🔍 Was beobachte ich?

Features werden entwickelt, dann kommt Security als letzter Schritt. WAF davor, TLS drauf, Audit-Log angehängt – fertig. Design-Entscheidungen wie hartcodierte Credentials, fehlende Authentifizierung oder unnötige Netzwerkzugriffe sind dabei bereits in Stein gemeißelt.

🎯 Was soll eigentlich erreicht werden?

Sicherheit. Compliance. Vertrauen. CISA fordert in seinen Secure-by-Design-Prinzipien genau das: Security muss eingebettet sein – nicht als Schicht obendrauf. Die Idee ist richtig. Die Umsetzung kommt meist zu spät.

⚠️ Warum funktioniert das nicht?

Nachträgliche Maßnahmen können Designfehler kaschieren, nicht beheben. Eine WAF reduziert vielleicht SQL-Injection-Angriffe, behebt aber nicht die unsichere Datenbankabfrage dahinter. Das schafft eine Vollständigkeitsillusion: Wir haben etwas getan – also sind wir sicher. Studien belegen: Sicherheitsmängel in der Produktion kosten bis zu 30-mal mehr als in der Designphase.

💡 Was funktioniert besser?

Security in Requirements und Architekturentscheidungen verankern – bevor der erste Commit entsteht. Threat Modeling am Anfang eines Features, nicht danach. Security-Champions in Teams, die Design-Reviews begleiten, statt Last-Minute-Audits zu kommentieren.

📚🔍