IT-Matchmaker news

5 Mythen über Security-by-Design im Faktencheck

Mit dem Cyber Resilience Act der EU wird Security-by-Design ab 2027 für Produkte mit digitalen Elementen zur Pflicht. Um diesen Entwicklungs- und Betriebsansatz ranken sich viele Mythen, die einer kritischen Prüfung nicht standhalten.

IT-Security
Quelle: ©Thapana Onphalai | istockphoto.com

Der Security-by-Design-Ansatz wird mit dem Inkrafttreten des Cyber Resilience Act von einer freiwilligen Best Practice zur verbindlichen Anforderung über den gesamten Produktlebenszyklus. Gleichzeitig halten sich in vielen Organisationen hartnäckig vereinfachte oder überholte Vorstellungen darüber, was Sicherheit in der Entwicklung eigentlich bedeutet. Nicht zuletzt mit Blick auf Kosten, Innovation oder Verantwortlichkeiten. Open Systems stellt fünf zentrale Mythen auf den Prüfstand und konfrontiert sie mit der Realität.

Mythos 1: Security kann man später ergänzen.

Faktencheck: Nein, genau das ist das Problem.

Die Vorstellung, Sicherheitsfunktionen erst nachträglich zu integrieren, ist weit verbreitet. In der Praxis entstehen sicherheitskritische Entscheidungen jedoch bereits im Design: etwa bei Datenflüssen, Schnittstellen oder Identitätsmodellen. Werden diese Aspekte ohne Security-Perspektive umgesetzt, entstehen strukturelle Schwachstellen, die sich später nur mit großem Aufwand oder gar nicht beheben lassen. Security nachträglich hinzuzufügen, führt daher meist zu doppelten Kosten oder einem dauerhaften Risiko.

Mythos 2: Security ist eine reine IT-Aufgabe.

Faktencheck: Nein, echte Sicherheit wird ganzheitlich gedacht.

Wer sagt, Sicherheit liege primär bei IT- oder Security-Teams, verschiebt damit Verantwortung an die falsche Stelle im Lebenszyklus. In der Praxis entstehen viele Risiken bereits bei grundlegenden Produktentscheidungen. Etwa, welche Daten überhaupt gesammelt werden, wie einfach sich ein Konto anlegen lässt oder welche Funktionen für Nutzer offen zugänglich sind. Diese Entscheidungen wirken oft harmlos, bestimmen aber maßgeblich die Angriffsfläche eines Produkts. Die IT kann solche Vorgaben später nur noch absichern, aber nicht mehr grundlegend ändern. Security-by-Design bedeutet deshalb, Sicherheit von Anfang an mitzudenken – nicht erst, wenn das Produkt technisch umgesetzt ist.

Vertiefendes Webinar: Change Management in Business-Software-Projekten
change management in busines software projekten

Security by Design erfordert mehr als technische Maßnahmen. Neue Anforderungen müssen frühzeitig in Prozesse, Verantwortlichkeiten und die Unternehmenskultur integriert werden. Genau hier entscheidet sich, ob Veränderungen dauerhaft erfolgreich sind oder an fehlender Akzeptanz scheitern.

Jochen Wannicke, Senior Consultant & Business Coach bei der Trovarit AG, zeigt, wie Unternehmen Veränderungsprozesse strukturiert begleiten, Mitarbeiter einbinden und neue Anforderungen nachhaltig in der Organisation verankern.

Faktencheck: Kurzfristig ja, bewirkt aber langfristig oft das Gegenteil.

Wahr ist, dass komplexe Sicherheitsanforderungen zunächst den Aufwand erhöhen und die Entwicklung verlangsamen können. Fehlt diese Grundlage allerdings, müssen Funktionen nachträglich überarbeitet werden, Systeme können instabil laufen und Teams sind mit Fehlerbehebung statt mit neuen Features beschäftigt. Innovation findet dann nicht mehr im Produkt, sondern im Krisenmodus statt. Security-by-Design sorgt deshalb nicht für weniger Innovation, sondern dafür, dass sie dauerhaft tragfähig bleibt.

Mythos 4: Security ist ein Kostenfaktor.

Faktencheck: Nur kurzfristig, strategisch ist sie Risikomanagement.

Security erscheint oft als zusätzlicher Budgetposten für Tools, Prozesse und Audits. Die eigentlichen Kosten entstehen jedoch erst durch fehlende Sicherheit: Kritische Events, Ausfälle, Datenverluste oder Reputationsschäden sind meist deutlich teurer und kaum kalkulierbar. Security-by-Design verschiebt den Fokus von reaktiven Kosten zu proaktiver Absicherung von Geschäfts- und Markenwerten.

Mythos 5: Compliance bedeutet Sicherheit.

Faktencheck: Nein, Compliance ist ein Mindeststandard.

Angreifer orientieren sich nicht an Checklisten, sondern an realen Schwachstellen. Sicherheit ist zudem kein statischer Zustand. Sie verändert sich mit der Nutzung, mit Systemänderungen und der sich entwickelnden Bedrohungslage. Ein Security-by-Design-Ansatz, der mit dem Produkt-Launch endet, erzeugt daher auch eine Scheinsicherheit; wirklich wirksam ist nur ein kontinuierlicher Ansatz im Betrieb. Der Cyber Resilience Act adressiert diese Notwendigkeit und fordert ein Lifecycle-Denken inklusive Entwicklung, Betrieb, Updates und Reaktion.

Insgesamt ist Security-by-Design kein Dokumentationsprojekt, sondern eine dauerhafte Management-Aufgabe. Der Cyber Resilience Act macht klar, dass sich Sicherheit nicht in Audits entscheidet, sondern im Zusammenspiel aus Architektur, Betrieb und Verantwortung über den gesamten Produktlebenszyklus hinweg. jf

Der Autor

Verwandte Artikel

Der IT-Matchmaker® Newsletter erscheint alle 14 Tage und informiert Sie über Neues und Interessantes rund um den Einsatz von Business Software.

Aktuelle Marktübersichten

IT-Matchmaker®.guide KI-Lösungen für Business Software 2026

IT-Matchmaker®.guide ERP-Lösungen 2026

IT-Matchmaker®.guide Industrie 4.0 Lösungen 2026

Abschluss der Webinaranmeldung

Ihre gewählten Webinare

Information

Vielen Dank für Ihre Webinaranmeldung.

Wir prüfen die Verfügbarkeit und senden Ihnen in Kürze eine Mail mit den Webinardaten.

Anmeldung Webinare

Sie haben die folgenden Webinare ausgewählt:

Sie wollen Sich für mehrere Webinare gleichzeitig anmelden? Dann klicken Sie auf 'Weitere Webinare anzeigen‘ und setzen für jeden Termin einen Haken.

Bitte geben Sie Ihre E-Mail-Adresse an. Wir schicken Ihnen einen Bestätigungslink per Mail. Bitte folgen Sie diesem Link, um die Anmeldung abzuschließen. Der Link verliert seine Gültigkeit nach 3 Tagen.

Information

Vielen Dank. Sie erhalten in Kürze eine E-Mail mit dem Link zur Vollendung der Anmeldung für unser Webinar.

Fehler

Der Link ist nicht mehr gültig

Bitte starten Sie die Registrierung / Anmeldung erneut.

Information

Alle Downloads sind jetzt freigeschaltet.

Wir haben Ihnen soeben einen Freischaltlink geschickt, mit dem Sie in Zukunft ohne erneute Registrierung auf alle Downloads zugreifen können.

Abschluss der Registrierung
Download-Freischaltung

Bitte geben Sie Ihre E-Mail-Adresse an. Wir schicken Ihnen einen Bestätigungslink per Mail. Bitte folgen Sie diesem Link, um die Registrierung abzuschließen. Der Link verliert seine Gültigkeit nach 3 Tagen.

Information

Vielen Dank. Sie erhalten in Kürze eine E-Mail mit dem Link zum Abschluss der Registrierung für unser Download-Center.