Ein ungesicherter Lüftungsschaft war ausreichend, um den Todesstern in die Luft zu jagen. Die größte Schwachstelle war keine Superwaffe der Rebellen, sondern die Ignoranz des Imperiums gegenüber Sicherheitsprinzipien. Der Todesstern wurde nicht zerstört, weil er zu schwach gebaut war, sondern weil die Sicherheit vernachlässigt wurde.
DevSecOps und Star Wars zeigen beide, dass wahre Stärke nicht in Macht oder Technologie liegt, sondern darin, Sicherheit von Anfang an als festen Bestandteil jedes Systems zu verankern.
Anhand des Finales von „Krieg der Sterne: Episode IV“, in dem der Todesstern zerstört wird, zeigt sich, dass Sicherheitsarchitektur und Risikobewertung nicht vernachlässigt werden sollten. Was für den Todesstern gilt, gilt auch in modernen IT-Landschaften. Auch in der Realität reicht eine einzige übersehene Sicherheitslücke, um ganze Unternehmen ins Wanken zu bringen. Angesichts komplexer Software-Lieferketten, Zero-Day-Exploits und wachsender regulatorischer Anforderungen reicht es nicht, Sicherheit am Ende eines Projekts „draufzusetzen“. Sie muss von Beginn an Teil des Entwicklungsprozesses sein.
Wie Produktivität und Sicherheit Hand in Hand gehen
Von kleinen Start-ups bis hin zu globalen Unternehmen wächst der Druck, Sicherheitsmaßnahmen in die Entwicklungsprozesse zu integrieren, ohne dabei die Innovationsgeschwindigkeit zu verringern. Klassische Scanning-Tools führen hierbei nicht zum gewünschten Erfolg: komplizierte Implementierung, mangelnde Akzeptanz bei Entwicklern und zu viele False Positives.
Deshalb gelten Sicherheitsmaßnahmen in vielen Entwicklungsteams noch immer als notwendiges Übel. Ein zusätzlicher Schritt, der Zeit kostet und oft für Frust sorgt. Doch Security muss kein Bremsklotz sein. Denn richtig integriert kann sie die Produktivität von Entwicklungsteams sogar steigern. Aus den Erfahrungen von Unternehmen wie IKEA, SAP und WirelessCar lassen sich konkrete Handlungsempfehlungen ableiten.
1. Sicherheit dort verankern, wo gearbeitet wird
R2-D2, der Astromech-Droide aus dem Star-Wars-Universum, wartet nicht auf Anweisungen der Planeten Tatooine oder Dagobah, um Luke beim Fliegen zu navigieren – er ist von Anfang an in seinem X-Wing mit dabei. Währenddessen ist ein zentrales Problem vieler Legacy-Tools, dass Entwicklerteams ihre gewohnte Arbeitsumgebung verlassen müssen. Aus diesem Grund entschied sich zum Beispiel auch IKEA für eine Integration von Sicherheitstools in bestehende Entwickler-Workflows. Dadurch konnten Sicherheitsprüfungen, etwa durch Pull Requests, direkt in den Entwicklungsprozess eingebettet werden. So lassen sich Probleme erkennen und beheben, bevor sie überhaupt in die Codebasis gelangen. Das senkt die Hürde und reduziert den Kontextwechsel, der im Alltag häufig wertvolle Zeit kostet. Auch der zeitliche Aufwand für Konfiguration und Updates, der bei selbstgehosteten Lösungen häufig anfällt, kann so reduziert werden und Sicherheitsteams können sich stärker auf strategische Aufgaben konzentrieren.
„Eine elegante Waffe für ein zivilisiertes Zeitalter.” Mit diesen Worten wandert das Lichtschwert von Obi-Wan in die Hände eines anfangs noch zögernden Luke, und der Rest ist Geschichte. Nicht nur für Lichtschwerter gilt: Die Akzeptanz von Sicherheitstools steigt deutlich, wenn Nutzer nicht erst am Ende, sondern schon in der Einführungsphase eingebunden werden. Nur wenn sie die Tools akzeptieren und aktiv mitgestalten, werden diese langfristig erfolgreich eingesetzt. Das zeigen auch interne Umfragen von SAP: Entwicklerteams fühlten sich durch die frühe Einbindung in neue Sicherheitstools produktiver, Fehler wurden schneller behoben und die Akzeptanz für verpflichtende Sicherheitstools stieg auf einen Net Promoter Score von 75.
Besonders wirksam sind Funktionen, die unmittelbares Feedback geben: Pull-Request-Scans zum Beispiel machen Schwachstellen direkt im Code-Review sichtbar und erhöhen dadurch die Wahrscheinlichkeit, dass sie sofort behoben werden. Auch Auto-Fix-Funktionen können helfen, Routinefehler ohne großen Aufwand zu beseitigen. Gleichzeitig sollten Produktteams die Freiheit haben, mit ergänzenden Tools zu arbeiten, solange die Ergebnisse aller Tools in einem zentralen Dashboard zusammengeführt werden.
Denn Sicherheit braucht klare Zuständigkeiten und Prioritäten. Große Unternehmen nutzen zentralisierte Übersichten, wie Dashboards, um den Überblick über hunderte Repositories zu behalten. Außerdem lassen sich mit deren Funktionen, um Repositories und Risiken nach Geschäftskritikalität bewerten, um Ressourcen gezielter einzusetzen. Auf diese Weise lässt sich vermeiden, dass alle Schwachstellen, unabhängig davon, wie relevant sie für das Geschäft sind, gleich behandelt werden.
Darüber hinaus helfen Governance-Strukturen, wie klar definierte Rollen, Zugriffsbeschränkungen und CI/CD-gestützte Rollouts, eine schnelle und flächendeckende Einführung neuer Sicherheitsfunktionen. Nicht umsonst ist in späteren Filmen nicht mehr von Prinzessin, sondern von Generalin Leia die Rede.
Nicht jedes Tool erfüllt seinen Zweck. Denn nur wenn sie einfach einzurichten sind und eine intuitive Oberfläche bieten, werden sie von Teams akzeptiert, wie C-3PO einst von der Rebellenallianz. Entscheidend ist, dass Sicherheitslösungen aussagekräftige Ergebnisse liefern, Fehlalarme minimieren, sich ohne großen Aufwand in bestehende Prozesse integrieren lassen und kontinuierlich neue Programmiersprachen unterstützen. Automatisierte Prozesse wie beispielsweise Secret Scanning können dabei sofort sichtbare Erfolge liefern und zeigen Teams, welchen Mehrwert Sicherheit bringen kann. Für WirelessCar zeigte sich so, wie schnell unentdeckte Risiken sichtbar und eliminiert werden können.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
In der Schlacht um den Todesstern fliegt niemand blind. Sicherheitsinitiativen sind nur dann nachhaltig, wenn Fortschritte über KPIs und Dashboards sichtbar gemacht und kommuniziert werden. Dazu gehören messbare Kennzahlen wie geschlossene Sicherheitslücken, die Zeit bis zur Behebung oder die Reduktion von False Positives.
Ebenso wichtig ist das Feedback der Entwicklerteams selbst. Denn nur so zeigt sich, ob die Maßnahmen tatsächlich als hilfreich empfunden werden oder ob Anpassungen nötig sind. Sie geben Rückmeldung zur Nutzererfahrung, zeigen Verbesserungsbedarf auf und helfen, die Wirkung von Sicherheitstools auf Produktivität und Codequalität zu validieren.
Der Vergleich mit dem Krieg der Sterne verdeutlicht, wie gefährlich es ist, Sicherheit als Nebensache zu behandeln. Denn Sicherheitslücken entstehen nicht durch fehlende Stärke, sondern durch fehlende Weitsicht. Für heutige Sicherheitsverantwortliche bedeutet das: Sicherheit darf nicht am Ende von Projekten stehen, sondern muss integraler Bestandteil des gesamten Entwicklungszyklus sein.
Erfolgreich gelingt das nur, wenn Entwickler frühzeitig eingebunden, Tools nahtlos in bestehende Workflows integriert und Fortschritte transparent gemacht werden. So wird Sicherheit nicht zum Bremsklotz, sondern zum Enabler, stärkt die Resilienz von Unternehmen und kann die Produktivität von Teams steigern. Denn nur, wenn Security automatisch mitläuft, bleibt sie langfristig wirksam und wirklich konsequent. Oder, um es in anderen Worten zu sagen: „Tu es oder tu es nicht. Es gibt kein Versuchen.“
Über den Autor: Steffen Wagner ist Head of Enterprise Sales DACH bei GitHub.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/cd/b0cd6ad0db8b7b584295c04c4084023d/0125494472v2.jpeg "Am 3. Juli waren auf einmal die Webseiten des Distributors Ingram Micro nicht mehr erreichbar. Schnell wurde von Mitarbeitern und Kunden ein Cyberangriff vermutet. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/6c/dd/6cddbcf249f31748feae7096189632a2/0128612351v1.jpeg "Um die sich schnell ändernden Bedrohungen der KI-Technologie effektiv zu adressieren, sollten Unternehmen im Zuge einer aggressiven Cloud-Strategie ihre Sicherheitsvorkehrungen überdenken und konsolidieren. (Bild: © Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/11/63115ba1d37c1e9499d599c744c80ab4/0123849100v1.jpeg "Jörg Hollerith, Produktmanager bei Paessler, betont die Bedeutung klar definierter Schwellenwerte, um Warnmeldungen verlässlicher einzuordnen. (Bild: Paessler)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/da/4dda0e5edf9ddd0c31363f92becb045e/0127807026v1.jpeg "Proaktive IT-Wartung: Unified Endpoint Management und Digital Employee Experience sollen Fehler erkennen, bevor sie den Betrieb beeinträchtigen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/22/0b22469f85709c1d30f4fa6db4f832f4/0129015808v2.jpeg "Unternehmen verlieren den Überblick über ihre Daten. Um sensible Informationen angemessen schützen zu können, müssen sie alle ihre Daten erst sorgfältig klassifizieren. (Bild: © mnirat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/d0/cfd05fb7d685daeef671838eb3edf725/0128875949v2.jpeg "Drei teils kritische Schwachstellen betreffen lokale Windows-Versionen von Trend Micro Apex Central. Sie ermöglichen eine vollständige Systemübernahme durch Remote-Code-Ausführung sowie Denial-of-Service-Angriffe. (Bild: Melinda Nagy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a8/09/a809c2b47ea5879bc108f0e713988bb5/0129070533v2.jpeg "Das Ziel der EU-Kommission hinter der Änderung des Cybersecurity Acts besteht darin, die Cybersicherheitsresilienz und -kapazitäten zu stärken, um Unternehmen und Institutionen besser gegen wachsende Cyberbedrohungen zu schützen und gleichzeitig die Compliance-Anforderungen zu vereinfachen. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:quality(80)/p7i.vogel.de/wcms/89/7c/897c7f65afc68ddeec732573f7e2d778/0125743535v1.jpeg "„Secure by Design“ repräsentiert einen fundamentalen Wandel in der IT-Sicherheit von reaktiven hin zu proaktiven Maßnahmen. (Bild: © 怡如 柯 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/44/75/4475df87014c1375344e8b82ed6e22dc/0110161453.jpeg "Licht im Tunnel: Shift-Left und Shift-Right schaffen in der Softwareentwicklung einen Schulterschluss von Sicherheit und Agilität. (Bild: Alexander Mils)")
:quality(80)/p7i.vogel.de/wcms/16/1f/161faed9d9ffef258436000874491721/0126364198v2.jpeg "Die Ursachen vieler aktueller Cybersecurity-Probleme liegen nicht nur in kulturellen Unterschieden zwischen Entwicklungs- und Security-Teams, sondern auch in strukturellen Schwächen, sagt Josh Lemos, Chief Information Security Officer bei GitLab. DevSecOps-Praktiken könnten hier nachhaltig Abhilfe schaffen. Besonders mit Blick auf KI-gestützte Softwareentwicklung ist ein Umdenken nötig. (Bild: © tippapatt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dc/d4/dcd405e0a38c138bef95158587c5a1c0/0125976266v1.jpeg "„Unternehmen müssen weg von isolierten Datenschutzprüfungen hin zu einer integrierten Compliance-Strategie, die rechtliche und sicherheitsrelevante Anforderungen direkt in technische Prozesse, Designentscheidungen und Entwicklungsmethoden übersetzt“, sagt Johann Sell, Software Development Team Lead bei der Mip Consult GmbH. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8b/3f/8b3fb0b245b256cb3b5c131762dcd7ef/0126746007v2.jpeg "Automatisierte DevSecOps-Prozesse integrieren Sicherheit direkt in den Software-Lebenszyklus. (Bild: © Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/d7/f7d771b8b25cf078f58448ff4049bc38/0125638406v2.jpeg "Das Forschungszentrum ATHENE empfiehlt, die Anforderungen des Cyber Resilience Acts direkt in die SecDevOps-Pipeline zu integrieren – für automatisierte Sicherheit entlang des gesamten Produktlebenszyklus. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/94/ac/94ac9c3e35bf6c6d870fdbfe48d4726d/0126756814v1.jpeg "Software-Stücklisten (SBOMs) werden mit dem Cyber Resilience Act ab 2027 Pflicht, doch viele Unternehmen unterschätzen die damit einhergehenden Herausforderung. (Bild: © Dmytro Tolokonov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/65/b2652c525f054b9cf8598440a7e24540/0128593399v2.jpeg "KI-Coding liefert Tempo, aber auch Schwachstellen. Richtlinien, Reviews und Security-Tests von IDE-Scanning bis Sandboxing machen den Code belastbar. (Bild: © Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/1f/161faed9d9ffef258436000874491721/0126364198v2.jpeg "Die Ursachen vieler aktueller Cybersecurity-Probleme liegen nicht nur in kulturellen Unterschieden zwischen Entwicklungs- und Security-Teams, sondern auch in strukturellen Schwächen, sagt Josh Lemos, Chief Information Security Officer bei GitLab. DevSecOps-Praktiken könnten hier nachhaltig Abhilfe schaffen. Besonders mit Blick auf KI-gestützte Softwareentwicklung ist ein Umdenken nötig. (Bild: © tippapatt - stock.adobe.com)")