Absicherung eines globalen SAFe-Programms für ein führendes Technologieunternehmen - DevSecOps by Design

Einheitliche DevSecOps- und Supply-Chain-Security: So meistern Unternehmen komplexe, globale Entwicklungsprogramme.

Three astronauts in a spaceship stand in front of a holographic command map.

Der Impact auf einen Blick

Mit einem einheitlichen, sicheren und skalierbaren DevSecOps-Framework gelang es, über zehn globale Teams hinweg Prozesse zu harmonisieren, die Software-Lieferkette wirksam abzusichern und gleichzeitig Innovationen in der Geschwindigkeit voranzutreiben, die das SAFe-Framework fordert.

Ausgangslage und Herausforderung

Ein führendes Technologieunternehmen führte ein groß angelegtes Entwicklungsprogramm nach dem Scaled Agile Framework (SAFe) durch. Das Programm umfasste mehr als 10 global verteilte DevOps-Teams – darunter Nearshore-, Offshore-Teams sowie externe Dienstleister. Diese komplexe und dezentralisierte Struktur stellte erhebliche Herausforderungen für Sicherheit und Governance dar.

Jedes Team arbeitete mit unterschiedlichen Tools und Prozessen. Es gab keinen einheitlichen Ansatz zur Absicherung der CI/CD-Pipelines oder zur Verwaltung der Software-Supply-Chain. Die durch SAFe geforderte Entwicklungsgeschwindigkeit überstieg die Fähigkeit des Unternehmens, konsistente Sicherheitsmaßnahmen durchzusetzen.

Was auf dem Spiel stand

Ohne ein einheitliches Sicherheitsframework war das Unternehmen zunehmenden und kritischen Risiken ausgesetzt, die das gesamte Programm gefährdeten – mit klaren Auswirkungen auf zentrale Stakeholder:

CISO: Das Fehlen von Security-Guardrails führte zu mangelnder Transparenz. Ohne SBOM (Software Bill of Materials) blieben Drittanbieterrisiken unkontrolliert.
CIO/CTO: Unsichere, fragmentierte Pipelines in über 10 Teams untergruben Skalierbarkeit und Konsistenz.
Programmleitung: Spät entdeckte Sicherheitsprobleme führten zu Nacharbeiten und Verzögerungen – und damit zur Erosion der Agilität, die SAFe eigentlich garantieren sollte.

Unser Ansatz: So sind wir vorgegangen

Wir haben ein Secure-by-Design-Framework implementiert, das ein einheitliches DevSecOps- und Software-Supply-Chain-Sicherheitsmodell für das gesamte Programm etablierte. Der Ansatz war transformativ, nicht nur technisch:

Etablierung einer sicheren Ausgangsbasis: Das Projekt begann mit einer umfassenden Bewertung der bestehenden CI/CD-Pipelines und Entwicklungspraktiken aller Teams. Dies ermöglichte eine transparente Risikobewertung und diente als Grundlage für die Entwicklung eines realistischen, schrittweisen Implementierungsfahrplans.
Integration von Sicherheit in die SAFe-Taktung: Wir sind ein integraler Bestandteil des Entwicklungsrhythmus geworden. Für jede Funktion wurden gemeinsam dedizierte Security Stories entwickelt – inklusive Abhängigkeitsanalysen und Aufwandsabschätzung im T-Shirt-Sizing-Format. Dies ermöglichte einen risikobasierten Ansatz, bei dem Sicherheitsverbesserungen priorisiert und fest in jedes dreimonatige Program Increment (PI) eingeplant wurden. Durch die Teilnahme an täglichen Stand-ups und regelmäßiges GRC-Reporting wurde Sicherheit zu einem durchgängigen und transparenten Bestandteil des agilen Prozesses.
Absicherung der Software-Supply-Chain: Wir haben uns zur Erstellung einer SBOM (Software Bill of Materials) für alle Anwendungen verpflichtet. Zusätzlich wurden Software Composition Analysis (SCA)-Tools in die Pipelines integriert, um verwundbare Open-Source-Komponenten automatisch zu erkennen und zu blockieren – und somit vollständige Transparenz über Drittanbieterabhängigkeiten herzustellen.
Implementierung von DevSecOps-Guardrails: Ein Set risikobasierter, automatisierter Sicherheits-Guardrails wurde direkt in die CI/CD-Pipelines eingebettet. Das ging weit über das bloße Hinzufügen von Tools hinaus – es entstand ein sicheres Entwicklungssystem:
Automatisierte Sicherheitstests: Eine mehrschichtige Teststrategie wurde integriert, die Static Application Security Testing (SAST) zur frühzeitigen Erkennung von Schwachstellen im nicht kompilierten Code mit Dynamic Application Security Testing (DAST) kombinierte, um Laufzeitrisiken zu identifizieren. Die Ergebnisse flossen direkt an die Entwickler:innen zurück, um schnelle Behebung zu ermöglichen.
Härtung der CI/CD-Umgebung: Eine zentrale Secrets-Management-Lösung ersetzte risikobehaftete Praktiken wie hartcodierte Zugangsdaten oder Umgebungsvariablen. Die Zugriffskontrolle wurde grundlegend neu gestaltet: Neben rollenbasierter Zugriffskontrolle (RBAC) für Benutzer wurde auch Pipeline-Based Access Control (PBAC) eingeführt, um sicherzustellen, dass CI/CD-Execution Nodes nur mit minimal erforderlichen Rechten arbeiteten – und nach jedem Lauf wieder in einen sauberen Zustand versetzt wurden.
Sicherstellung der Code-Integrität: Um unerlaubte Code-Injektionen zu verhindern, wurde im Source Code Management (SCM)-System eine verbindliche Commit-Signaturpolitik eingeführt – so konnte jeder Code eindeutig einem Entwickler zugeordnet werden. Dies wurde bis zur finalen Build-Stufe ausgeweitet: In der Container-Registry erfolgte die Signierung der Artefakte, um sicherzustellen, dass nur geprüfte und unveränderte Artefakte in die Produktion gelangen.
Befähigung der Teams: Wir haben gezielte Schulungen und praxisnahe Unterstützung für alle 10+ Teams bereitgestellt. So erhielten sie das Wissen und die Werkzeuge, um Sicherheit eigenverantwortlich in ihren agilen Workflows umzusetzen.

Greifbare Erfolge aus der Zusammenarbeit

Das Projekt legte eine sichere und effiziente Grundlage für das globale Entwicklungsprogramm des Unternehmens – und ermöglichte Innovation im großen Maßstab, ohne Kompromisse bei der Sicherheit:

Einheitliche Sicherheit über alle Teams hinweg:
Das neue Framework etablierte eine konsistente und messbare Sicherheitsbasis für alle internen und externen Entwicklungsteams. Dadurch wurde sichergestellt, dass sämtlicher Code den unternehmensweiten Sicherheitsstandards entsprach.
Deutliche Reduktion produktiver Schwachstellen:
Der „Shift-Left“-Ansatz mit automatisierten Sicherheitstests in den Pipelines führte zu einer Reduzierung von bis zu 90 % bei kritischen Schwachstellen, die in die Produktion gelangten.
Volle Transparenz in der Software-Supply-Chain:
Mit einer vollständigen SBOM für jede Release-Version erhielt das Unternehmen vollständige Transparenz über seine Software-Abhängigkeiten – und konnte schnell auf neue Bedrohungen in der Lieferkette reagieren.
Schnellere und sicherere Releases:
Durch automatisierte Sicherheitsprüfungen und sofortiges Feedback für Entwickler:innen wurde Sicherheit nicht länger zum Engpass. Die Auslieferungszyklen für sichere Software beschleunigten sich um mehr als 50 %.
Sicherheitskultur verankert:
Die verteilten Teams des Kunden wurden befähigt, Sicherheit aktiv in ihre tägliche Arbeit zu integrieren. So entstand eine nachhaltige DevSecOps-Kultur, die die Prinzipien des SAFe-Frameworks langfristig unterstützt.

Dieser Ansatz wurde inzwischen auf weitere globale Programme ausgeweitet – und hilft Unternehmen unterschiedlichster Branchen, von Finanzwesen bis Telekommunikation, dabei, sichere Innovation im großen Maßstab zu beschleunigen.

Bringen Sie Auditierbarkeit in Ihre DevSecOps- und Lieferkettensicherheit

Gemeinsam mit uns harmonisieren Sie Ihre Entwicklungs- und CI/CD-Prozesse und verankern Sicherheit entlang Ihrer gesamten Lieferkette – für skalierbare Abläufe, die Innovation und Stabilität verbinden.

DevSecOps-Analyse anfragen

Okay

CEO

Okay ist unser CEO und Gründer. Seit über einem Jahrzehnt arbeitet er an der Schnittstelle von Technologie, Business und Security – mit der Überzeugung, dass Security keine technische Pflichtübung ist, sondern eine strategische Grundlage für nachhaltiges Wachstum. Er berät CISOs, CTOs und Technologieführungskräfte dabei, Security als Business-Strategie zu verankern. Ihn beschäftigt besonders die Frage, wie Organisationen in einer Welt, in der Vertrauen der entscheidende Wettbewerbsvorteil ist, innovativ entwickeln können.

Insights

A space conveyor belt of code artifacts moving through glowing security gates. Each gate stamps the artifact with a trust sigil. Astronaut engineers oversee the process, holding scanner tools that emit light beams.

Client Success Story

Absicherung der Software-Supply-Chain für einen Marktführer in der Industrieautomation

Supply Chain Security in der Finanzbranche

Ein modernes und überprüfbares Sicherheitsframework für die Software-Supply-Chain in kritischen Fertigungs- und OT-Umgebungen - entwickelt für regulatorische Konformität, operative Sicherheit und nachhaltige Transparenz.

A computer standing on a desk in a spaceship with a file upload screen.

Secure by Design

Von unkontrollierten Uploads zum Sicherheitsalbtraum

Ein einziges ungesichertes Upload-Feld kann Ihr gesamtes System gefährden. Entdecken Sie die Risiken unbeschränkter Datei-Uploads, echte Angriffsbeispiele und praxisnahe Schutzmaßnahmen.

A robot with a human brain is floating in outer space with a laptop in hand.

KI-Sicherheit

6 kritische KI-Sicherheitsbedrohungen

6 kritische KI-Sicherheitsbedrohungen und wie Sie sich dagegen verteidigen

KI transformiert Branchen, öffnet aber auch die Tür für neue, schwer erkennbare Angriffe. In diesem Leitfaden erläutern wir sechs entscheidende Wege, wie Angreifer*Innen Ihre Modelle kompromittieren können, und zeigen Ihnen genau, wie Sie Ihre Modelle in jeder Phase des KI-Lebenszyklus verteidigen.

Alle Beiträge entdecken

CLOUDYRION verbindet IT-Sicherheit mit einer Sicherheitskultur, die Ihre Projekte stärkt. Wir entwickeln gemeinsam sichere Architekturen, Prozesse und Lösungen, die Ihre IT-Strategie und Unternehmenskultur optimal unterstützen

CLOUDYRION GmbH
Kesselstr. 3
40221 Düsseldorf

info@cloudyrion.com +49 (0) 211 94251211