---
title: "Magic Security Dust"
date: 2026-04-15T07:35:00+02:00
draft: false
image: "2026-04-15_Magic-Security-Dust.jpg"
tags: ["Anti-Pattern", "AppSec", "Secure by Design", "Secure SDLC"]
keywords: ["Bolt-On-Security", "Threat Modeling", "CISA Secure-by-Design", "Vollständigkeitsillusion", "Security-Champions", "WAF als Pflaster"]
description: "Security als letzter Schritt kaschiert Designfehler – und schafft eine gefährliche Vollständigkeitsillusion."
---

## 🔍 Was beobachte ich?

Features werden entwickelt, dann kommt Security als letzter Schritt. WAF davor, TLS drauf, Audit-Log angehängt – fertig. Design-Entscheidungen wie hartcodierte Credentials, fehlende Authentifizierung oder unnötige Netzwerkzugriffe sind dabei bereits in Stein gemeißelt.

## 🎯 Was soll eigentlich erreicht werden?

Sicherheit. Compliance. Vertrauen. CISA fordert in seinen Secure-by-Design-Prinzipien genau das: Security muss eingebettet sein – nicht als Schicht obendrauf. Die Idee ist richtig. Die Umsetzung kommt meist zu spät.

## ⚠️ Warum funktioniert das nicht?

Nachträgliche Maßnahmen können Designfehler kaschieren, nicht beheben. Eine WAF reduziert vielleicht SQL-Injection-Angriffe, behebt aber nicht die unsichere Datenbankabfrage dahinter. Das schafft eine Vollständigkeitsillusion: Wir haben etwas getan – also sind wir sicher. Studien belegen: Sicherheitsmängel in der Produktion kosten bis zu 30-mal mehr als in der Designphase.

## 💡 Was funktioniert besser?

Security in Requirements und Architekturentscheidungen verankern – bevor der erste Commit entsteht. Threat Modeling am Anfang eines Features, nicht danach. Security-Champions in Teams, die Design-Reviews begleiten, statt Last-Minute-Audits zu kommentieren.

## 📚🔍

- Secure by Design | CISA [https://www.cisa.gov/resources-tools/resources/secure-by-design](https://www.cisa.gov/resources-tools/resources/secure-by-design)
- Bolt-On vs. Baked-In Cybersecurity (Lawfare) [https://www.lawfaremedia.org/article/bolt-vs-baked-cybersecurity](https://www.lawfaremedia.org/article/bolt-vs-baked-cybersecurity)
- OWASP Secure Product Design Cheat Sheet [https://cheatsheetseries.owasp.org/cheatsheets/Secure_Product_Design_Cheat_Sheet.html](https://cheatsheetseries.owasp.org/cheatsheets/Secure_Product_Design_Cheat_Sheet.html)
- The Exponential Cost of Fixing Bugs (DeepSource) [https://deepsource.com/blog/exponential-cost-of-fixing-bugs](https://deepsource.com/blog/exponential-cost-of-fixing-bugs)