Marcus Chen, YuSMP Group
Marcus Chen Staff Engineer (Backend & Cloud), YuSMP Group · Baut und sichert die Auslieferungspipelines hinter individueller und Enterprise-Software für US- und EU-Unternehmen

Kurzfassung — der sichere SDLC in einem Absatz

Der sichere Softwareentwicklungszyklus (SSDLC) baut Sicherheit in jede Phase der Softwareauslieferung ein, statt sie am Ende zu prüfen. Jede Phase erhält eine Security-Aktivität — Bedrohungsmodellierung im Design, sicheres Programmieren beim Bau, SAST und DAST in der Pipeline, Patchen in Produktion — meist geleitet vom NIST SSDF oder OWASP SAMM. Er findet Schwachstellen, solange ihre Behebung günstig ist, und macht Sicherheit zu einer Eigenschaft des Prozesses statt zu einem abschließenden Tor.

Was ist der sichere Softwareentwicklungszyklus?

Der sichere Softwareentwicklungszyklus (SSDLC) ist die Praxis, Sicherheitsarbeit in jede Phase des Softwareentwicklungslebenszyklus einzubetten — Anforderungen, Design, Umsetzung, Testen, Auslieferung und Wartung — statt eine Sicherheitsprüfung ans Ende anzuschrauben. In einem Standard-SDLC ist Sicherheit meist ein einziger Penetrationstest vor dem Start; in einem sicheren SDLC trägt jede Phase ihre eigene Security-Aktivität und einen Verantwortlichen. Das Ergebnis: Schwachstellen werden gefunden und entfernt, solange ihre Behebung günstig ist, statt nachdem sie in Produktion und in Reichweite eines Angreifers gelangt sind.

Das zählt am meisten für Organisationen, deren Software echtes regulatorisches, finanzielles oder sicherheitsrelevantes Gewicht trägt — weshalb regulierte Unternehmen, die mit unseren Leistungen zur Enterprise-Softwareentwicklung bauen, den sicheren SDLC als Grundlinie statt als Upgrade behandeln. Der zugrundeliegende Prozess ist noch immer der gewöhnliche Lebenszyklus: Wenn Sie zuerst die Phasen und Ergebnisse wollen, führt unser Leitfaden zum Softwareentwicklungslebenszyklus hindurch, und dieser Artikel legt die Security-Aktivität auf jede einzelne. Das Kürzel für diese Auflage ist „shift left" — Sicherheitsarbeit früher anzusiedeln, wo eine Behebung eine Codeänderung statt eines Vorfalls ist.

Sicherer SDLC vs. traditioneller SDLC: was ändert sich?

Der Unterschied zwischen einem traditionellen SDLC und einem sicheren SDLC sind nicht zusätzliche Phasen — es ist eine Security-Aktivität, die in jeder Phase hinzukommt, die Sie ohnehin durchlaufen. Ein traditioneller Lebenszyklus entdeckt Sicherheitsprobleme am Ende, wenn sie strukturell und kostspielig sind; ein sicherer Lebenszyklus bringt sie fortlaufend ans Licht, solange sie noch günstige Änderungen sind. Die folgende Tabelle zeigt, was sich Phase für Phase ändert.

PhaseTraditioneller SDLCSicherer SDLC
AnforderungenNur funktionale AnforderungenSicherheits- & Datenschutzanforderungen werden mit erfasst
DesignArchitektur für FunktionenBedrohungsmodellierung und sichere Architektur
UmsetzungFunktionierenden Code schreibenSichere Programmierstandards, Review, Abhängigkeits-Scanning
TestenFunktions- und QA-TestsSAST, DAST, IAST und Penetrationstests
AuslieferungDas Release ausliefernGehärtete Konfiguration, Secrets-Management, sichere Pipeline
WartungFehler auf Meldung behebenSchwachstellen-Monitoring, Patch-SLAs, Incident Response

Security-Aktivität in jeder SSDLC-Phase

Ein sicherer SDLC weist jeder Phase eine klare Security-Aktivität zu, und der Sinn ist Abdeckung: Keine Phase darf Sicherheit nach unten weiterreichen. Arbeiten Sie die sechs Phasen unten durch, und dieselbe Regel gilt — benennen Sie die Aktivität, benennen Sie den Verantwortlichen und geben Sie ihr ein Tor, von dem die nächste Phase abhängt. Dies sind die zentralen Prozesse eines sicheren Softwareentwicklungszyklus, in Reihenfolge.

  1. Anforderungen — Sicherheitsanforderungen definieren. Erfassen Sie Sicherheits- und Datenschutzanforderungen als erstklassige Punkte neben den funktionalen: Authentifizierung, Autorisierung, Datenklassifizierung, Verschlüsselung, Logging und die relevanten Regularien. Ergebnis: ein Satz Sicherheitsanforderungen, gegen den das Testen später prüfen kann.
  2. Design — Bedrohungsmodellierung. Modellieren Sie, wie das System angegriffen werden könnte, bevor eine Zeile geschrieben ist — Vertrauensgrenzen, Datenflüsse, Missbrauchsfälle — und entwerfen Sie die Gegenmaßnahmen ein. Ergebnis: ein Bedrohungsmodell und sichere Architekturentscheidungen, inklusive minimaler Rechtevergabe und Datenschutzentscheidungen.
  3. Umsetzung — sicheres Programmieren. Setzen Sie sichere Programmierstandards, Peer-Review und Software Composition Analysis (SCA) durch, damit verwundbare Abhängigkeiten beim Eintritt erkannt werden. Ergebnis: geprüfter, versionierter Code mit einem bekannten, gescannten Abhängigkeitsbaum.
  4. Testen — Sicherheitstests. Führen Sie statische Analyse (SAST), dynamische Analyse (DAST), interaktives Testen (IAST) und, für risikoreichere Releases, Penetrationstests durch. Ergebnis: ein getesteter Build und eine nach Schweregrad priorisierte Fehlerliste.
  5. Auslieferung — härten und automatisieren. Liefern Sie über eine sichere Pipeline mit gehärteter Konfiguration, verwalteten Secrets, signierten Artefakten und least-privilege-Infrastruktur aus. Ergebnis: ein wiederholbares, getortes Release und ein Rollback-Plan.
  6. Wartung — auf Schwachstellen reagieren. Überwachen Sie neue Schwachstellen, patchen Sie zu vereinbarten SLAs und führen Sie Incident Response durch, wenn etwas durchrutscht. Ergebnis: ein unterstütztes System mit einer aktiven Schwachstellenmanagement-Schleife.
Zwei Ingenieure prüfen während der Umsetzungsphase eines sicheren SDLC gemeinsam das Ergebnisfeld eines Schwachstellen-Scanners

Secure-SDLC-Frameworks und Standards 2026

Sie müssen einen sicheren SDLC nicht von Grund auf erfinden — mehrere etablierte Frameworks definieren die Praktiken, und die meisten Teams übernehmen eines als Rückgrat. Die dominierende Referenz 2026 ist das NIST Secure Software Development Framework (SSDF, SP 800-218); OWASP SAMM und BSIMM ergänzen Reifegradmodelle, und Microsofts SDL bleibt eine praktische, präskriptive Option. Sie sind eher komplementär als konkurrierend: Wählen Sie eines als Rückgrat und leihen Sie sich von den anderen.

FrameworkWas es istBeste Eignung
NIST SSDF (SP 800-218)Übergeordnete Praktiken in vier Gruppen: Prepare the Organization, Protect the Software, Produce Well-Secured Software, Respond to VulnerabilitiesEin methodenunabhängiges Rückgrat; erforderlich für die US-föderale Selbstauskunft
OWASP SAMMSoftware Assurance Maturity Model — misst Reife über Governance, Design, Implementierung, Verifikation und BetriebFeststellen, wo Sie stehen, und stufenweise Verbesserung planen
BSIMMEin deskriptiver Benchmark dessen, was echte Firmen tatsächlich tun, aus beobachteten Daten aktualisiertIhr Programm gegen Branchenkollegen vergleichen
Microsoft SDLEin präskriptiver Satz sicherer Entwicklungspraktiken und -toolsTeams, die konkrete, sofort übernehmbare Schritte wollen

Das SSDF lohnt sich zuerst zu verstehen, weil es die anderen verankert und zunehmend Compliance treibt. Seine vier Praktikgruppen — PO, PS, PW und RV — beschreiben Ergebnisse, nicht Tools, sodass sie sich sauber auf Agile-Sprints und DevOps-Pipelines gleichermaßen abbilden. Version 1.1 ist aktuell; NIST veröffentlichte im Dezember 2025 einen Entwurf der Version 1.2 (SP 800-218 Rev. 1) zur öffentlichen Kommentierung, und ein begleitendes Profil, SP 800-218A, erweitert das Framework auf generative KI und Dual-Use-Foundation-Models. Behandeln Sie die exakten Versionsnummern als bewegliches Ziel und die Vier-Gruppen-Struktur als stabilen Kern.

Welche Security-Tools treiben jede Phase an?

Die richtigen SSDLC-Tools sind die, die in Ihre Pipeline eingebaut sind, sodass sie bei jeder Änderung laufen, nicht ein Regal voller Scanner, die niemand ansieht. Jede Testtechnik erfasst eine andere Klasse von Fehlern, weshalb reife Programme mehrere schichten, statt auf eine zu setzen. Die Tabelle ordnet die gängigen Tool-Kategorien der Phase zu, in der sie am meisten nützen.

Tool-KategoriePhaseWas es erfasst
SAST (statische Analyse)UmsetzungUnsichere Codemuster in Ihrem eigenen Quellcode, während er geschrieben wird
SCA (Software Composition Analysis)UmsetzungBekannt verwundbare Open-Source-Abhängigkeiten und Lizenzrisiko
DAST (dynamische Analyse)TestenLaufzeitfehler in der laufenden Anwendung, von außen nach innen
IAST (interaktive Analyse)TestenSchwachstellen, die während der Tests von innerhalb der App beobachtet werden
Secrets- & IaC-ScanningAuslieferungGeleakte Zugangsdaten und fehlkonfigurierte Infrastruktur
SchwachstellenmanagementWartungNeue CVEs in ausgelieferter Software, verfolgt bis zu einem Patch-SLA
Ein CI/CD-Pipeline-Dashboard zeigt bestandene automatisierte Sicherheitstest-Tore und veranschaulicht DevSecOps in einem sicheren SDLC

Diese in eine Pipeline einzubauen ist der Punkt, an dem DevSecOps auf den sicheren SDLC trifft: Die Automatisierung von DevOps trägt die Security-Tore, sodass Scanning und Policy-Prüfungen bei jedem Commit statt in einem Quartalsreview laufen. Ist Ihre Auslieferung bereits automatisiert, ist das Hinzufügen dieser Tore eine Erweiterung der Pipeline, die Sie haben — unser Leitfaden zu Best Practices für Web-App-Sicherheit behandelt die Laufzeitkontrollen daneben, und unser Prozess der individuellen Softwareentwicklung zeigt, wo die Tore in einem echten Auftrag landen.

Compliance: EO 14028, Selbstauskunft und Audits

Ein sicherer SDLC ist heute eine kommerzielle Anforderung, nicht nur ein Engineering-Ideal — Enterprise-Käufer und Regulierer verlangen zunehmend, dass Sie ihn nachweisen. In den USA verlangen Executive Order 14028 und OMB Memorandum M-22-18, dass Software-Lieferanten der Bundesregierung per Selbstauskunft bestätigen, NIST-SSDF-Praktiken zu befolgen, über ein standardisiertes CISA-Selbstauskunftsformular. Selbst außerhalb föderaler Verkäufe verkürzt derselbe Nachweis — ein dokumentierter, auf ein Framework abgebildeter sicherer SDLC — Enterprise-Security-Prüfungen und erfüllt SOC-2- und ISO-27001-Prüfer.

Die praktische Konsequenz ist, dass Ihr sicherer SDLC schriftlich und nachvollziehbar sein muss, nicht nur gelebt. Prüfer und Beschaffungsteams akzeptieren nicht „wir machen Bedrohungsmodellierung"; sie fragen, welche Policy es verlangt, in welchem Release es lief und wer es abgezeichnet hat. Deshalb sind das Compliance-Gespräch und die Policy im nächsten Abschnitt dasselbe Gespräch. Für angrenzende regulatorische Checklisten siehe unsere Leitfäden zu SOC 2 Type II und, für Gesundheitsdaten, die HIPAA-Checkliste für die Softwareentwicklung.

Wie Sie eine Secure-SDLC-Policy schreiben

Eine Secure-SDLC-Policy ist das Dokument, das aus Praxis Prozess macht — es benennt für jede Phase die erforderliche Security-Aktivität, ihren Verantwortlichen und das Tor, das ein Release blockiert, wenn sie übersprungen wird. Halten Sie sie kurz genug, dass Entwickler ihr tatsächlich folgen, und konkret genug, dass ein Prüfer dagegen testen kann. Eine brauchbare Policy beantwortet diese Fragen:

  • Welche Aktivität läuft in jeder Phase? Bedrohungsmodellierung im Design, SAST und SCA in der Umsetzung, DAST vor dem Release, Patchen in Produktion — als Anforderungen formuliert, nicht als Wunschvorstellungen.
  • Was blockiert ein Release? Die Schweregrad-Schwellen (etwa kein Ausliefern mit einem offenen kritischen oder hohen Befund), die aus einem Scan-Ergebnis ein Tor machen.
  • Wer verantwortet jede Kontrolle? Eine benannte Rolle für jede Aktivität, damit nichts „jedermanns Aufgabe" und daher niemands ist.
  • Wie lauten die Patch-SLAs? Wie schnell Produktionsschwachstellen behoben werden müssen, nach Schweregrad.
  • Auf welches Framework bildet sie ab? Eine Spalte, die jede Kontrolle mit einer NIST-SSDF-Praktik verbindet, sodass die Policy zugleich Ihr Selbstauskunftsnachweis ist.

Schreiben Sie die Policy einmal, setzen Sie sie in der Pipeline durch und überprüfen Sie sie in festem Takt. Eine Policy, die nur in einem Wiki lebt und nie einen Build blockiert, ist Dekoration; eine als Pipeline-Tore codierte Policy ist eine Kontrolle.

Den SSDLC für KI-Systeme absichern

KI-Funktionen dehnen den sicheren SDLC, statt ihn zu ersetzen — die Phasen bleiben gleich, aber die Angriffsfläche wächst. Modelle bringen Risiken mit, die eine traditionelle Anwendung nicht hat: Prompt Injection, Vergiftung der Trainingsdaten, Modell- und Datenexfiltration sowie unvorhersehbare Ausgaben, denen nachgelagerter Code nicht blind vertrauen darf. NIST erkannte dies 2025 an, indem es SP 800-218A finalisierte, ein Community-Profil, das KI-spezifische Praktiken und Aufgaben auf den Kern-SSDF aufsetzt, sodass Sie Ihr bestehendes Framework erweitern, statt neu zu beginnen.

In der Praxis heißt das Absichern eines KI-gestützten Systems, ein paar Aktivitäten zu Phasen hinzuzufügen, die Sie ohnehin durchlaufen: das Modell und seine Datenlieferkette im Design bedrohungsmodellieren, Prompts und Modellausgaben in der Umsetzung als nicht vertrauenswürdige Eingabe behandeln und in Produktion auf modellspezifischen Missbrauch überwachen. Wenn Sie KI in ein Produkt einbauen, kombinieren Sie dies mit unseren Leistungen zur Integration generativer KI und der Checkliste zur EU-KI-Verordnung, die die regulatorische Seite des Ausrollens von KI-Funktionen in den EU-Markt behandelt.

Secure-SDLC-Best-Practice-Checkliste

Die meisten Secure-SDLC-Fehlschläge sind gewöhnlich: eine unter Termindruck übersprungene Aktivität oder eine Policy, die niemand in die Pipeline eingebaut hat. Diese Checkliste hält das Wesentliche sichtbar:

  • Geben Sie jeder Phase einen Security-Verantwortlichen. Hat eine Aktivität keinen benannten Verantwortlichen, wird sie niemands Aufgabe, sobald der Zeitplan enger wird.
  • Bedrohungsmodellieren Sie im Design, nicht nach dem Start. Die günstigste Sicherheitsbehebung ist eine Designentscheidung; die teuerste ist ein Umbau der Architektur nach einem Vorfall.
  • Automatisieren Sie Scanning in der Pipeline. SAST, SCA und DAST, die bei jeder Änderung laufen, erfassen weit mehr als ein vierteljährliches manuelles Review — und sie rutschen nicht durch.
  • Setzen Sie release-blockierende Schwellen. Entscheiden Sie im Voraus, welche Schweregrade einen Build stoppen, damit Sicherheit ein Tor statt eine Empfehlung ist.
  • Verwalten Sie Abhängigkeiten und Secrets bewusst. Die meisten modernen Sicherheitsvorfälle kommen durch eine verwundbare Abhängigkeit oder geleakte Zugangsdaten, nicht durch neuartigen Code.
  • Patchen Sie zu einem SLA in Produktion. Ein sicherer SDLC endet nicht beim Release; eine aktive Schwachstellenmanagement-Schleife gehört dazu.
  • Halten Sie es schriftlich fest und bilden Sie es auf ein Framework ab. Eine dokumentierte, an das NIST SSDF gebundene Policy ist, was Audits besteht und Enterprise-Deals abschließt.

FAQ

Was ist ein sicherer Softwareentwicklungszyklus?

Ein sicherer Softwareentwicklungszyklus (SSDLC) baut Sicherheit in jede Phase der Softwareauslieferung ein — Anforderungen, Design, Umsetzung, Testen, Auslieferung und Wartung — statt sie einmal am Ende zu prüfen. Jede Phase erhält eine Security-Aktivität: Sicherheitsanforderungen und Bedrohungsmodellierung früh, sicheres Programmieren und Abhängigkeits-Scans während des Baus, automatisierte Sicherheitstests vor dem Release sowie gehärtete Konfiguration und Patchen in Produktion. Ziel ist, Schwachstellen zu finden, solange ihre Behebung günstig ist, und Sicherheit zu einer Eigenschaft des Prozesses zu machen.

Welche Phasen hat ein sicherer SDLC?

Ein sicherer SDLC nutzt dieselben Phasen wie jeder SDLC, jede mit einer angehängten Security-Aktivität: Anforderungen (Sicherheitsanforderungen), Design (Bedrohungsmodellierung und sichere Architektur), Umsetzung (sicheres Programmieren, Review, Software Composition Analysis), Testen (SAST, DAST, IAST und Penetrationstests), Auslieferung (gehärtete Konfiguration, Secrets-Management, eine sichere Pipeline) und Wartung (Schwachstellen-Monitoring, Patchen und Incident Response). Sicherheit ist keine eigene Phase; sie ist eine Aufgabe innerhalb jeder bestehenden.

Was ist der Unterschied zwischen dem SDLC und dem sicheren SDLC?

Der SDLC ist der Prozess zum Bau von Software; der sichere SDLC ist derselbe Prozess mit Sicherheitsarbeit in jeder Phase. Ein Standard-SDLC behandelt Sicherheit als Testaktivität nahe dem Ende; ein sicherer SDLC verlagert sie nach links — Bedrohungsmodellierung im Design, sicheres Programmieren beim Bau, automatisiertes Scanning in der Pipeline und kontinuierliche Schwachstellenreaktion in Produktion. Der Unterschied sind nicht zusätzliche Phasen, sondern ein Security-Verantwortlicher und eine Aktivität innerhalb jeder Phase, die Fehler findet, wenn sie einen Bruchteil einer Behebung nach dem Release kosten.

Was ist das NIST SSDF (SP 800-218)?

Das NIST Secure Software Development Framework (SSDF), veröffentlicht als SP 800-218, ist eine Sammlung übergeordneter sicherer Entwicklungspraktiken in vier Familien: Prepare the Organization, Protect the Software, Produce Well-Secured Software und Respond to Vulnerabilities. Es ist methodenunabhängig, sodass seine Praktiken gleichermaßen auf Agile, DevOps und Wasserfall passen, und es stützt sich auf OWASP SAMM und BSIMM. Version 1.1 ist aktuell; ein Entwurf der Version 1.2 ging im Dezember 2025 in die öffentliche Kommentierung, und ein begleitendes Profil, SP 800-218A, ergänzt Praktiken für generative KI-Systeme.

Brauchen wir eine Secure-SDLC-Policy?

Ja — eine schriftliche Secure-SDLC-Policy macht aus guten Absichten einen wiederholbaren Prozess und wird zunehmend für Enterprise-Vertrieb, Audits und die föderale Selbstauskunft verlangt. Eine brauchbare Policy benennt die Security-Aktivität und den Verantwortlichen für jede Phase, die Tools, die in der Pipeline laufen müssen, die Schweregrad-Schwellen, die ein Release blockieren, die Patch-SLAs für Produktionsschwachstellen und wie jede Kontrolle auf ein Framework wie das NIST SSDF abbildet. Sie sollte kurz genug sein, um befolgt zu werden, und konkret genug, um dagegen zu prüfen.

Wie verhält sich DevSecOps zum sicheren SDLC?

DevSecOps ist, wie die meisten Teams 2026 einen sicheren SDLC umsetzen: Es nimmt die Automatisierung von DevOps und fügt Security-Tore in die CI/CD-Pipeline ein, sodass Scanning, Abhängigkeitsprüfungen und Policy-Durchsetzung bei jeder Änderung automatisch laufen. Der sichere SDLC definiert, welche Sicherheitsarbeit jede Phase braucht; DevSecOps ist das Betriebsmodell, das diese Arbeit kontinuierlich statt zur manuellen Prüfung macht. Ein sicherer SDLC ohne Pipeline-Automatisierung neigt dazu, unter Termindruck zu verrutschen — genau das Versagen, das DevSecOps verhindert.

Zuletzt aktualisiert am 3. Juli 2026. Framework-Referenzen beziehen sich auf NIST SP 800-218 (SSDF v1.1), den Entwurf SP 800-218 Rev. 1 (v1.2), im Dezember 2025 zur Kommentierung veröffentlicht, SP 800-218A für generative KI, OWASP SAMM, BSIMM sowie die US Executive Order 14028 / OMB M-22-18, zitiert als allgemeine Orientierung. Die richtigen Aktivitäten, Tools und Tore hängen von Ihrem Risikoprofil, Ihrem Stack und Ihrem regulatorischen Umfang ab — behandeln Sie dies als Ausgangspunkt, nicht als Vorschrift.