[{"data":1,"prerenderedAt":443},["ShallowReactive",2],{"/de-de/the-source/authors/josh-lemos":3,"footer-de-de":32,"the-source-banner-de-de":328,"the-source-navigation-de-de":334,"the-source-newsletter-de-de":356,"authors-de-de":363,"categories-de-de":393,"josh-lemos-articles-list-de-de":394},{"id":4,"title":5,"body":6,"category":6,"config":7,"content":9,"description":6,"extension":23,"meta":24,"navigation":25,"path":26,"seo":27,"slug":28,"stem":29,"testContent":6,"type":30,"__hash__":31},"theSourceAuthors/de-de/the-source/authors/josh-lemos.yml","Josh Lemos",null,{"layout":8},"the-source",[10,21],{"componentName":11,"componentContent":12},"TheSourceAuthorHero",{"config":13,"name":5,"role":16,"bio":17,"headshot":18},{"gitlabHandle":14,"linkedInProfileUrl":15},"joshlemos","https://www.linkedin.com/in/joshlemos/","Chief Information Security Officer","Josh Lemos ist Chief Information Security Officer bei GitLab Inc. und bringt 20 Jahre Erfahrung in der Leitung von Informationssicherheitsteams in seine Rolle ein. Er ist für die Erstellung und Aufrechterhaltung der Unternehmensvision, -strategie und -programme verantwortlich, um sicherzustellen, dass Informationsressourcen und Technologien angemessen geschützt sind, die Gitlab-DevSecOps-Plattform zu stärken und den Kund(inn)en ein Höchstmaß an Sicherheit zu bieten.",{"altText":5,"config":19},{"src":20},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1751463405/f4rqtiecakrekvxfhqar.jpg",{"componentName":22},"TheSourceArticlesList","yml",{},true,"/de-de/the-source/authors/josh-lemos",{"title":5},"josh-lemos","de-de/the-source/authors/josh-lemos","author","rFPHOEnsyH3dEhnulr_OCcvCuyrBJOzg7OO-JScvcVk",{"data":33},{"text":34,"source":35,"edit":41,"contribute":46,"config":51,"items":56,"minimal":320},"Git ist eine Marke von Software Freedom Conservancy und unsere Verwendung von „GitLab“ erfolgt unter Lizenz.",{"text":36,"config":37},"Quelltext der Seite anzeigen",{"href":38,"dataGaName":39,"dataGaLocation":40},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/","page source","footer",{"text":42,"config":43},"Diese Seite bearbeiten",{"href":44,"dataGaName":45,"dataGaLocation":40},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/-/blob/main/content/","web ide",{"text":47,"config":48},"Beteilige dich",{"href":49,"dataGaName":50,"dataGaLocation":40},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/-/blob/main/CONTRIBUTING.md/","please contribute",{"twitter":52,"facebook":53,"youtube":54,"linkedin":55},"https://x.com/gitlab","https://www.facebook.com/gitlab","https://www.youtube.com/channel/UCnMGQ8QHMAnVIsI3xJrihhg","https://www.linkedin.com/company/gitlab-com",[57,84,157,220,282],{"title":58,"links":59,"subMenu":65},"Plattform",[60],{"text":61,"config":62},"DevSecOps-Plattform",{"href":63,"dataGaName":64,"dataGaLocation":40},"/de-de/platform/","devsecops platform",[66],{"title":67,"links":68},"Preise",[69,74,79],{"text":70,"config":71},"Tarife anzeigen",{"href":72,"dataGaName":73,"dataGaLocation":40},"/de-de/pricing/","view plans",{"text":75,"config":76},"Vorteile von Premium",{"href":77,"dataGaName":78,"dataGaLocation":40},"/de-de/pricing/premium/","why premium",{"text":80,"config":81},"Vorteile von Ultimate",{"href":82,"dataGaName":83,"dataGaLocation":40},"/de-de/pricing/ultimate/","why ultimate",{"title":85,"links":86},"Lösungen",[87,92,97,102,107,112,117,122,127,132,137,142,147,152],{"text":88,"config":89},"Digitale Transformation",{"href":90,"dataGaName":91,"dataGaLocation":40},"/de-de/topics/digital-transformation/","digital transformation",{"text":93,"config":94},"Sicherheit und Compliance",{"href":95,"dataGaName":96,"dataGaLocation":40},"/de-de/solutions/application-security-testing/","Application security testing",{"text":98,"config":99},"Automatisierte Softwarebereitstellung",{"href":100,"dataGaName":101,"dataGaLocation":40},"/de-de/solutions/delivery-automation/","automated software delivery",{"text":103,"config":104},"Agile Entwicklung",{"href":105,"dataGaName":106,"dataGaLocation":40},"/de-de/solutions/agile-delivery/","agile delivery",{"text":108,"config":109},"Cloud-Transformation",{"href":110,"dataGaName":111,"dataGaLocation":40},"/de-de/topics/cloud-native/","cloud transformation",{"text":113,"config":114},"SCM",{"href":115,"dataGaName":116,"dataGaLocation":40},"/de-de/solutions/source-code-management/","source code management",{"text":118,"config":119},"CI/CD",{"href":120,"dataGaName":121,"dataGaLocation":40},"/de-de/solutions/continuous-integration/","continuous integration & delivery",{"text":123,"config":124},"Wertstrommanagement",{"href":125,"dataGaName":126,"dataGaLocation":40},"/de-de/solutions/value-stream-management/","value stream management",{"text":128,"config":129},"GitOps",{"href":130,"dataGaName":131,"dataGaLocation":40},"/de-de/solutions/gitops/","gitops",{"text":133,"config":134},"Enterprise",{"href":135,"dataGaName":136,"dataGaLocation":40},"/de-de/enterprise/","enterprise",{"text":138,"config":139},"Kleinunternehmen",{"href":140,"dataGaName":141,"dataGaLocation":40},"/de-de/small-business/","small business",{"text":143,"config":144},"Öffentlicher Sektor",{"href":145,"dataGaName":146,"dataGaLocation":40},"/de-de/solutions/public-sector/","public sector",{"text":148,"config":149},"Bildungswesen",{"href":150,"dataGaName":151,"dataGaLocation":40},"/de-de/solutions/education/","education",{"text":153,"config":154},"Finanzdienstleistungen",{"href":155,"dataGaName":156,"dataGaLocation":40},"/de-de/solutions/finance/","financial services",{"title":158,"links":159},"Ressourcen",[160,165,170,175,180,185,190,195,200,205,210,215],{"text":161,"config":162},"Installieren",{"href":163,"dataGaName":164,"dataGaLocation":40},"/de-de/install/","install",{"text":166,"config":167},"Kurzanleitungen",{"href":168,"dataGaName":169,"dataGaLocation":40},"/de-de/get-started/","quick setup checklists",{"text":171,"config":172},"Lernen",{"href":173,"dataGaName":174,"dataGaLocation":40},"https://university.gitlab.com/","learn",{"text":176,"config":177},"Produktdokumentation",{"href":178,"dataGaName":179,"dataGaLocation":40},"https://docs.gitlab.com/","docs",{"text":181,"config":182},"Blog",{"href":183,"dataGaName":184,"dataGaLocation":40},"/de-de/blog/","blog",{"text":186,"config":187},"Kundenerfolge",{"href":188,"dataGaName":189,"dataGaLocation":40},"/de-de/customers/","customer success stories",{"text":191,"config":192},"Remote",{"href":193,"dataGaName":194,"dataGaLocation":40},"https://handbook.gitlab.com/handbook/company/culture/all-remote/","remote",{"text":196,"config":197},"GitLab-Services",{"href":198,"dataGaName":199,"dataGaLocation":40},"/de-de/services/","services",{"text":201,"config":202},"Community",{"href":203,"dataGaName":204,"dataGaLocation":40},"/community/","community",{"text":206,"config":207},"Forum",{"href":208,"dataGaName":209,"dataGaLocation":40},"https://forum.gitlab.com/","forum",{"text":211,"config":212},"Veranstaltungen",{"href":213,"dataGaName":214,"dataGaLocation":40},"/events/","events",{"text":216,"config":217},"Partner",{"href":218,"dataGaName":219,"dataGaLocation":40},"/de-de/partners/","partners",{"title":221,"links":222},"Unternehmen",[223,228,233,238,243,248,253,257,262,267,272,277],{"text":224,"config":225},"Über",{"href":226,"dataGaName":227,"dataGaLocation":40},"/de-de/company/","company",{"text":229,"config":230},"Karriere",{"href":231,"dataGaName":232,"dataGaLocation":40},"/jobs/","jobs",{"text":234,"config":235},"Geschäftsführung",{"href":236,"dataGaName":237,"dataGaLocation":40},"/company/team/e-group/","leadership",{"text":239,"config":240},"Team",{"href":241,"dataGaName":242,"dataGaLocation":40},"/company/team/","team",{"text":244,"config":245},"Handbuch",{"href":246,"dataGaName":247,"dataGaLocation":40},"https://handbook.gitlab.com/","handbook",{"text":249,"config":250},"Investor Relations",{"href":251,"dataGaName":252,"dataGaLocation":40},"https://ir.gitlab.com/","investor relations",{"text":254,"config":255},"Sustainability",{"href":256,"dataGaName":254,"dataGaLocation":40},"/sustainability/",{"text":258,"config":259},"Vielfalt, Inklusion und Zugehörigkeit",{"href":260,"dataGaName":261,"dataGaLocation":40},"/de-de/diversity-inclusion-belonging/","Diversity, inclusion and belonging",{"text":263,"config":264},"Trust Center",{"href":265,"dataGaName":266,"dataGaLocation":40},"/de-de/security/","trust center",{"text":268,"config":269},"Newsletter",{"href":270,"dataGaName":271,"dataGaLocation":40},"/company/contact/#contact-forms","newsletter",{"text":273,"config":274},"Presse",{"href":275,"dataGaName":276,"dataGaLocation":40},"/press/","press",{"text":278,"config":279},"Transparenzerklärung zu moderner Sklaverei",{"href":280,"dataGaName":281,"dataGaLocation":40},"https://handbook.gitlab.com/handbook/legal/modern-slavery-act-transparency-statement/","modern slavery transparency statement",{"title":283,"links":284},"Nimm Kontakt auf",[285,290,295,300,305,310,315],{"text":286,"config":287},"Sprich mit einem Experten/einer Expertin",{"href":288,"dataGaName":289,"dataGaLocation":40},"/de-de/sales/","sales",{"text":291,"config":292},"Support",{"href":293,"dataGaName":294,"dataGaLocation":40},"/support/","get help",{"text":296,"config":297},"Kundenportal",{"href":298,"dataGaName":299,"dataGaLocation":40},"https://customers.gitlab.com/customers/sign_in/","customer portal",{"text":301,"config":302},"Status",{"href":303,"dataGaName":304,"dataGaLocation":40},"https://status.gitlab.com/","status",{"text":306,"config":307},"Nutzungsbedingungen",{"href":308,"dataGaName":309,"dataGaLocation":40},"/terms/","terms of use",{"text":311,"config":312},"Datenschutzerklärung",{"href":313,"dataGaName":314,"dataGaLocation":40},"/de-de/privacy/","privacy statement",{"text":316,"config":317},"Cookie-Einstellungen",{"dataGaName":318,"dataGaLocation":40,"id":319,"isOneTrustButton":25},"cookie preferences","ot-sdk-btn",{"items":321},[322,324,326],{"text":306,"config":323},{"href":308,"dataGaName":309,"dataGaLocation":40},{"text":311,"config":325},{"href":313,"dataGaName":314,"dataGaLocation":40},{"text":316,"config":327},{"dataGaName":318,"dataGaLocation":40,"id":319,"isOneTrustButton":25},{"visibility":25,"title":329,"button":330},"The Intelligent Software Development Era: How AI is reshaping DevSecOps teams",{"config":331,"text":333},{"href":332},"/developer-survey/","Get the research report",{"logo":335,"subscribeLink":340,"navItems":344},{"altText":336,"config":337},"the source logo",{"src":338,"href":339},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1750191004/t7wz1klfb2kxkezksv9t.svg","/de-de/the-source/",{"text":341,"config":342},"Abonnieren",{"href":343},"#subscribe",[345,349,352],{"text":346,"config":347},"Künstliche Intelligenz",{"href":348},"/de-de/the-source/ai/",{"text":93,"config":350},{"href":351},"/de-de/the-source/security/",{"text":353,"config":354},"Plattform und Infrastruktur",{"href":355},"/de-de/the-source/platform/",{"title":357,"description":358,"submitMessage":359,"formData":360},"The-Source-Newsletter","Bleibe mit Erkenntnissen für die Zukunft der Softwareentwicklung auf dem Laufenden.","Du hast dich erfolgreich für den Newsletter von The Source angemeldet.",{"config":361},{"formId":362,"formName":271,"hideRequiredLabel":25},28465,{"amanda-rueda":364,"andre-michael-braun":365,"andrew-haschka":366,"ayoub-fandi":367,"brian-wald":368,"bryan-ross":369,"chandler-gibbons":370,"dave-steer":371,"ddesanto":372,"derek-debellis":373,"emilio-salvador":374,"erika-feldman":375,"george-kichukov":376,"gitlab":377,"grant-hickman":378,"haim-snir":379,"iganbaruch":380,"jlongo":381,"joel-krooswyk":382,"josh-lemos":5,"julie-griffin":383,"kristina-weis":384,"lee-faus":385,"ncregan":386,"rschulman":387,"sabrina-farmer":388,"sandra-gittlen":389,"sharon-gaudin":390,"stephen-walters":391,"taylor-mccaslin":392},"Amanda Rueda","Andre Michael Braun","Andrew Haschka","Ayoub Fandi","Brian Wald","Bryan Ross","Chandler Gibbons","Dave Steer","David DeSanto","Derek DeBellis","Emilio Salvador","Erika Feldman","George Kichukov","GitLab","Grant Hickman","Haim Snir","Itzik Gan Baruch","Joseph Longo","Joel Krooswyk","Julie Griffin","Kristina Weis","Lee Faus","Niall Cregan","Robin Schulman","Sabrina Farmer","Sandra Gittlen","Sharon Gaudin","Stephen Walters","Taylor McCaslin",{"ai":346,"platform":353,"security":93},[395,421],{"id":396,"title":397,"body":6,"category":398,"config":399,"content":403,"description":405,"extension":23,"meta":413,"navigation":25,"path":414,"seo":415,"slug":417,"stem":418,"type":419,"__hash__":420,"date":404,"timeToRead":406,"heroImage":407,"keyTakeaways":408,"articleBody":412},"theSource/de-de/the-source/security/key-security-trends-for-cisos-in-2025.yml","Wichtige Sicherheitstrends für CISOs im Jahr 2025","security",{"layout":8,"template":400,"author":28,"featured":401,"sourceCTA":402,"isHighlighted":401,"authorName":5},"TheSourceArticle",false,"source-lp-ai-guide-for-enterprise-leaders-building-the-right-approach",{"title":397,"date":404,"description":405,"timeToRead":406,"heroImage":407,"keyTakeaways":408,"articleBody":412},"2025-02-25","Entdecke die wichtigsten Sicherheitstrends im Jahr 2025 und erfahre, wie KI neue Risiken, aber auch Chancen schafft, das Identitätsmanagement umgestaltet und DevOps-Teams stärkt.","Lesezeit: 5 Min.","https://res.cloudinary.com/about-gitlab-com/image/upload/v1751464506/hyue0lgqq2lqk3arwnel.jpg",[409,410,411],"Die Einführung von KI birgt sowohl Sicherheitsrisiken als auch Chancen. Unternehmen müssen die KI-Nutzung in Produkten ihrer Anbieter nachverfolgen, sich auf potenzielle Ausfälle vorbereiten und die KI nutzen, um Sicherheitskontrollen zu stärken.","Das Identitätsmanagement muss modernisiert werden, um komplexen Interaktionen zwischen Maschinen, dynamischen Berechtigungen und Zugriffsberechtigungen für KI-Systeme gerecht zu werden. Dazu sind flexiblere und adaptive Sicherheitstools erforderlich.","KI-Tools können dazu beitragen, Lücken bei den Sicherheitskompetenzen im DevOps-Bereich zu überbrücken, indem sie sichere Coding Patterns vorschlagen und Sicherheit in den gesamten Software-Entwicklungsprozess integrieren.","2025 werden viele wichtige Sicherheitstools KI-Modelle enthalten, die du nicht untersuchen oder nicht vollständig kontrollieren kannst. Dein Vorstand fragt vielleicht bereits, wie du den nächsten Sicherheitsverstoß, der groß auf den Titelseiten prangen wird, verhindern wirst. In der Zwischenzeit nutzen deine Konkurrenten KI, um Sicherheit in einem Ausmaß zu automatisieren, das noch vor wenigen Monaten unmöglich schien. Dazu kommen aufkommende regulatorische Anforderungen, die das Ganze zusätzlich komplex machen, wie etwa in der Europäischen Union und in Kalifornien, wo neue Vorschriften die Nutzung von KI-Systemen beeinflussen.\n\nDie Sicherheitslandschaft entwickelt sich rasend schnell weiter, doch mit dem richtigen Ansatz kannst du diese Herausforderungen zu deinem Vorteil machen, um eine stärkere Abwehr zu erschaffen und dich vor neuen Cyberbedrohungen zu schützen. Hier findest du drei Trends, die die Sicherheitslandschaft für Unternehmen in diesem Jahr beschäftigen werden und auf die du dich vorbereiten solltest.\n\n## 1. Sicherheitslücken in proprietären LLMs\nViele Anbieter nutzen derzeit proprietäre große Sprachmodelle (LLMs) als Grundlage für ihre Produkte, durch die neue Risiken für dein Unternehmen entstehen. Die meisten dieser LLMs sind undurchsichtig, sodass du nicht sehen kannst, wie sie funktionieren oder welche Sicherheitskontrollen sie verwenden. Sicherheitsexpert(inn)en haben bereits bewiesen, wie fragil KI-Leitlinien sind. Die Modelle selbst bieten eine immer größere Angriffsfläche – und damit auch die Produkte, die auf diesen Modellen basieren.\n\nDa viele Produkte auf einigen wenigen proprietären LLMs basieren, könnte sich ein Angriff auf eines dieser Modelle gleichzeitig auf viele deiner Systeme auswirken. Diese Risikokonzentration ist besonders besorgniserregend, da immer mehr wichtige geschäftliche Funktionen auf KI-basierten Tools aufbauen. Du musst daher:\n\n- Nachverfolgen, welche deiner Anbieter LLMs verwenden\n- Die Sicherheitskontrollen dieser Anbieter beurteilen\n- Mögliche Ausfälle einplanen, wenn ein LLM-basierter Dienst ausfällt\n- Backup-Pläne für wichtige, von KI abhängige Systeme entwickeln\n\n> Weiterlesen: [7 Transparenzfragen an deinen DevOps-KI-Anbieter](https://about.gitlab.com/the-source/ai/building-a-transparency-first-ai-strategy-7-questions-to-ask-your-devops/)\n\n## 2. Herausforderungen beim Identitätsmanagement\nCloud- und KI-Systeme verändern die Art und Weise, wie wir den Zugang zu unseren täglich genutzten Systemen verwalten. Deine Identitätssysteme müssen nun Folgendes bewältigen:\n\n- Einen Anstieg an nicht menschlichen, dienstbasierten Identitäten\n- Mehr Verbindungen zwischen Maschinen\n- Schnellere Änderungen dessen, wer auf was zugreifen darf\n- Komplexe Berechtigungsketten zwischen Diensten\n- KI-Systeme, die verschiedene Ebenen des Datenzugriffs benötigen\n\nTraditionelle Tools für Identitäts- und Zugriffsmanagement wurden nicht für diese Herausforderungen entwickelt. Du brauchst flexiblere Identitätstools, die sich schnell an deine sich ändernden Bedürfnisse anpassen können. Erwäge [Zero-Trust-Prinzipien sowie Just-in-Time-Zugriff (nur in englischer Sprache verfügbar)](https://about.gitlab.com/the-source/security/field-guide-to-threat-vectors-in-the-software-supply-chain/), um in diesen dynamischen Umgebungen mehr Kontrolle zu haben.\n\nSicherheitsteams sollten auch Strategien entwickeln und sich auf die wachsende Komplexität einer agentischen KI vorbereiten, wobei dieselbe Strenge und Überwachbarkeit wie bei menschlichen Benutzer(inne)n gelten sollten. Da sich KI-Systeme immer weiter verbreiten, wird es ebenso wichtig, diese [nicht menschlichen Identitäten nachzuverfolgen und zu sichern (nur in englischer Sprache verfügbar)](https://about.gitlab.com/blog/improve-ai-security-in-gitlab-with-composite-identities/), wie es beim Zugriff menschlicher Benutzer(innen) ist.## 3. Sicherheit in DevOps\nIn einer [kürzlich durchgeführten Umfrage](https://about.gitlab.com/developer-survey/) gaben 58 % der Entwickler(innen) an, dass sie ein gewisses Maß an Verantwortung für die Anwendungssicherheit empfinden. Dennoch bleibt es schwierig, DevOps-Mitarbeitende mit Fähigkeiten im Sicherheitsbereich zu finden. KI-basierte Tools können dabei helfen, indem sie:\n\n- Code früh im Entwicklungsprozess auf Sicherheitslücken und potenzielle Bedrohungen überprüfen, bevor diese Probleme verursachen können\n- Sichere Coding Patterns vorschlagen\n- Automatisch die richtigen Zugriffsberechtigungen festlegen\n- Sich wiederholende Aufgaben im gesamten Entwicklungsprozess automatisieren.\n\nDiese Tools können dein bestehendes Sicherheitsteam darin unterstützen, effizienter zu arbeiten. Sie können Entwickler(inne)n auch dabei helfen, häufige Sicherheitsprobleme zu erkennen, bevor der Code in die Produktion geht. Dies bedeutet weniger Notfälle für dein Team und insgesamt bessere Sicherheitsergebnisse.\n\nErwäge, in Tools zu investieren, die sich direkt in die Workflows der Entwickler(innen) integrieren lassen. Je einfacher du es den Entwickler(inne)n machst, sicher zu arbeiten, desto wahrscheinlicher werden sie es auch wirklich tun.\n\n## Jetzt bist du dran: Nutze die KI, um dich vor Bedrohungen zu schützen\nGehe folgendermaßen vor, um diesen Veränderungen einen Schritt voraus zu sein:\n\n1. Sieh dir an, wo KI-Tools mit deinen Systemen in Kontakt kommen, und bewerte die Risiken.\n1. Aktualisiere deinen Ansatz für das Identitätsmanagement für Cloud- und KI-Anforderungen.\n1. Suche nach Möglichkeiten, wie die KI deine Sicherheit verbessern kann.\n1. Informiere deinen Vorstand über neue KI-Risiken und -Vorschriften.\n1. Baue Beziehungen zu wichtigen Anbietern auf, um ihre KI-Sicherheitsmaßnahmen zu verstehen.\n1. Schule dein Team zu KI-Sicherheitsrisiken und -Chancen.\n\nWährend die KI zwar neue Risiken mit sich bringt, bietet sie auch neue Tools zum Schutz deines Unternehmens. Fokussiere dich darauf, mithilfe der KI deine Sicherheitslage zu verbessern, während du gleichzeitig Ausschau nach neuen Bedrohungen hältst. Indem du deine KI-Sicherheitslage regelmäßig überprüfst, bist du aufkommenden Risiken immer einen Schritt voraus.\n\n## Ausblick\nDie Sicherheitslandschaft wird sich mit dem Fortschritt der KI-Technologie weiterentwickeln. Bleibe flexibel und passe deine Sicherheitsstrategie an, wenn neue Bedrohungen und Chancen auftauchen. Intensiviere die Zusammenarbeit in deinem Unternehmen, insbesondere mit den Rechts-, Entwicklungs- und IT-Betriebsteams. Diese Kooperation hilft dir, effektiver auf Sicherheitsherausforderungen zu reagieren.\n\nDenke daran, dass sich zwar die Technologie ändert, deine wichtigste Mission jedoch gleich bleibt: der Schutz deiner Unternehmens-Assets sowie ein sicherer Geschäftsbetrieb. Nutze neue Tools und Ansätze, wenn sie sinnvoll sind, verliere jedoch bei all dem Trubel rund um die KI-Einführung nicht die Grundsätze der Sicherheit aus den Augen.",{},"/de-de/the-source/security/key-security-trends-for-cisos-in-2025",{"title":397,"description":416,"ogImage":407},"Entdecke die Sicherheitstrends 2025 und erfahre, wie KI neue Risiken, aber auch Chancen schafft, das Identitätsmanagement umgestaltet und DevOps-Teams stärkt.","key-security-trends-for-cisos-in-2025","de-de/the-source/security/key-security-trends-for-cisos-in-2025","article","2Jjtchj-wmvfSY9e7VDd4ORO4OQZEwLnuctlWnAYxYg",{"id":422,"title":423,"body":6,"category":398,"config":424,"content":426,"description":428,"extension":23,"meta":436,"navigation":25,"path":437,"seo":438,"slug":440,"stem":441,"type":419,"__hash__":442,"date":427,"timeToRead":429,"heroImage":430,"keyTakeaways":431,"articleBody":435},"theSource/de-de/the-source/security/security-its-more-than-culture-addressing-the-root-cause-of-common-security.yml","Frustrationen im Sicherheitsbereich – die häufigsten Ursachen",{"layout":8,"template":400,"author":28,"featured":25,"sourceCTA":425,"isHighlighted":401,"authorName":5},"application-security-in-the-digital-age",{"title":423,"date":427,"description":428,"timeToRead":429,"heroImage":430,"keyTakeaways":431,"articleBody":435},"2024-10-29","Was steht hinter den häufigsten Frustrationen im Sicherheitsbereich? Das sehen wir uns in diesem Artikel genauer an.","Lesedauer: 5 Min.","https://res.cloudinary.com/about-gitlab-com/image/upload/v1751464489/mragusmxl1wz8ozdaoml.png",[432,433,434],"Der Umstieg auf authentifiziertes Scannen im Schwachstellenmanagement verbessert zwar die Wirksamkeit, aber dadurch arbeiten Engineers ggf. an nicht kritischen Aufgaben, wodurch ein Konflikt zwischen den Sicherheits- und Engineering-Teams entstehen kann.","Ein minimalistischer Ansatz bei der Softwareentwicklung kann Abhängigkeiten auf ein Minimum reduzieren, das Scanner-Rauschen reduzieren und die Belastung der Entwickler(innen) verringern, um so zu verbesserter Software-Sicherheit beizutragen.","Mit einem Ansatz, der auf sogenannte „Paved Roads“, also bereits getestete und abgesicherte Entwurfsmuster mit wiederholbaren Anwendungsfällen basiert, kann die Last der Engineering-Teams verringert und die Sicherheit verbessert werden.","In der [jährlichen Umfrage von GitLab unter DevSecOps-Expert(inn)en](https://about.gitlab.com/developer-survey/) wurden zahlreiche Themen aufgedeckt, die sich auf eine Organisationskultur beziehen, die eine tiefere Abstimmung zwischen Engineering- und Sicherheitsteams verhindern könnte. Die Mehrheit (58 %) der Befragten im Sicherheitsbereich gab an, dass es für sie schwierig ist, Entwickler dazu zu bringen, das Beheben von Sicherheitslücken zu priorisieren. 52 % sagten, dass übermäßige Bürokratisierung die rasche Behebung von Sicherheitslücken behindere. Außerdem nannten die Befragten im Sicherheitsbereich einige spezifische Frustrationspunkte in ihrer Arbeit, darunter die Schwierigkeit, Sicherheitsergebnisse zu verstehen, zu viele falsch positive Ergebnisse und Tests, die erst spät im Softwareentwicklungsprozess stattfinden.\n\n[DevSecOps](/topics/devsecops/) verspricht eine bessere Integration zwischen Engineering und Sicherheit, aber es ist klar, dass Frustrationen und Fehlausrichtungen bestehen bleiben. Diese Herausforderungen sind nämlich Symptome eines größeren Problems, wie Unternehmen Sicherheit sehen und wie Teams zusammenarbeiten und ihre Zeit für Sicherheit aufwenden.\n\n## Entkomme dem Sicherheitslücken-Hamsterrad\n\nDas Scannen von Sicherheitslücken zeigt alle potenziellen Sicherheitslücken auf – aber nur weil ein Softwarepaket eine häufige Sicherheitslücke oder Gefährdung (CVE; Common Vulnerability or Exposure) aufweist, bedeutet das nicht, dass diese zugänglich oder ausnutzbar ist. Sowohl Sicherheitsteams als auch Entwickler(innen) priorisieren und filtern Sicherheitslücken, die exponentiell im Laufe der Jahre angewachsen sind, seit authentifizierte Sicherheitsscans zur Norm wurden.\n\nDer Umstieg auf authentifizierte Scans hat die Wirksamkeit von Sicherheitsprogrammen in vielerlei Hinsicht verbessert, hat jedoch die Entwickler(innen) in eine endloses Hamsterrad getrieben, in dem sie Dinge beheben müssen, die nicht wichtig sind. Wenn Teams ihre Bemühungen auf Patches verschwenden, die nicht ausnutzbare Sicherheitslücken beheben, werden sie von wichtigeren Aufgaben abgehalten, wie etwa von Patches für gefährliche und ausnutzbare Schwachstellen. Das ist die Hauptursache für die heutige Trennung zwischen Sicherheits- und Engineering-Teams.\n\nWie können Unternehmen also die Grundursachen dieser Probleme angehen und eine bessere Integration zwischen Engineering und Sicherheit fördern? Hier sind drei Möglichkeiten, um häufige Frustrationspunkte hinsichtlich der Sicherheit schon von Grund auf zu verhindern.\n\n### 1. Schalte das Rauschen aus und konzentriere dich auf umsetzbare, deutliche Signale\n\nÜbermäßige falsch positive Ergebnisse sind der am zweithäufigsten genannte Frustrationspunkt, den die Befragten im Sicherheitsbereich in unserer Umfrage angaben. Falsch positive Ergebnisse sind natürlich eine Herausforderung, sie sind aber oft auch ein verstecktes Problem im Sicherheitslückenmanagement.Wenn ein Unternehmen viele falsch positive Ergebnisse hat, kann dies ein Anzeichen dafür sein, dass vielleicht nicht alles Mögliche getan wurde, um sicherzustellen, dass die Sicherheitsergebnisse auch wirklich deutlich sind. Unternehmen sollten den Fokus ihrer Sicherheitsbemühungen auf das Wesentliche beschränken. Das bedeutet, dass herkömmliche Lösungen für statische Anwendungssicherheitstests (SAST) wahrscheinlich nicht ausreichen. SAST ist ein leistungsstarkes Tool, das jedoch viel seines Wertes verliert, wenn die Ergebnisse nicht genutzt werden können oder der entsprechende Kontext fehlt. Damit SAST so effektiv wie möglich ist, muss es [nahtlos mit anderen Sicherheits- und Entwicklungstools zusammen eingesetzt werden und den Entwickler(inne)n zugänglich sein](https://about.gitlab.com/blog/oxeye-joins-gitlab-to-advance-application-security-capabilities/).Ein weiteres Problem ist, dass die meisten Scan-Tools ein sehr enges Kontextfenster haben, um die Sicherheitslücken zu verstehen. Dies ist einer der Bereiche, in denen KI mit [KI-basierten Funktionen, die Sicherheitslücken erklären](https://about.gitlab.com/de-de/the-source/ai/understand-and-resolve-vulnerabilities-with-ai-powered-gitlab-duo/), helfen kann.\n\n### 2. Minimiere den Tech-Stack und damit die Angriffsfläche\n\nNicht nur bei Sicherheitstests gilt, sich auf das Wesentliche zu konzentrieren – das sollte damit beginnen, wie ein Unternehmen überhaupt Software erstellt.\n\nObwohl KI verspricht, die Softwareentwicklungsprozesse zu vereinfachen, [deutet unsere Umfrage darauf hin, dass viele Unternehmen noch einen langen Weg vor sich haben](https://about.gitlab.com/the-source/platform/3-surprising-findings-from-our-2024-global-devsecops-survey/). Tatsächlich wollten jene Befragten, die KI nutzen, ihre Toolchain deutlich wahrscheinlicher konsolidieren als jene, die keine KI nutzen. Das lässt darauf schließen, dass der Anstieg an verschiedensten Problempunkten durch unterschiedliche KI-Modelle die Komplexität erhöht, anstatt sie zu verringern.\n\nDie ständig zunehmende Komplexität der Tech-Stacks von Unternehmen trägt wesentlich zu Frustrationen im Bereich der Sicherheit bei. Eine gewisse Komplexität ist beim Aufbau großer, facettenreicher Softwaresysteme unvermeidlich. Unternehmen sollten jedoch Maßnahmen ergreifen, um Komplexität zu vermeiden, die sich aus suboptimalen Designentscheidungen ergibt, wie z. B. schwer zu wartender Code und redundante Abhängigkeiten. Diese unnötige Komplexität schafft eine größere Angriffsfläche und generiert mehr Sicherheitsscan-Ergebnisse, die Teams durchsuchen, priorisieren und bearbeiten müssen.\n\nUnternehmen sollten bei der Softwareentwicklung den Grundsatz der Softwareminimierung walten lassen, also sich bewusst sein, welche Tools sie einsetzen und was sie in ihre Codebase integrieren möchten. Das trägt dazu bei, Abhängigkeiten zu minimieren, die Sicherheit der Software-Lieferkette zu verbessern, Scanner-Rauschen zu reduzieren und die Belastung der Entwickler(innen) zu reduzieren, wenn es darum geht, nicht kritische Probleme zu beheben.\n\n### 3. Normalisiere die sogenannten „Paved Roads“\n\nSicherheitstests, die zu spät im Lebenszyklus der Softwareentwicklung stattfinden, waren ein weiterer der größten Frustrationspunkte, die unsere Umfrageteilnehmer(innen) erleben. Teams sind vielleicht frustriert, wenn sie etwas veröffentlichen wollen und sich das verzögert, weil eine Sicherheitslücke zu spät erkannt wird. In vielen Fällen wäre es jedoch gar nicht möglich gewesen, diese Sicherheitslücke früher zu finden. Es wäre jedoch möglich, einfach bereitstellbare, wiederverwendbare Sicherheitskomponenten zu nutzen und die Variablen und möglichen Sicherheitslücken dadurch einzugrenzen.Teams können Überraschungen in der späten Phase vermeiden, indem sie [getestete und abgesicherte Entwurfsmuster basierend auf wiederholbaren Anwendungsfällen](https://about.gitlab.com/the-source/platform/how-devops-and-platform-engineering-turbocharge-efficiency/) nutzen: den Ansatz der sogenannten „gepflasterten Straßen“ (Paved Roads). Eine gepflasterte Straße ist ein empfohlener Pfad, der eine kuratierte Auswahl an Tools, Prozessen und Komponenten enthält. Dieser Straße können Teams folgen, um sichere Anwendungen effizienter zu erstellen, z. B. indem sie GitOps nutzen, um gut konstruierte und getestete Infrastructure as Code zu versionieren und bereitzustellen, die sich für alle Workloads skalieren lässt.\n\nDurch solche gepflasterten Straßen geht zwar etwas Flexibilität verloren, doch der betriebliche Aufwand und Überarbeitungen für Engineering-Teams werden reduziert und die Sicherheit wird verbessert. Das muss eine gemeinsame Anstrengung zwischen Sicherheit und Entwicklung sein. Das Sicherheitsteam kann helfen, gepflasterte Straßen zu entwerfen, aber das Engineering muss einbezogen werden, um sie als Teil der Codebasis zu betreiben und zu warten.\n\n## Sicherheit ist eine Domain, kein Team{class=\"no-anchor\"}\n\nWir erleben bereits, dass Sicherheit immer mehr in den Bereich der Engineering-Teams rutscht, und können annehmen, dass die Grenzen zwischen den Bereichen auch weiter verschwimmen werden. Durch die rasche Einführung von KI und der damit einhergehenden Beschleunigung der Softwareentwicklung – 66 % der Befragten unserer Umfrage gaben an, dass sie Software bereits doppelt so schnell oder noch schneller veröffentlichen als im Vorjahr – ist es für Unternehmen äußerst wichtig, Systeme und Frameworks einzuführen, die für den größtmöglichen Sicherheitsvorteil optimiert sind. Deshalb ist die Idee einer kulturellen Trennung zwischen Entwicklung und Sicherheit nicht die ganze Geschichte. Es ist unerlässlich, eine Kultur der Zusammenarbeit zu fördern. Sicherheits- und Engineering-Teams müssen aber auch wirklich zusammenarbeiten, um die grundlegenden Aspekte der Softwareentwicklung neu zu durchdenken, wie etwa die Optimierung bestehender Codebases und der Aufbau skalierbarer Lösungen, bei denen das Engineering im Mittelpunkt steht und die nahtlos von technischen Teams im gesamten Unternehmen eingeführt werden können.",{},"/de-de/the-source/security/security-its-more-than-culture-addressing-the-root-cause-of-common-security",{"title":439,"description":428,"ogImage":430},"Grundursachen für Frustration im Sicherheitsbereich","security-its-more-than-culture-addressing-the-root-cause-of-common-security","de-de/the-source/security/security-its-more-than-culture-addressing-the-root-cause-of-common-security","s6LvhOb5YHPoiUdziMU8W0Q5u28OamYSfKpYMCwm5Hs",1772652058081]