Sichere Softwareentwicklung

Typische Sicherheitsfehler

Unternehmen und Organisationen stehen mehr denn je vor der Aufgabe, ihre Softwareprodukte nicht nur funktional, sondern auch sicher zu gestalten. Häufig fehlen jedoch die notwendigen Routinen, um Sicherheitsaspekte bereits in den frühen Phasen der Softwareentwicklung systematisch zu berücksichtigen.

Probleme in der Softwareentwicklung ziehen sich durch den gesamten Lebenszyklus der Software:

  • Sicherheitsanforderungen werden nicht berücksichtigt, da sie weder systematisch aus existierenden Vorgaben, wie bspw. ISO 27001 oder NIS2 abgeleitet noch konsequent in die Formulierung der Use Cases integriert werden.

  • Im Entwurf werden Sicherheitsanforderungen häufig nicht beachtet, so dass z.B. Fehler in Authentifizierung und Autorisierung entstehen, Credentials unsicher in der Anwendung abgelegt werden und Abhängigkeiten mit bekannten Schwachstellen verwendet werden.

  • Mangelndes Know-how und Priorisierung von IT-Sicherheit im Entwicklungsteam führen zu weiteren Fehlern, wie SQL-Injection-Schwachstellen, unzureichenden Berechtigungsprüfungen oder anderen OWASP Top Ten-Schwachstellen.

  • Im Entwicklungsprozess ist nur wenig Budget für Sicherheitstests eingeplant, weshalb Penetrationstests oder Abhängigkeits- und Komponentenscans zu spät oder gar nicht stattfinden.

  • Beim Betrieb der entwickelten Anwendung kommen häufig nicht gehärtete Umgebungen zum Einsatz, die nur unzureichend überwacht und unregelmäßig gepatcht werden.

Ihr Ansprechpartner
Portrait von viadee Kompetenzbereichsleiter IT-Sicherheit Dr. Tobias Heide.
Dr. Tobias Heide

Kompetenzbereichsleiter IT-Sicherheit

Jetzt Kontakt aufnehmen
Unsere Seminarangebote

Jetzt Termin vereinbaren

IT-Sicherheit für Entwickler

Bringen Sie Ihr Know-how zur sicheren Softwareentwicklung auf das nächste Level. Lernen Sie wie ein Angreifer zu denken und Ihre Anwendung erfolgreich zu verteidigen.

DevSecOps - Security in CI/CD

Lernen Sie, wie Sicherheitstests direkt in Build-Pipelines integriert werden. Praxisnah, toolgestützt und Schritt für Schritt zu mehr Sicherheit im DevSecOps‑Prozess.

Systematisch sicher entwickeln

Die aufgeführten Probleme mit der IT-Sicherheit in Softwareentwicklungsprojekten müssen konsequent im gesamten Entwicklungsmodell angegangen werden. Entlang des Secure Software Development Lifecycles (SSDLC) können die Maßnahmen, die in anerkannten Standards wie z.B. dem OWASP Software Assurance Maturity Model (SAMM) aufgeführt werden, systematisch in Entwicklungsprozesse integriert werden. IT-Sicherheit wird somit elementarer Bestandteil eines Softwareentwicklungsprojektes und führt zu Software, die nicht nur sicher entwickelt wurde, sondern auch im laufenden Betrieb ein hohes Maß an Stabilität und Schutz vor Angriffen gewährleistet.

Secure Software Development Lifecycle

Security-by-Design im Entwicklungsprozess verankern

Die viadee etabliert in Projekten das Thema IT-Sicherheit in jeder Phase des gesamten Entwicklungszyklus – von der Anforderungsanalyse bis zum sicheren Betrieb (DevSecOps). Aufbauend auf anerkannten Standards wie dem OWASP Application Security Verification Standard (ASVS) und den OWASP Proactive Controls integrieren wir Security-by-Design-Prinzipien in Entwicklungsprozesse.

Anforderungsanalyse

In der ersten Phase des Softwareentwicklungsprozesses werden die Weichen für die nachfolgenden Phasen gelegt.

  • Anforderungen definieren – Funktionale und Sicherheitsanforderungen festlegen sowie Risiken ermitteln.

  • Bedrohungsanalyse durchführen – Wertvolle Assets identifizieren, Angriffsvektoren systematisch analysieren und Gegenmaßnahmen ableiten.

  • Agile Sicherheitsmethoden nutzen – Sicherheitsbewusstsein im Team mit Evil User Stories etablieren und stärken.

Entwurf

In der Entwurfsphase werden die technischen Rahmenbedingungen für eine sichere Entwicklung geschaffen.

  • Sicherheitsprinzipien anwenden - Positives Sicherheitsmodell verwenden, Defense in Depth entwerfen und Fail Secure als Standard.

  • Secret Management - System etablieren, um Passwörter, API-Keys und Co. von Anfang an sicher zu verwalten.

  • Dependency Management - Selektionskriterien für Abhängigkeiten festlegen und Tool-gestützt verwalten.

Implementierung

Bei der Implementierung werden die Sicherheitsanforderungen und Entwürfe in konkreten Code übersetzt. Security-Know-how und Tools helfen den Entwickler:innen Software sicher zu implementieren.

  • Sicher programmieren - Mit OWASP Proactive Controls und OWASP Security Cheat Sheets Schwachstellen vermeiden.

  • Secure Code Reviews durchführen - Schwachstellen frühzeitig erkennen und Wissen im Entwicklungsteam verteilen.

Test

Im Rahmen von Tests werden die spezifizierten Sicherheitsanforderungen an der realen Anwendung überprüft. Dies erfolgt sowohl mit technischem als auch mit fachlichem Fokus.

  • Sicherheitsakzeptanzkriterien testen - Akzeptanzkriterien aus den Evil User Stories testen.

  • Security-Tools in CI integrieren - Statische Code-Analysen (SAST) in der Build-Pipeline ausführen und Feedbackzyklen etablieren.

  • Pentest standhalten - Anwendung live in einer Testumgebung auf Schwachstellen prüfen.

Betrieb & Wartung

In der Betriebsphase muss der ordnungsgemäße und sichere Betrieb einer Software gewährleistet werden.

  • Anwendung überwachen - Kontinuierliche Analyse der Metriken und Logs im Monitoring sicherstellen.

  • Abhängigkeiten aktuell halten - Schwachstellen von verwendeten Abhängigkeiten automatisiert managen.

  • Incidents managen - Sicherheitsereignisse erkennen, einordnen und Maßnahmen ableiten.

Security‑Expertise für Ihren Erfolg

Unsere Berater:innen übernehmen je nach Projektsituation unterschiedliche Rollen entlang des Entwicklungsprozesses. So ermöglicht die viadee es ihren Kunden, nachhaltige Sicherheitskompetenz im eigenen Unternehmen aufzubauen und Sicherheit als integralen Bestandteil moderner Softwareentwicklung zu verankern.

Rollen von viadee-Berater:innen im Kundenprojekt

  • Security Champion: Agiert als Sicherheitsbotschafter innerhalb der Entwicklungsteams, sensibilisiert für Sicherheitsaspekte, führt Schulungen durch und etabliert sichere Entwicklungsroutinen im Alltag.

  • Software Security Architect: Verantwortet die sicherheitsrelevanten Architekturentscheidungen, begleitet Threat-Modeling-Sessions und sorgt für die Einhaltung sicherer Designprinzipien.

  • Software Security Engineer: Unterstützt operativ bei der sicheren Implementierung, automatisiert Security-Tests und integriert entsprechende Tools und Prüfmechanismen in Build- und Deployment-Prozesse.

Jetzt Gespräch vereinbaren
Die Schulung „Sichere IT-Architekturen“ hat uns sehr geholfen, Einblick in die praktischen Aspekte von IT-Sicherheit zu erhalten, den wir direkt in unserem täglichen Arbeitsalltag integrieren können. Vor allem hat uns eure kompetente und interaktive Schulungsdurchführung sehr gefallen.
Eva Stützer, Referat DI25 - Cybersicherheit bei der Umsetzung des Onlinezugangsgesetzes, Bundesamt für Sicherheit in der Informationstechnik
„Die auf unsere Firma zugeschnittene zweitägige Sicherheitsschulung hat uns geholfen, unsere rund 80 Softwareentwickler für diese wichtige Thematik zu sensibilisieren. Durch die praxisnahen Übungen und die kompetenten Trainer übertraf diese Schulung alle vergleichbaren Kurse, die wir in der Vergangenheit durchgeführt hatten. Wir freuen uns auf die weitere Zusammenarbeit mit der viadee.“
Colin Haldemann, Leiter Engineering IT-Business Services, Bedag Informatik AG

Organisationen, die viadee bei der sicheren Softwareentwicklung vertrauen

Branchenübergreifend beraten und unterstützen wir Unternehmen im Bereich der IT-Sicherheit.

Logo
Logo
Logo
Logo
Logo
Logo
Logo
Logo
Logo
Logo
Logo

Haben wir Ihr Interesse geweckt?

Mail an Tobias Heide

Lassen Sie uns gemeinsam IT-Sicherheit in ihren Softwareentwicklungsprojekten etablieren und weiterentwickeln.

Portrait von viadee Kompetenzbereichsleiter IT-Sicherheit Dr. Tobias Heide.
Dr. Tobias Heide

Kompetenzbereichsleiter IT-Sicherheit

Jetzt Kontakt aufnehmen

Passende Seminare

Cloud-Sicherheit meistern: Entwickler:innen-Edition

Vor Ort bei uns oder Ihnen

DevSecOps - der Weg zu sicherer und hochwertiger Software

Vor Ort bei uns oder Ihnen

IT-Sicherheit für Entwicklungsteams

Vor Ort bei uns oder Ihnen

IT-Sicherheit für Führungskräfte

Vor Ort bei uns oder Ihnen

Sichere IT-Architekturen

Vor Ort bei uns oder Ihnen

Alle viadee Seminare

Relevante Artikel aus unserem viadee Blog

14 Jan. 2026

OWASP Top 10 (2025): Was sich ändert und warum schnelle Reaktion zählt

Jetzt lesen
OWASP Top 10 (2025 RC):

19 Dez. 2025

Gefahren von Sub-Dependencies und Limitation von Dependency-Management Tools

Jetzt lesen
Wurzeln eines Baums

09 Sep. 2025

DORA EU-Recht: Ein Kurzüberblick über die Änderungen im Datenrecht zum Jahreswechsel

Jetzt lesen
DORA EU-Recht: Ein Kurzüberblick über die Änderungen im Datenrecht zum Jahreswechsel

29 Mai 2024

Passkeys und OAuth2 für Businessanwendungen

Jetzt lesen

30 Jan. 2024

Maximale Datensicherheit: Ein Kryptokonzept für Ihr Unternehmen

Jetzt lesen
Maximale Datensicherheit

28 Nov. 2023

Zero Trust im Cloud Computing: Adieu Burggraben!

Jetzt lesen
Zero Trust
Alle Artikel anzeigen