Fehlalarme, überladene Tech-Stacks und späte Tests bremsen sichere Software. Mit Priorisierung, schlanker Architektur und standardisierten „Paved Roads“ lassen sich Schwachstellenmanagement und Zusammenarbeit deutlich verbessern.
Die Ursachen vieler aktueller Cybersecurity-Probleme liegen nicht nur in kulturellen Unterschieden zwischen Entwicklungs- und Security-Teams, sondern auch in strukturellen Schwächen, sagt Josh Lemos, Chief Information Security Officer bei GitLab. DevSecOps-Praktiken könnten hier nachhaltig Abhilfe schaffen. Besonders mit Blick auf KI-gestützte Softwareentwicklung ist ein Umdenken nötig.
Häufig wird angenommen, dass Probleme in der Softwaresicherheit auf kulturelle Unterschiede zwischen Entwicklungs- und Security-Teams zurückzuführen sind. Doch das greift zu kurz. Genauso entscheidend ist die technische Infrastruktur. Die wachsende Komplexität moderner Tech-Stacks und der weiterhin hohe Aufwand für ein wirksames Schwachstellenmanagement gehören zu den zentralen Faktoren, die Organisationen im Bereich Cybersecurity ausbremsen.
GitLabs aktuelle DevSecOps-Studie zeigt ein klares Bild. 58 Prozent der befragten Security-Expertinnen und Experten sagen, dass es ihnen schwerfällt, Entwicklungsteams zur prioritären Behebung von Schwachstellen zu bewegen. Zusätzlich berichten 52 Prozent, dass bürokratische Hürden schnelle Reaktionen verhindern. Hinzu kommen Probleme bei der Interpretation von Sicherheitsmeldungen, eine hohe Zahl an Fehlalarmen und zu spät im Entwicklungsprozess angesetzte Softwaretests. All das spricht für tiefgreifende strukturelle Herausforderungen: Nicht nur in der Teamkultur, sondern eben auch bei Prozessen und den verwendeten Technologien.
Ein Schwachstellenscan kann zwar alle potentiellen Sicherheitslücken identifizieren, doch nicht jede davon ist tatsächlich angreifbar oder ausnutzbar. Authentifizierte Scans haben zwar viele Cybersecurity-Initiativen deutlich gestärkt, sie haben aber auch dazu geführt, dass Entwicklerinnen und Entwickler ständig mit der Behebung unkritischer Lücken beschäftigt sind, und das oft zulasten wichtigerer Aufgaben.
Dieses Ungleichgewicht sorgt für Spannungen zwischen Entwicklungs- und Security-Teams. Doch wie lässt sich dieser Teufelskreis durchbrechen? Drei zentrale Maßnahmen können helfen, die häufigsten Ursachen für Frustrationen im Entwicklungsalltag gezielt zu vermeiden.
Eine der größten Quellen für Frustrationen ist laut GitLabs Studie die hohe Zahl an Fehlalarmen. Oft deuten diese jedoch auf grundlegende Schwächen im Schwachstellenmanagement hin.
Organisationen sollten sich daher auf sicherheitsrelevante Funde konzentrieren. Herkömmliche SAST-Lösungen (Static Application Security Testing) sind zwar leistungsfähig, stoßen aber an Grenzen, wenn ihre Ergebnisse schwer nutzbar oder nicht im richtigen Kontext einzuordnen sind. Damit sie ihr volles Potenzial entfalten, müssen sie nahtlos mit anderen Entwicklungs- und Security-Tools integriert und für Entwicklerinnen und Entwickler leicht zugänglich sein.
Ein weiteres Problem ist, dass die meisten Tools Schwachstellen nur in sehr begrenztem Kontext analysieren. Hier kann KI unterstützen, etwa mit Funktionen, die die Erkenntnisse verständlich erklären.
Was für Tests gilt, trifft ebenso auf die Softwarearchitektur zu: Komplexität sollte vermieden werden, wo immer es möglich ist.
Die wachsende Komplexität moderner Softwareumgebungen zählt zu den Hauptursachen aktueller Herausforderungen in der Cybersicherheit. Ein gewisses Maß an Komplexität lässt sich bei umfangreichen, vielschichtigen Softwaresystemen zwar kaum vermeiden. Doch oft sind es überflüssige Altlasten, nicht wartungsfreundlicher Code und unnötige Abhängigkeiten, die potenzielle Schwachstellen begünstigen.
Deshalb sollten Unternehmen gezielt auf eine schlanke Architektur setzen und genau abwägen, welche Tools wirklich notwendig sind und welche Funktionen in die eigene Codebasis gehören. So lassen sich Abhängigkeiten reduzieren, die Software-Lieferkette besser absichern, Fehlalarme minimieren und der Aufwand für die Behebung nicht kritischer Schwachstellen spürbar senken.
3. „Paved Roads“ etablieren
Ein weiteres, in der GitLab-Studie häufig genanntes Problem besteht darin, dass Sicherheitstests oft zu spät im Softwareentwicklungszyklus erfolgen. Frust entsteht, wenn ein Softwareprodukt kurz vor der Auslieferung steht, sich diese jedoch verzögert, weil eine Schwachstelle erst spät entdeckt wird. Solche Schwachstelle lassen sich in solchen Fällen ohnehin nicht frühzeitig identifizieren. Stattdessen kann eine standardisierte Auswahl an Tools, Prozessen und Komponenten bereitgestellt werden, die den Teams als Orientierung dient, um sichere Anwendungen von vornherein effizienter zu entwickeln.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Böse Überraschungen in der Endphase der Softwareentwicklung lassen sich vermeiden, wenn Teams auf erprobte, bewährte Designmuster setzen. Diese basieren auf reproduzierbaren Anwendungsfällen, den sogenannten „Paved Roads“. Darunter versteht man etablierte, standardisierte Verfahren mit kuratierten Tools, Prozessen und Komponenten, die Teams dabei unterstützen, Anwendungen effizient und sicher zu entwickeln. Ein Beispiel ist der Einsatz von GitOps, um gut konzipierte und getestete Infrastruktur als Code zu versionieren und automatisiert bereitzustellen. So lässt sich das Vorgehen skalierbar auf sämtliche Workloads anwenden.
Der Einsatz solcher Standards kann die Flexibilität zwar ein Stück weit einschränken, verringert jedoch den operativen Aufwand und den Nachbesserungsbedarf auf Seiten der Entwicklungs-Teams und erhöht zugleich die Softwaresicherheit. Voraussetzung dafür ist eine enge Zusammenarbeit zwischen Entwicklungs- und Security-Teams. Letztere können die Gestaltung solcher „paved roads“ unterstützen, doch Entwicklerinnen und Entwickler müssen aktiv daran mitwirken, diese in der Codebasis zu verankern und kontinuierlich zu pflegen.
Softwaresicherheit betrifft alle – nicht nur Security-Teams
Cybersecurity-Expertise wandert zunehmend in die Entwicklungsteams. Dieser Trend wird durch die schnelle Adaption KI-basierter Tools weiter verstärkt. Laut GitLabs Studie veröffentlichen 66 Prozent der Befragten im Jahr 2024 mindestens doppelt so häufig neue Software wie im Vorjahr.
Die Überbrückung der kulturellen Kluft zwischen Entwicklungs- und Security-Teams ist nur der erste Schritt. Die Zukunft der Softwaresicherheit erfordert ein grundlegendes Umdenken in der Softwareentwicklung.
Es geht nicht nur um die Förderung der Zusammenarbeit zwischen unterschiedlichen Teams, sondern in erster Linie darum, Kernprozesse zu revolutionieren: durch die Optimierung bestehender Codebases und die Bereitstellung skalierbarer, entwicklerfreundlicher Lösungen, die sich nahtlos in die gesamte Organisation integrieren lassen. Nur so kann gewährleistet werden, dass die Softwaresicherheit mit der hohen Geschwindigkeit moderner Softwareentwicklung Schritt hält.
Über den Autor: Josh Lemos ist Chief Information Security Officer bei GitLab. Er bringt 20 Jahre Erfahrung in der Leitung von Informationssicherheitsteams in seine Rolle ein. Lemos ist verantwortlich für die Entwicklung und Aufrechterhaltung der Unternehmensvision, -strategie und -programme, um sicherzustellen, dass Informationsressourcen und -technologien angemessen geschützt sind, die GitLab DevSecOps-Plattform zu stärken und ein Höchstmaß an Sicherheit für Kunden zu gewährleisten.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/d8/7c/d87ccce1c10c750056a03d4a814ef592/0124325043v2.jpeg "Die Implementierung von DevSecOps ist unverzichtbar für Organisationen, die ihre Systeme wirksam vor böswilligen Angriffen schützen und gleichzeitig eine schnelle, effiziente und nachhaltige Wertschöpfung gewährleisten möchten. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/7c/897c7f65afc68ddeec732573f7e2d778/0125743535v1.jpeg "„Secure by Design“ repräsentiert einen fundamentalen Wandel in der IT-Sicherheit von reaktiven hin zu proaktiven Maßnahmen. (Bild: © 怡如 柯 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/85/18851556b97d05d44d4989e34835194d/0120695236v1.jpeg "DevSecOps können Compliance-Richtlinien als Code implementieren und so Sicherheits- und Datenschutzanforderungen von Anfang an berücksichtigen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/43/0e/430eb2e5140c4ad290d62619d58f26d8/0121986487v1.jpeg "Shift-Left-Security integriert DevSecOps, Zero Trust und Policy as Code für maximale Agilität und Sicherheit. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/65/b2652c525f054b9cf8598440a7e24540/0128593399v2.jpeg "KI-Coding liefert Tempo, aber auch Schwachstellen. Richtlinien, Reviews und Security-Tests von IDE-Scanning bis Sandboxing machen den Code belastbar. (Bild: © Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/06/de/06ded9c89754195afef5bfa3d47d852a/0125048674v1.jpeg "Noch ist NIS-2 in Deutschland nicht umgesetzt. Doch Unternehmen können und sollten sich schon jetzt vorbereiten – und dabei gleichzeitig ihre Cybersecurity stärken. (Bild: © Gorodenkoff - stock.adobe.com)")