
Die Zukunft der Anwendungssicherheit
Bereits 2021 explodierte die Zahl der Cyberangriffe und es ist kein Ende in Sicht. Deshalb ist es von entscheidender Bedeutung, dass Unternehmen einen proaktiven Ansatz für die Anwendungssicherheit wählen und sich auf die Prävention konzentrieren, nicht nur auf die Fehlerbehebung. Die Einführung einer DevSecOps-Strategie erfordert einen kompletten Kulturwandel und eine neue Priorisierung von Security innerhalb eines Unternehmens.
Sicherheitsbewertungen proaktiv einbeziehen und Schutz und Zuverlässigkeit von Anfang an in den Entwicklungsprozess zu integrieren führt dazu, dass Produkte frei von Schwachstellen bleiben, ohne die Effizienz zu beeinträchtigen. Cybersecurity liegt in der Verantwortung aller, nicht nur in der Verantwortung des Sicherheitsteams.
Über den Autor: Jörn Schneeweisz ist Staff Security Engineer im GitLab Security Research Team. Sein Werdegang in der IT Sicherheit ist greprägt von mehr als einer Dekade technischem Security Consulting. Durch den Wechsel aus dem Beratungsbereich zu GitLab sammelte er in den letzten Jahren tiefergehende Erfahrungen im Bereich Produkt- und Organistionssicherheit, weiterhin immer auf der Suche nach Lücken, die es zu beheben gilt.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dc/d0/dcd02b0e224172de8ca49e81daacbcbf/0129856210v2.jpeg "Die Eskalation zwischen Iran, Israel und den USA wirkt laut Unit 42 auch in Europa nach: Während komplexe Angriffe aus Iran kurzfristig erschwert sein könnten, würden Aktivitäten von Hacktivisten zunehmen. Europäische Organisationen müssen daher mit mehr Phishing-, DDoS- und Hack-and-Leak-Angriffen sowie opportunistischen Kampagnen rechnen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2a/f2/2af2ef0e1fad48c259f0d53dc7ebeaa5/0129784426v2.jpeg "Die Zusammenarbeit zwischen Deutschland und Israel soll eine enge Kooperation beim Aufbau des deutschen „Cyberdome“ umfassen, damit Deutschland von Israels Erfahrungen bei der automatisierten Erkennung und Blockierung von Cyberangriffen sowie aus gemeinsamen Abwehrübungen praxisnahe Erkenntnisse für den Bevölkerungsschutz gewinnt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1c/2c/1c2c56c2cb8fe952631e9741158f7c7f/0125129708v1.jpeg "Shai-Hulud kompromittierte über 25.000 GitHub-Repositories im NPM-Ökosystem. Im Deep-Dive-Video mit Mondoo zeigen wir, wie man Supply-Chain-Angriffe rechtzeitig erkennen kann und welche Schutzmethoden es gibt. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/3d/65/3d65dcec21534995555cc3e6d1162102/0129290787v1.jpeg "Mit mehr als 180.000 Besuchern in 2025 ist die VivaTech eines der größten Start-up- und Tech-Event Europas. Der Veranstalter, Viva Technology, gibt jedes Jahr vorab eine internationale Umfrage in Auftrag. (Bild: VivaTech)")
:quality(80)/p7i.vogel.de/wcms/0c/54/0c54424dab7e712b7bb27c8a7ffe5ea0/0129817433v1.jpeg "Die Kommerzialisierung von KI-Crimeware: Dark LLMs, Deepfake-as-a-Service und automatisierte Phishing-Kits werden für wenige Dollar monatlich angeboten. (Bild: © Piyaporn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/3c/463c5e6652bc38681a5cd467c57edb65/0129737222v1.jpeg "Microsoft-CEO Satya Nadella bei der Eröffnungs-Keynote der AI Tour in München. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/bd/eb/bdebce8b595a259020d21d00a9282ae3/0129678262v2.jpeg "Bei erfolgreicher Ausnutzung der Sicherheitslücke CVE-2026-26119 im Windows Admin Center könnten Angreifer unter bestimmten Bedingungen vollständige Administratorrechte im Netzwerk ihrer Opfer erlangen und so eine umfassende Kompromittierung der gesamten Domäne ermöglichen. (©sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/6b/f56b4f03a15167df363e6c0ab64fb7ce/0129786443v2.jpeg "Die IT-Defense 2026 fand vom 3. bis 4. Februar in Würzburg statt. Der finnische Security-Experte Sami Laiho hielt den Vortrag „Cyberwar between Russia and Finnish Companies“. (Bild: Dr. Wilhelm Greiner)")
:quality(80)/p7i.vogel.de/wcms/91/8e/918e589e4ee9bb4c02dad8354f57045b/0128846297v1.jpeg "Cloud-Dienste, digitale Kommunikation und globaler IT-Support machen internationale Datentransfers für viele Unternehmen in Deutschland unverzichtbar. (Bild: © Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/97/6697cc7bd2918128a8f649b94cb00223/0129719820v1.jpeg "Passwortsicherheit wird oft als nachträglicher Fix behandelt, aber 22 Prozent aller Datenlecks gehen auf missbrauchte Credentials zurück. Unternehmen müssen ihr dieselbe Priorität wie Penetrationstests einräumen. (Bild: © igor.nazlo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/2b/4b2bb466fc80efe5afbb9151c95da928/0129796745v1.jpeg "Mehr Awareness durch Security Posture Management, ein Interview von Oliver Schonschek, Insider Research, mit Andreas Müller von Delinea. (Bild: Vogel IT-Medien / Delinea / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2e/40/2e40e56693da64739ef54abf30a0413f/0127316436v2.jpeg "Bei „VeRA“ handelt es sich um eine Analyse-Software des US-Unternehmens Palantir, mit der die Polizei große Datenmengen aus unterschiedlichen Quellen zusammenführen, durchsuchen und Verbindungen zwischen Personen, Ereignissen und Informationen sichtbar machen kann. (©Eisenhans - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/c7/3dc7db4913400b59cbec945b73c616bd/0129828020v2.jpeg "Viele Unternehmen sind von der NIS2-Umsetzung überfordert. Eine strukturierte Checkliste übersetzt die ENISA-Anforderungen in prüfbare Schritte und ermöglicht die systematische Selbsteinschätzung. (Bild: © Ticha - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b1/9c/b19ccd8ab4cac6cef1ff7a428eb1fcdf/0126593157v1.jpeg "Data Sanitization verhindert Datenlecks durch irreversibles Unbrauchbarmachen oder Löschen von Daten auf Speichermedien. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/de/82/de828351d24ce22947e9c469931ffd20/0126593157v1.jpeg "Eine Post-Incident Review (PIR) ist eine strukturierte Nachbetrachtung eines (Cyber-)Vorfalls, um die Ursachen zu verstehen und ähnliche Ereignisse zukünftig zu verhindern. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/69/9d/699da109d631b/onapsis-logo-full-color-rgb-150dpi.png "onapsis-logo-full-color-rgb-150dpi (Onapsis)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/d8/7c/d87ccce1c10c750056a03d4a814ef592/0124325043v2.jpeg "Die Implementierung von DevSecOps ist unverzichtbar für Organisationen, die ihre Systeme wirksam vor böswilligen Angriffen schützen und gleichzeitig eine schnelle, effiziente und nachhaltige Wertschöpfung gewährleisten möchten. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/d9/41d92513855f8edc365b723bc094a6bb/0123813981v2.jpeg "ASPM-Lösungen erleichtern die Zusammenarbeit im DevSecOps-Team und helfen die Aufgabenbereiche nahtlos miteinander zu verbinden. (Bild: stone36 - stock.adobe.com)")