Die meisten Teams prüfen Security einmal kurz vor dem Release — wenn Änderungen teuer sind und der Zeitdruck maximal ist. Shift Left dreht das um: Security als fester Teil jeder Phase, automatisiert wo möglich, pragmatisch wo nötig.
Was bedeutet Shift Left?
Security-Check erst kurz vor Release — wenn Architekturentscheidungen längst getroffen sind und Änderungen teuer werden.
Security in jeder Phase — automatisiert in der Pipeline, als Designentscheidung am Anfang, nicht als Nachkontrolle am Ende.
Eine Sicherheitslücke im Design zu finden kostet ein Gespräch. Dieselbe Lücke in Produktion zu finden kostet einen Incident, einen Patch, möglicherweise Datenverlust — und das Vertrauen der Nutzer.
Threat Modelling
Der häufigste Fehler: Security-Fragen erst stellen wenn die Architektur steht. Threat Modelling passiert idealerweise im Design — bevor Code existiert, bevor Entscheidungen irreversibel sind.
STRIDE gibt Struktur, Attack Trees helfen beim konkreten Durchdenken von Angriffspfaden. Das Ziel ist nicht ein 40-seitiges Dokument — sondern ein klares Bild davon, was schützenswert ist und wo die realistischen Einfallstore liegen.
Secure Code Review
Code-Reviews mit Security-Fokus sind etwas anderes als normale Code-Reviews. OWASP Top 10 ist die Basis — aber echte Schwachstellen verstecken sich oft in Businesslogik, nicht in offensichtlichen Injection-Mustern.
Web-Apps, APIs, mobile Apps — je nach Stack unterscheiden sich die typischen Probleme. Input-Validierung, Authentifizierung, Session-Management, Fehlerbehandlung die zu viel verrät.
Pipeline Security
Eine CI/CD-Pipeline ohne Security-Checks ist ein automatisierter Weg ins Produktivsystem — für jeden der Zugriff auf den Code bekommt. SAST läuft bei jedem Commit, Dependency-Scanning erkennt bekannte CVEs bevor sie deployed werden, Secret-Detection verhindert dass Credentials im Repo landen.
Das Ziel: kein Security-Gate das nervt und umgangen wird, sondern Checks die schnell sind, wenig false positives produzieren und im Workflow bleiben.
Container & Infrastruktur
Container-Images die mit Root laufen, IaC-Templates die Ports zu weit öffnen, Service-Accounts mit zu vielen Rechten — Deployment ist oft wo Security-Versäumnisse aus allen Phasen zusammenkommen.
Image-Scanning vor dem Deployment, IaC-Checks für Terraform und Helm, Least-Privilege für Service-Accounts. Kein Hexenwerk — aber ohne Struktur wird es nicht gemacht.
Monitoring & Incident Handling
Viele Teams loggen alles — und sehen nichts. Sinnvolles Security-Monitoring bedeutet: die richtigen Ereignisse, strukturiert, mit einem Plan was bei einem Alarm passiert.
Was passiert wenn ein Deployment kompromittiert wird? Wer wird informiert, was wird isoliert, wie wird der Schaden begrenzt? Diese Fragen vorher zu beantworten kostet wenig — sie nachher nicht beantwortet zu haben kostet viel.