Neue Sicherheitsansätze für Unternehmen sind gefragt, denn die digitale Landschaft wird immer komplexer. Das Konzept „Secure by Design“ bietet einen Rahmen für proaktives Handeln. Er versteht Sicherheit nicht als nachträglichen Zusatz, sondern als fundamentales Designprinzip.
„Secure by Design“ repräsentiert einen fundamentalen Wandel in der IT-Sicherheit von reaktiven hin zu proaktiven Maßnahmen.
Die Anzahl der Bedrohungen in der IT-Sicherheit wächst exponentiell. 2023 wurden über 26.400 kritische Schwachstellen identifiziert, über 1.500 mehr als im Vorjahr. Viele dieser Schwachstellen hätten durch eine grundlegend andere Herangehensweise an das Thema Sicherheit vermieden werden können. Genau hier setzt das Konzept „Secure by Design“ (SbD oder auch „Security by Design“) an.
Warum traditionelle Sicherheitsansätze nicht mehr ausreichen
Die konventionelle Methode, Sicherheit erst nach der Entwicklung zu implementieren, rächt sich oftmals. Laut dem Open Web Application Security Project (OWASP) rangiert unsicheres Design auf Platz vier der kritischsten Bedrohungen für Webanwendungen. Die Ursache liegt oft darin, dass Sicherheit nicht als inhärenter Teil des Entwicklungsprozesses betrachtet wird.
Im Gegensatz zu reaktiven Ansätzen integriert SbD Sicherheitsüberlegungen von der ersten Konzeptionsphase an. Dies unterscheidet sich auch von „Secure by Default“, das primär auf sichere Voreinstellungen für Endnutzer abzielt. SbD richtet sich direkt an Entwickler und Architekten mit dem Ziel, potenzielle Angriffsflächen bereits im Designprozess zu minimieren.
Die Integration von Sicherheit in jede Phase des Softwareentwicklungslebenszyklus (Software Development Lifecycle, SDLC) ist dabei zentral. Konzepte wie „Shift Left“ verlagern Sicherheitsmaßnahmen in frühere Entwicklungsphasen, während DevSecOps-Praktiken die Zusammenarbeit zwischen Entwicklung, Sicherheit und Betrieb fördern.
Die tragenden Säulen des Ansatzes „Secure by Design“
Automatisierung als Schlüsselkomponente: Moderne CI/CD-Pipelines (Continuous Integration/Continuous Delivery) ermöglichen die Automatisierung von Sicherheitstests und -kontrollen. Das stellt sicher, dass Sicherheitsanforderungen konsequent eingehalten und menschliche Fehler minimiert werden. Automatisierte Prozesse können Konfigurationsfehler erkennen, Code auf Schwachstellen prüfen und Compliance-Anforderungen kontinuierlich validieren.
Defense-in-Depth: Mehrschichtiger Schutz: Ein weiteres zentrales Prinzip ist der mehrschichtige Schutz. Selbst wenn einzelne Schutzmaßnahmen versagen, bleibt das System durch alternative Sicherheitsebenen geschützt. Diese Redundanz verringert das Risiko katastrophaler Sicherheitsverletzungen erheblich.
Anwendung auf neue Technologien wie KI: Besonders relevant wird SbD im Kontext künstlicher Intelligenz (KI). Laut einer aktuellen Studie betrachten 82 Prozent der obersten Entscheider in Unternehmen sichere KI als essenziell, aber nur 24 Prozent implementieren aktiv Sicherheitsmaßnahmen in ihre KI-Entwicklungsprojekte. SbD-Methoden wie geschlossene Trainingsumgebungen und kontrollierter Datenfluss können hier entscheidende Sicherheitsvorteile bieten.
Verbesserte Skalierbarkeit: Durch standardisierte Sicherheitsmaßnahmen können neue Systeme schneller und sicherer implementiert werden. Besonders in dynamischen Cloud-Umgebungen, wo Kapazitätsanforderungen oft unvorhersehbar sind, erweist sich dieser Ansatz als wertvoll.
Gesteigerte Agilität und Innovationskraft: Was zunächst als zusätzliche Einschränkung erscheinen mag, erweist sich langfristig als Enabler für Innovationen. Wenn Sicherheitsaspekte von Anfang an berücksichtigt werden, können Entwickler sich auf ihre Kernaufgaben konzentrieren, ohne ständig grundlegende Sicherheitsfragen neu bewerten zu müssen.
Nachhaltige Sicherheitsarchitektur: SbD berücksichtigt auch zukünftige Entwicklungen, wie etwa Fortschritte in der Kryptografie oder neue Bedrohungsszenarien. Systeme, die nach SbD-Prinzipien konzipiert wurden, bleiben länger widerstandsfähig gegen sich ändernde Bedrohungen und benötigen weniger grundlegende Überarbeitungen.
Wirtschaftliche Effizienz: Die frühzeitige Integration von Sicherheit reduziert den Bedarf an kostspieligen nachträglichen Anpassungen. Studien zeigen, dass die Behebung von Sicherheitsproblemen in der Designphase bis zu hundertmal günstiger sein kann als nach der Implementierung.
Implementierung von „Secure by Design“ in Unternehmen
Die erfolgreiche Einführung von SbD erfordert einen kulturellen Wandel. Sicherheit muss als Gedanke in der gesamten Organisation verankert werden, von der Führungsebene bis zu den Entwicklungsteams. Dies umfasst die klare Dokumentation von Sicherheitsanforderungen und -prozessen sowie kontinuierliche Schulungen aller Beteiligten. Entscheidend sind zudem die Auswahl geeigneter Tools und Standards sowie eine enge Zusammenarbeit zwischen Entwicklungs- und Sicherheitsteams. Nur wenn alle Beteiligten das Konzept verstehen und konsequent umsetzen, kann SbD sein volles Potenzial entfalten.
Die Bedeutung von SbD wird auch durch branchenweite Initiativen unterstrichen. Über 60 führende Technologieunternehmen, darunter AWS, haben das „Secure by Design“-Versprechen der Cybersecurity and Infrastructure Security Agency (CISA) unterzeichnet.
Ein praktisches Beispiel für SbD-Implementierung ist die starke Authentifizierung. Die Aktivierung von Multi-Faktor-Authentifizierung (MFA) kann nachweislich mehr als 99 Prozent der passwortbezogenen Angriffe abwehren – ein einfacher, aber höchst effektiver Schutz.
Sicherheit als Grundprinzip
„Secure by Design“ repräsentiert einen fundamentalen Wandel in der IT-Sicherheit von reaktiven hin zu proaktiven Maßnahmen. Da Cyberbedrohungen immer ausgefeilter werden, bietet das Konzept einen robusten Rahmen, um Systeme von Grund auf sicherer zu gestalten. Unternehmen, die den Ansatz konsequent verfolgen, profitieren nicht nur von besserer Sicherheit, sondern auch von erhöhter Effizienz, Skalierbarkeit und Kundenvertrauen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Über den Autor: Bertram Dorn arbeitet als Principal in the Office of the CISO bei AWS. Ausgehend von seiner langjährigen Erfahrung im Bereich Cybersicherheit berät er Unternehmen bei der Implementierung von „Secure-by-Design“-Strategien und hält regelmäßig Vorträge zu aktuellen Sicherheitsthemen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/94/d5947c5498ec72f1344c4f900c360d81/0129222277v2.jpeg "Standardisierte Vorlagen schaffen einheitliche Compliance-Abläufe, reduzieren Fehler und verkürzen Audits messbar. (Bild: © Pixels Hunter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:quality(80)/p7i.vogel.de/wcms/88/a8/88a8d767df8115d133d1c105fa29bbbf/0121769785v2.jpeg "Entwickler müssen ihre Software täglich oft mehrere hundert Male aktualisieren. Dies sowie fehlende Sichtbarkeit können sich negativ auf die Sicherheit des Codes auswirken. (Bild: immimagery - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/6d/1d6d54ed108d5889b829aaf54ff74cb0/0119078859v2.jpeg "Damit sich die Unternehmenskultur hin zu einem Secure by Design-Ansatz wandeln kann, muss die Unternehmensführung klar kommunizieren, dass die Cybersicherheit eine gemeinsame Verantwortlichkeit ist. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dd/74/dd74dc5f45b18903f449264959d2dfe3/0122180401v2.jpeg "Cyber Resilience Act (CRA): erstmals wird der Grundsatz ‚Security by Design‘ in das europäische Technikrecht aufgenommen. (Bild: harakir)")
:quality(80)/p7i.vogel.de/wcms/02/06/0206bb4b6de191297c907010dcaedab6/0128051883v2.jpeg "Adversariale Prompts, Manipulationen und API-Missbrauch machen die Inferenz zur verwundbarsten Phase moderner KI-Systeme (Bild: 3dkombinat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/83/a08383dc34d23d3f456b1cd2bca63cbf/0124981650v2.jpeg "Indem Unternehmen ihre Sicherheitsarchitektur rationalisieren, Security by Design konsequent umsetzen und Automatisierung sowie CSaaS gezielt einsetzen, schaffen sie eine widerstandsfähige IT-Landschaft, die Innovation und Sicherheit vereint. (Bild: © Limitless Visions - stock.adobe.com)")