Für eine sichere Softwareentwicklung sind der Überblick über die verwendeten Komponenten und kontinuierliches Monitoring essenziell. Josh Lemos, CISO von Gitlab, gibt Tipps für „Security by Design“.
Entwickler müssen ihre Software täglich oft mehrere hundert Male aktualisieren. Dies sowie fehlende Sichtbarkeit können sich negativ auf die Sicherheit des Codes auswirken.
(Bild: immimagery - stock.adobe.com)
Von der versuchten Hintertür in XZ Utils bis hin zur Übernahme und anschließenden Verbreitung von Malware im Polyfill JS-Projekt : Angriffe auf die Software-Lieferkette stellen eine ernstzunehmende Herausforderung für die DevSecOps-Community dar. Sie können selbst die erfahrensten Experten überraschen. Diese Vorfälle zeigen, dass die Angriffe auf die Software-Lieferkette unvermeidbar sind und ein Potenzial für schwerwiegende Folgen haben.
Um ihre Widerstandsfähigkeit zu stärken, sollten Unternehmen drei wichtige Komponenten in ihren Softwareentwicklungsumgebungen berücksichtigen: Transparenz, Governance und Continuous Deployment. So können Unternehmen ihre Verteidigung verbessern und die Zeit verkürzen, die sie benötigen, um sich vom nächsten Cyberangriff zu erholen.
Das Wissen eines Sicherheitsexperten über die von ihm geschützten Softwaresysteme ist in der Regel sowohl eingeschränkt als auch zeitlich begrenzt. Die Informationen, die in die Abläufe einfließen, sind Momentaufnahmen hochdynamischer und komplexer Computersysteme, während die Momentaufnahmen der Sicherheitskontrollen als zeitlich begrenzte Referenz für den Sicherheitsstatus dienen. Obwohl Künstliche Intelligenz einige Sicherheitskontrollen dynamischer und flexibler gestaltet, bleiben die meisten Sicherheitsgrenzen weiterhin statisch oder basieren auf heuristischen Ansätzen.
Umgekehrt ist die Zahl der Unbekannten in Large-Scale-Computing- Umgebungen zu jedem Zeitpunkt nahezu unbegrenzt. Ein Code wird täglich hunderte bis tausende Male aktualisiert, Änderungen an der Infrastruktur können zuvor definierte Sicherheitsgrenzen aufheben, und vorgelagerte Abhängigkeiten können massive Auswirkungen auf die Sicherheit haben.
Um auf den nächsten Angriff vorbereitet zu sein, müssen Sicherheitsexperten ihre Umgebungen in Echtzeit überwachen und die Anzahl unbekannter Variablen minimieren. So ist beispielsweise die Verwendung einer Software Bill of Materials (SBOM) sowohl für kommerzielle als auch für Open-Source-Software (OSS) von entscheidender Bedeutung. Sie liefert einen umfassenden Überblick der in der Software verwendeten Komponenten und ermöglicht eine schnelle Identifizierung anfälliger Komponenten, wenn neue Bedrohungen auftauchen. Solche Inventare dienen als kanonische Quelle für jedes Asset, Indexierung und unterstützen erweiterbare APIs und abfragbare Schnittstellen, um ihren Nutzen und Wert zu maximieren.
Auch die Kenntnis über das Alter der verwendeten Software kann bei der Entwicklung von Sicherheitsmaßnahmen hilfreich sein. Ältere Dienste sind anfälliger für Angriffe durch Dritte oder haben Schwachstellen, da sie nicht so häufig bereitgestellt oder gewartet werden. Andererseits ist neue Software anfälliger für „First-Party"-Probleme wie Fehler in der Business Logik oder, seltener, für völlig neue Angriffsarten. Die Kombination von neuer und alter Software birgt Risiken, insbesondere wenn Sicherheitsvorkehrungen entweder gerade erst definiert wurden oder aber bereits obsolet sind.
Steuerung und Verwaltung von Software-Lieferketten
Dabei reicht es oftmals nicht aus, die Softwaresysteme eines Unternehmens zu verstehen. Eine solide Governance – ein Rahmen aus Richtlinien, Prozessen und Kontrollen, die sichere Praktiken gewährleisten und von der Unternehmensleitung beaufsichtigt werden – ist für die Aufrechterhaltung von Sicherheitsmaßnahmen und Verantwortlichkeit während des gesamten Software-Lebenszyklus unerlässlich.
Bei der Entwicklung von „Secure-by-Design"-Software gibt es mehrere Überlegungen:
Erstellung reproduzierbarer Software und Aufrechterhaltung von dienstspezifischen Metriken zur Gewährleistung der Sicherheit
Regelmäßige Kontrollen, um funktionierende Sicherheitsvoraussetzungen sicherzustellen,
Verwendung von vorgefertigten Infrastructure-as-Code-Mustern
Aufbau von SBOMs, die von Teams für Sicherheitsoperationen und Schwachstellenwarnungen genutzt werden können, sowie von entsprechenden Instrumenten
Automatisierung von Sicherheitsprüfungen, um die Einhaltung der „Secure-by-default“-Prinzipien zu gewährleisten
Integration von KI-Validierung in den SDLC, um die Effizienz zu steigern, Fehler zu reduzieren und tiefere Einblicke in den Entwicklungsprozess zu erhalten
Implementierung von Policy-as-Code zur Automatisierung der Verwaltung und Durchsetzung von Sicherheitsrichtlinien für Cloud-Dienste, -Anwendungen, -Netzwerke und -Daten zur Gewährleistung einer einheitlichen und umfassenden Sicherheitsabdeckung
Entwurf von Sicherheitsgrenzen durch das richtige Design, die Fehlerbereiche einschränken
Unternehmen könnten auch die Einrichtung eines Open-Source- Programmbüros (OSPO) in Betracht ziehen, um die OSS-Sicherheit zu erhöhen. Diese Teams verwalten die OSS-Nutzung, überwachen die Sicherheitspraktiken, pflegen die Beziehungen zur Open-Source-Gemeinschaft, halten sich über die neuesten Sicherheits- und Compliance-Entwicklungen auf dem Laufenden und überwachen die Zuverlässigkeit und Sicherheit von Open-Source-Komponenten.
Kontinuierliche Bewertung nimmt das Unbekannte vorweg
Das kontinuierliche Testen und Überwachen einer Softwareumgebung ist entscheidend für die Widerstandsfähigkeit eines Unternehmens gegenüber Sicherheitslücken in der Software-Lieferkette. Beim Continuous Deployment werden Code-Änderungen automatisch getestet und nach erfolgreichem Bestehen der Tests direkt in die Produktion überführt – und das oft hunderte bis tausende Male am Tag. Es geht über die herkömmliche Integration und Bereitstellung hinaus, indem der gesamte Prozess automatisiert wird, um die Softwarequalität zu verbessern und die Bereitstellung zu beschleunigen. Continuous Deployment ist jedoch nur möglich, wenn die entsprechenden Komponenten für Transparenz und Governance vorhanden sind.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Viele Entwickler empfinden das Schreiben von Tests als herausfordernd, und die Testabdeckung ist häufig geringer, als es oftmals unter optimalen Zeitbedingungen möglich wäre. Eine umfassende Testabdeckung, einschließlich Unit- und Integrationstests, stellt sicher, dass jeder Teil einer Umgebung isoliert und im Zusammenspiel mit anderen Komponenten auf Fehler geprüft wird. In diesem Bereich kann Generative KI (GenAI) eine große Hilfe bei der Automatisierung oder Beschleunigung der langweiligen Arbeit sein. Das kommt den Entwicklungsteams nicht nur in Bezug auf die Geschwindigkeit zugute, sondern auch durch die kontinuierliche Überprüfung der Sicherheit und Belastbarkeit ihrer Software.
Die automatisierte Überprüfung der Sicherheitsgrenzen stellt ebenso sicher, dass diese lückenlos sind und gut gewartet werden, und dient als erste Verteidigungslinie gegen potenzielle Verstöße. Bei der Überwachung von Produktionsumgebungen lassen sich Diskrepanzen oder unerwartet Verhaltensweisen erkennen, die auf ein Sicherheitsproblem hindeuten könnten. Und schließlich ist die kontinuierliche programmatische Erkennung entscheidend für die Vollständigkeit und Konsistenz der Inventare.
Widerstandsfähigkeit gegen das Unbekanntes aufbauen
Cyber-Resilienz ist die Fähigkeit eines Unternehmens, seine Sicherheitslage anzupassen und weiterzuentwickeln, um der nächsten Sicherheitsbedrohung einen Schritt voraus zu sein. Um darauf vorbereitet zu sein, müssen Sicherheitsexperten dafür sorgen, dass ihr Software-Ökosystem für eine wirksame Reaktion und Widerstandsfähigkeit gut gerüstet ist und die Zeitspanne von der Identifizierung bis zur Behebung des Problems minimiert wird. Indem sie durch Transparenz, durch Governance und durch Continuous Deployment vorausschauend handeln, werden Unternehmen besser für den nächsten Angriff auf die Lieferkette vorbereitet.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/94/d5947c5498ec72f1344c4f900c360d81/0129222277v2.jpeg "Standardisierte Vorlagen schaffen einheitliche Compliance-Abläufe, reduzieren Fehler und verkürzen Audits messbar. (Bild: © Pixels Hunter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/40/ca/40ca466213d10355f94e9a08faee1c86/0108734389.jpeg "Angriffe auf die Software Supply Chain machen deutlich: Unternehmen können sich nicht mehr blind darauf verlassen, dass Code-Komponenten die sie nutzen auch sicher sind. (Bild: Eisenhans - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8c/a0/8ca087c388d0b9a23ba15cd86e201f74/0120351122v1.jpeg "„Software Bills of Materials“ – Software-Stücklisten – liefern eine detaillierte Auflistung der in einem Gerät, einer Software oder einem Dienst verwendeten Software-Komponenten, was die Transparenz der Supply Chain erhöht. (Bild: fran_kie - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/c5/1cc5af5026d991774f834f0241234d2f/0114645642.jpeg "DevSecOps-Strategien sind weit verbreitet, doch die Sicherheitsprozesse selbst können DevOps ausbremsen. (© Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/53/91537cd44eacdc13b1c0a331ba25e3cd/0118613712v2.jpeg "Rund 60 Prozent der Unternehmen in EMEA sind von Angriffen auf die Software-Lieferkette betroffen. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/17/071777879046e5c3fe439bf33688ea58/0116975583.jpeg "Gartner prognostiziert, dass bis 2025 45 Prozent der Unternehmen Angriffe auf ihre Software-Lieferketten erleben werden. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f8/f7/f8f7e90c23f6260dcc0e4ef6423100a2/0127615087v2.jpeg "Echtzeit-Observability liefert den Überblick über komplexe Systemlandschaften und hilft, Ausfälle präventiv zu vermeiden. (Bild: © jijomathai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/7c/897c7f65afc68ddeec732573f7e2d778/0125743535v1.jpeg "„Secure by Design“ repräsentiert einen fundamentalen Wandel in der IT-Sicherheit von reaktiven hin zu proaktiven Maßnahmen. (Bild: © 怡如 柯 - stock.adobe.com)")