{"id":64113,"date":"2025-09-30T09:32:42","date_gmt":"2025-09-30T07:32:42","guid":{"rendered":"https:\/\/www.inovex.de\/?p=64113"},"modified":"2025-10-24T09:04:48","modified_gmt":"2025-10-24T07:04:48","slug":"security-von-anfang-an-integrieren-mit-owasp-samm","status":"publish","type":"post","link":"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/","title":{"rendered":"Security von Anfang an integrieren mit OWASP SAMM"},"content":{"rendered":"<p>Mit dem bevorstehenden Cyber Resilience Act (CRA) r\u00fcckt das Thema \u201esichere Softwareentwicklung\u201c wieder einmal mehr ins Rampenlicht. Doch auch abseits von Regulatorik lohnt sich eine Besch\u00e4ftigung f\u00fcr Teams und Unternehmen. Warum das wertvoll ist und wie passgenaue Security m\u00f6glich ist, erl\u00e4utert dieser Artikel.<!--more--><\/p>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\"><p class=\"ez-toc-title\" style=\"cursor:inherit\"><\/p>\n<\/div><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/#Der-Wert-von-sicherer-Softwareentwicklung\" >Der Wert von sicherer Softwareentwicklung<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/#Der-richtige-Referenzrahmen-%E2%80%93-OWASP-SAMM\" >Der richtige Referenzrahmen \u2013 OWASP SAMM<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/#Strategisches-Sicherheitsmanagement\" >Strategisches Sicherheitsmanagement<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/#Sicheres-Softwaredesign\" >Sicheres Softwaredesign<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/#Sichere-Implementierung\" >Sichere Implementierung<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/#Testen-auf-Security\" >Testen auf Security<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/#Sicherer-Betrieb\" >Sicherer Betrieb<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/#Kontinuierliche-Software-Security\" >Kontinuierliche Software-Security<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/#Software-Security-auf-Organisationsebene\" >Software-Security auf Organisationsebene<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/#Awareness-und-Training\" >Awareness und Training<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/#Vereinheitlichte-Prozesse\" >Vereinheitlichte Prozesse<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/#Der-richtige-Start-mit-OWASP-SAMM\" >Der richtige Start mit OWASP SAMM<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/#OWASP-SAMM-organisationsweit-einfuehren\" >OWASP SAMM organisationsweit einf\u00fchren<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-14\" href=\"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/#Umsetzung-der-Massnahmen\" >Umsetzung der Ma\u00dfnahmen<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-15\" href=\"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/#Messbarkeit-und-Verbesserungen\" >Messbarkeit und Verbesserungen<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-16\" href=\"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/#Die-Rolle-einer-zentralisierten-Security\" >Die Rolle einer zentralisierten Security<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-17\" href=\"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/#OWASP-SAMM-und-zukuenftige-Regulatorik\" >OWASP SAMM und zuk\u00fcnftige Regulatorik<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"Der-Wert-von-sicherer-Softwareentwicklung\"><\/span>Der Wert von sicherer Softwareentwicklung<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Es ist nicht ganz einfach, den Wert von Software-Security zu beziffern: Welchen wirtschaftlichen Nutzen bringt eine Investition in Sicherheit? Wenn ich einen Euro in eine Security-Ma\u00dfnahme stecke, was bekomme ich dann zur\u00fcck? Oder kurz gesagt: Lohnt sich Security? Es kann hilfreich sein, sich umgekehrt zu vergegenw\u00e4rtigen, was es bedeutet, die Sicherheit zu vernachl\u00e4ssigen: Welchen Schaden trage ich davon, an Reputationsverlust, an Umsatzausfall, an Strafzahlungen?<\/p>\n<p>Die Datenschutz-Grundverordnung (DSGVO) erlaubt bei Verst\u00f6\u00dfen gegen Sorgfaltspflichten oder bei mangelnden Sicherheitsma\u00dfnahmen Strafen von bis zu vier Prozent des Jahresumsatzes. In der Praxis wurde das f\u00fcr F\u00e4lle von Sicherheitsl\u00fccken in Softwaresystemen bislang nicht ausgereizt. Aber Strafen in f\u00fcnfstelliger H\u00f6he f\u00fcr Datenpannen aufgrund mangelnder Security-Ma\u00dfnahmen sind keine Seltenheit.<\/p>\n<p>Dar\u00fcber hinaus kann der entstehende Schaden f\u00fcr die Reputation eines Unternehmens deutlich gr\u00f6\u00dfer ausfallen. Ber\u00fchmtes Beispiel ist das Datenleck beim US-Unternehmen Equifax, das durch eine Schwachstelle in einer Webanwendung des Unternehmens verursacht wurde. Neben Entsch\u00e4digungszahlungen von \u00fcber 600 Mio. Euro st\u00fcrzte der Aktienkurs von Equifax ab \u2013 der Vorstandschef wurde zum R\u00fccktritt gedr\u00e4ngt. Solche F\u00e4lle verdeutlichen, dass nachl\u00e4ssige Sicherheitsupdates gewaltige finanzielle und imagesch\u00e4digende Folgen haben k\u00f6nnen.<\/p>\n<p>Die Erkenntnis, dass Security ein Softwareprodukt aufwertet, wirft die n\u00e4chste Frage auf: Wie erreicht man ein gutes Sicherheitsniveau? Hier gilt zun\u00e4chst das Gleiche wie f\u00fcr viele andere Qualit\u00e4tsziele: Je fr\u00fcher im Entwicklungsprojekt man sich darum k\u00fcmmert, desto leichter sind Anpassungen m\u00f6glich. F\u00fcr Security hei\u00dft das, dass eine zu sp\u00e4te Ber\u00fccksichtigung ungleich aufwendiger wird. Sicherheitsma\u00dfnahmen werden deshalb am besten fr\u00fch und kontinuierlich im Entwicklungsprozess platziert.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Der-richtige-Referenzrahmen-%E2%80%93-OWASP-SAMM\"><\/span>Der richtige Referenzrahmen \u2013 OWASP SAMM<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Bei der Einsch\u00e4tzung, welche Aktivit\u00e4ten schon auf das Sicherheitsniveau einzahlen und welche Bereiche bisher noch nicht gen\u00fcgend abgedeckt sind, hilft ein externer Referenzrahmen. Einen solchen bietet das Reifegradmodell <a href=\"https:\/\/owaspsamm.org\/\">SAMM<\/a>. Entwickelt und bereitgestellt wird das Modell von OWASP, dem Open Worldwide Application Security Project. Den meisten ist das Projekt wohl von den ber\u00fchmten OWASP Top Ten bekannt, der Liste der zehn h\u00e4ufigsten Sicherheitsrisiken in Webanwendungen. Das OWASP pflegt dar\u00fcber hinaus noch zahlreiche weitere hilfreiche Projekte und Tools, darunter auch SAMM, das Software Assurance Maturity Model.<\/p>\n<p>OWASP SAMM ist ein Reifegradmodell; das bedeutet, die Pr\u00e4senz und Ausgestaltung der einzelnen Dimensionen werden in klare Entwicklungsstufen eingeteilt. Bei SAMM reichen diese vom initialen Level 0 bis zur h\u00f6chsten Stufe, Level 3:<\/p>\n<ul>\n<li><strong>Level 0<\/strong>: keine Umsetzung<\/li>\n<li><strong>Level 1<\/strong>: erste, informelle Umsetzung mit reaktivem Fokus<\/li>\n<li><strong>Level 2<\/strong>: standardisierte Umsetzung mit proaktivem Fokus<\/li>\n<li><strong>Level 3<\/strong>: integrierte, kontinuierlich verbesserte Umsetzung<\/li>\n<\/ul>\n<p>Die Level bauen dabei klar aufeinander auf und bieten dadurch die M\u00f6glichkeit, mit einfachen Ad-hoc-Prozessen zu starten und sie iterativ zu erweitern.<\/p>\n<p>OWASP SAMM bewertet insgesamt 30 Prozesse und strukturiert sie in f\u00fcnf Business Functions: Governance, Design, Implementation, Verification und Operations mit jeweils drei Security Practices. F\u00fcr die 30 Prozesse gibt es dann jeweils konkrete Aktivit\u00e4ten pro Reifegrad, die erf\u00fcllt werden m\u00fcssen.<\/p>\n<p><!--more--><\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-64122 \" src=\"https:\/\/www.inovex.de\/wp-content\/uploads\/OWASP-SAMM.png\" alt=\"A chart of the OWASP Software Assurance Maturity Model (SAMM), which is organized into five columns representing business functions and three rows of security practices. Each practice is divided into two streams, A and B.\" width=\"1481\" height=\"769\" srcset=\"https:\/\/www.inovex.de\/wp-content\/uploads\/OWASP-SAMM.png 2388w, https:\/\/www.inovex.de\/wp-content\/uploads\/OWASP-SAMM-300x156.png 300w, https:\/\/www.inovex.de\/wp-content\/uploads\/OWASP-SAMM-1024x532.png 1024w, https:\/\/www.inovex.de\/wp-content\/uploads\/OWASP-SAMM-768x399.png 768w, https:\/\/www.inovex.de\/wp-content\/uploads\/OWASP-SAMM-1536x798.png 1536w, https:\/\/www.inovex.de\/wp-content\/uploads\/OWASP-SAMM-2048x1063.png 2048w, https:\/\/www.inovex.de\/wp-content\/uploads\/OWASP-SAMM-1920x997.png 1920w, https:\/\/www.inovex.de\/wp-content\/uploads\/OWASP-SAMM-400x208.png 400w, https:\/\/www.inovex.de\/wp-content\/uploads\/OWASP-SAMM-360x187.png 360w\" sizes=\"auto, (max-width: 1481px) 100vw, 1481px\" \/><\/p>\n<div id=\"model-response-message-contentr_c5cc90800819df9a\" class=\"markdown markdown-main-panel stronger enable-updated-hr-color\" dir=\"ltr\">\n<p>Anschaulich wird das am Beispiel Threat Modeling. Als Aktivit\u00e4t in der Entwurfsphase findet es sich in der Business Function \u201eDesign\u201c und in der Practice \u201eThreat Assessment\u201c.<\/p>\n<ul>\n<li>Ausgehend von <strong>Level 0<\/strong> (gar kein Threat Modeling) definiert OWASP SAMM die Anforderungen f\u00fcr die drei folgenden Reifegrade.<\/li>\n<li>Um <strong>Level 1<\/strong> zu erf\u00fcllen, muss Threat Modeling mindestens f\u00fcr wichtige Anwendungen durchgef\u00fchrt werden. Dabei gibt es noch keine gro\u00dfen Anforderungen an Umfang oder Frequenz. Die Nutzung einfacher Checklisten und die Dokumentation der Ergebnisse sind hier ausreichend.<\/li>\n<li>F\u00fcr <strong>Level 2<\/strong> muss Threat Modeling standardisiert eingef\u00fchrt sein. Die beteiligten Personen m\u00fcssen geschult sein, und die Bedrohungsanalyse muss umfangreicher durchgef\u00fchrt werden. Au\u00dferdem muss festgelegt sein, wann eine Session jeweils durchgef\u00fchrt werden soll.<\/li>\n<li>In <strong>Level 3<\/strong> soll Threat Modeling mit anderen Aktivit\u00e4ten integriert werden, zum Beispiel darauf aufbauende Security-Tests. Das soll m\u00f6glichst automatisiert geschehen. Au\u00dferdem sollen die Prozesse und Vorlagen nun regelm\u00e4\u00dfig \u00fcberarbeitet werden; Erfahrungen aus der Vergangenheit sollen in neue Bedrohungsszenarien einflie\u00dfen.<\/li>\n<\/ul>\n<p>In Kombination bietet das OWASP SAMM so einen breiten \u00dcberblick \u00fcber die Phasen des Entwicklungsprozesses: mit 90 konkreten Aktivit\u00e4tsbeschreibungen und zugeh\u00f6rigen Checklisten, um die Zielerreichung auf jedem Level systematisch zu \u00fcberpr\u00fcfen.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Strategisches-Sicherheitsmanagement\"><\/span>Strategisches Sicherheitsmanagement<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Die Business Function \u201eGovernance\u201c legt den organisatorischen und strategischen Rahmen f\u00fcr sichere Softwareentwicklung fest. Vorausgeschickt sei der Hinweis, dass dies h\u00e4ufig der am wenigsten entwickelte Bereich in Entwicklungsteams ist. Meist starten Organisationen aus einer technischen Umsetzungsperspektive und bauen erst sp\u00e4ter einen einheitlichen Rahmen darum. Im Zentrum der Governance steht die Entwicklung einer Sicherheitsstrategie, die zur Unternehmensausrichtung passt und konkrete Ziele vorgibt. Daf\u00fcr muss die Sicherheitsstrategie an die generelle Risikobereitschaft der Organisation ankn\u00fcpfen. Mit Hilfe geeigneter Metriken l\u00e4sst sich die Wirksamkeit von Sicherheitsma\u00dfnahmen messbar machen und steuern.<\/p>\n<p>Ein weiterer Fokus liegt auf Policies und Compliance. Dabei geht es einerseits um interne Sicherheitsrichtlinien, die klar, verbindlich und verst\u00e4ndlich formuliert sind, und andererseits um die Identifikation und Einhaltung externer Anforderungen wie gesetzlicher Vorgaben oder branchenspezifischer Standards.<\/p>\n<p>Abgerundet wird die Business Function durch Punkte zu Schulung und Awareness-Ma\u00dfnahmen. Die beteiligten Rollen, etwa Entwickelnde, Architekt:innen und Betriebsteams, sollen durch Trainings in die Lage versetzt werden, Sicherheitsaspekte eigenverantwortlich zu verstehen und umzusetzen. Und zwar nicht als Zusatzaufgabe, sondern als integraler Bestandteil ihrer t\u00e4glichen Arbeit. Erg\u00e4nzt wird das durch den Aufbau einer Sicherheitsorganisation, die in Level 1 aus einzelnen Security-Champions und in Level 2 und 3 aus umfangreichen Strukturen besteht.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Sicheres-Softwaredesign\"><\/span>Sicheres Softwaredesign<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Die Business Function \u201eDesign\u201c umfasst mehrere wichtige Aktivit\u00e4ten, die im Entwurf einer Software von Bedeutung sind. Das beginnt bei der Einstufung des Schutzbedarfs der Anwendung (Application Risk Profile), basierend auf der Bedeutung des Systems f\u00fcr das Gesch\u00e4ftsmodell. Darauf aufbauend kann dann eine konkrete Bedrohungsanalyse (Threat Modeling) vorgenommen werden. Im Threat Modeling werden die Motivation und M\u00f6glichkeiten von Angreifern systematisch untersucht. Wird die eigene Bedrohungssituation genau verstanden, k\u00f6nnen auch passende Gegenma\u00dfnahmen festgelegt werden.<\/p>\n<p>Im Bereich Security Requirements geht es zum einen um die Festlegung ganz grunds\u00e4tzlicher Sicherheitsanforderungen und deren Integration in die Implementierungsprozesse. Au\u00dferdem behandelt OWASP SAMM hier die Anforderungen an Third-Party-Software und Dienstleister.<\/p>\n<p>Zuletzt wird der Bereich Architektur betrachtet. OWASP SAMM fordert hier gemeinsame Sicherheitsprinzipien, zentralisierte Security-Services und die Evaluierung und gegebenenfalls Vereinheitlichung von Tech-Stacks.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Sichere-Implementierung\"><\/span>Sichere Implementierung<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Die Business Function \u201eImplementation\u201c befasst sich mit der sicheren Umsetzung von Software auf Code- und Build-Ebene. Ein zentrales Thema ist die Verwendung sicherer Entwicklungspraktiken. Dabei geht es nicht nur um das Vermeiden klassischer Schwachstellen wie SQL Injection oder XSS, sondern auch um das Aufstellen und Einhalten interner Codestandards, die Sicherheitsaspekte systematisch ber\u00fccksichtigen. OWASP SAMM adressiert zudem Build- und Deployment-Prozesse: Diese sollten f\u00fcr Level 1 mindestens formalisiert, f\u00fcr Level 2 sogar automatisiert sein. Das Ziel ist, dass nur reproduzierbar gepr\u00fcfter, freigegebener Code produktiv geht.<\/p>\n<p>Ein weiterer Fokus liegt auf dem Umgang mit Abh\u00e4ngigkeiten zu Drittsystemen und Open-Source-Komponenten. Hier gilt es, bekannte Schwachstellen fr\u00fchzeitig zu identifizieren und systematisch zu beheben. Dazugeh\u00f6rt schon in Level 1 die Erstellung einer Software Bill of Materials (SBOM) und der Einsatz von Dependency-Scanning-Tools ebenso wie sp\u00e4ter klare Richtlinien f\u00fcr den Einsatz externer Bibliotheken.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Testen-auf-Security\"><\/span>Testen auf Security<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Die vierte Business Function \u201eVerification\u201c umfasst alle sicherheitsrelevanten Testaktivit\u00e4ten, mit denen die Umsetzung der Sicherheitsanforderungen und die Resilienz der Anwendung sichergestellt wird.<\/p>\n<p>Ein wichtiger Bestandteil ist die Pr\u00fcfung des Designs auf Architekturebene \u2013 etwa durch Security-Architecture-Reviews oder gezielte Untersuchung auf Designfehler, die sich nicht \u00fcber klassische Tests abbilden lassen.<\/p>\n<p>Dar\u00fcber hinaus geht es auch darum, ob und wie gut Anforderungen an Sicherheit \u00fcberhaupt getestet werden. Auch hier kn\u00fcpft SAMM an die Aktivit\u00e4ten aus der Designphase an und fordert die \u00dcberpr\u00fcfung dort definierter Sicherheitsanforderungen und das Ableiten passender Testf\u00e4lle auf die definierten Bedrohungsszenarien.<\/p>\n<p>Schlie\u00dflich betrachtet OWASP SAMM die Durchf\u00fchrung sicherheitsfokussierter Testmethoden wie statische Codeanalyse, dynamische Tests (z. B. mit DAST-Tools) oder Fuzzing. Das Ziel ist, potenzielle Schwachstellen m\u00f6glichst fr\u00fch zu erkennen und zu beseitigen. In Level 1 geschieht das unregelm\u00e4\u00dfig und nach Best Effort, f\u00fcr Level 2 dann umfangreicher und systematisch.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Sicherer-Betrieb\"><\/span>Sicherer Betrieb<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Die letzte Business Function \u201eOperations\u201c besch\u00e4ftigt sich mit der Absicherung der Software im laufenden Betrieb \u2013 sowohl organisatorisch als auch technisch.<\/p>\n<p>Ein zentrales Thema ist dabei Incident-Management: Die Teams sollten in der Lage sein, Sicherheitsvorf\u00e4lle schnell zu erkennen, einzuordnen und kontrolliert zu bew\u00e4ltigen. Dazu geh\u00f6ren auf Level 1 ein einfaches Logging und Monitoring, auf Level 2 klare Prozesse, definierte Szenarien mit Zust\u00e4ndigkeiten und regelm\u00e4\u00dfige \u00dcbungen.<\/p>\n<p>Ein weiterer Baustein ist das Environment-Management. Hier geht es um die sichere Konfiguration und den Betrieb der Systemumgebungen, insbesondere auch um Prozesse zum Updaten der Systeme. In Level 1 kann das noch gelegentlich geschehen, solange zumindest ein \u00dcberblick \u00fcber die verwendeten Versionen besteht. Auf Level 2 m\u00fcssen dann Prozesse aufgestellt werden, die externe Informationen ber\u00fccksichtigen und Priorisierungen vornehmen.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Kontinuierliche-Software-Security\"><\/span>Kontinuierliche Software-Security<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Egal ob Threat Modeling, Dependency Updates oder Sicherheitstest: Security-Aktivit\u00e4ten sind keine einmaligen Tasks, die dann f\u00fcr immer abgehakt werden. Sie m\u00fcssen kontinuierlich durchgef\u00fchrt und daf\u00fcr in den Entwicklungsalltag integriert werden. Das OWASP SAMM fordert hier oft nur \u201eregelm\u00e4\u00dfige\u201c Aktivit\u00e4ten, die passende Auslegung ist h\u00e4ufig eine Herausforderung.<\/p>\n<p>Hierf\u00fcr empfehlen sich zwei grunds\u00e4tzliche Vorgehensweisen: eine periodische Durchf\u00fchrung von Aktivit\u00e4ten (Kasten: \u201ePeriodische Aktivit\u00e4ten\u201c) oder das Triggern von Aktivit\u00e4ten durch andere Prozessschritte (Kasten: \u201eTrigger-Aktivit\u00e4ten\u201c).<\/p>\n<p class=\"western\"><strong><span style=\"font-family: Atkinson Hyperlegible, serif;\"><span lang=\"en-US\">Beispiele f\u00fcr periodische Aktivit\u00e4ten:<\/span><\/span><\/strong><\/p>\n<ul>\n<li>\n<p class=\"western\"><span style=\"font-family: Atkinson Hyperlegible, serif;\"><span lang=\"en-US\">Einmal t\u00e4glich: Blick auf die Schwachstellen in Abh\u00e4ngigkeiten<\/span><\/span><\/p>\n<\/li>\n<li>\n<p class=\"western\"><span style=\"font-family: Atkinson Hyperlegible, serif;\"><span lang=\"en-US\">Einmal w\u00f6chentlich: Triage von Findings aus Schwachstellenscan<\/span><\/span><\/p>\n<\/li>\n<li>\n<p class=\"western\"><span style=\"font-family: Atkinson Hyperlegible, serif;\"><span lang=\"en-US\">Einmal monatlich: Update des \u00fcbergreifenden Threat Models<\/span><\/span><\/p>\n<\/li>\n<li>\n<p class=\"western\"><span style=\"font-family: Atkinson Hyperlegible, serif;\"><span lang=\"en-US\">Einmal j\u00e4hrlich: Externer Pentest<\/span><\/span><\/p>\n<\/li>\n<\/ul>\n<p>Das sind selbstverst\u00e4ndlich nur Vorschl\u00e4ge zur Frequenz dieser Aktivit\u00e4t. Komplexe Produkte mit sensiblen Daten erfordern vielleicht h\u00e4ufigere Tests, w\u00e4hrend rein interne Anwendungen einen geringeren Schutzbedarf haben.<\/p>\n<p>Ein anderer Ansatz kann es sein, Security-Ma\u00dfnahmen an bestehende Prozesse anzukn\u00fcpfen. Durch die Verbindung mit etablierten Aktivit\u00e4ten f\u00e4llt es leichter, an die Sicherheit zu denken. Hierf\u00fcr bedarf es passender Trigger, die klar definiert und bereits im Entwicklungsprozess verankert sind. Im besten Fall kann so \u00fcber die Zeit eine echte Gewohnheit entstehen.<\/p>\n<p class=\"western\"><strong><span style=\"font-family: Atkinson Hyperlegible, serif;\"><span lang=\"en-US\">Beispiele f\u00fcr Trigger-Aktivit\u00e4ten:<\/span><\/span><\/strong><\/p>\n<ul>\n<li>\n<p class=\"western\"><span style=\"font-family: Atkinson Hyperlegible, serif;\"><span lang=\"en-US\">Statische Code-Analyse f\u00fcr jeden neuen Commit<\/span><\/span><\/p>\n<\/li>\n<li>\n<p class=\"western\"><span style=\"font-family: Atkinson Hyperlegible, serif;\"><span lang=\"en-US\">Misuse Testcase f\u00fcr jeden Happy Path Test<\/span><\/span><\/p>\n<\/li>\n<li>\n<p class=\"western\"><span style=\"font-family: Atkinson Hyperlegible, serif;\"><span lang=\"en-US\">Threat Modeling f\u00fcr jede neue Story<\/span><\/span><\/p>\n<\/li>\n<li>\n<p class=\"western\"><span style=\"font-family: Atkinson Hyperlegible, serif;\"><span lang=\"en-US\">SBOM-Generierung und \u00dcberpr\u00fcfung f\u00fcr jedes neue Release<\/span><\/span><\/p>\n<\/li>\n<li>\n<p class=\"western\"><span style=\"font-family: Atkinson Hyperlegible, serif;\"><span lang=\"en-US\">Security-Training f\u00fcr jedes neue Teammitglied<\/span><\/span><\/p>\n<\/li>\n<\/ul>\n<p>Diese beiden M\u00f6glichkeiten sind hilfreich, um eine Securityaktivit\u00e4t von \u201egelegentlich, unregelm\u00e4\u00dfig\u201c (SAMM-Level 1) auf \u201eregelm\u00e4\u00dfig, systematisch\u201c (Level 2) zu bringen.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Software-Security-auf-Organisationsebene\"><\/span>Software-Security auf Organisationsebene<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Mit diesen Aktivit\u00e4ten k\u00f6nnen Entwicklungsteams Security in den verschiedenen Projektphasen verankern. In der Praxis sto\u00dfen sie dabei oft auf \u00e4hnliche Fragestellungen und Probleme: Welche Bedrohungslage ist f\u00fcr unsere Dom\u00e4ne relevant? Wie sichern wir unseren Tech-Stack passend ab? Wie konfigurieren wir die passenden Testtools? Es lohnt sich, wenn Organisationen und Unternehmen das \u00fcbergreifend angehen. So k\u00f6nnen Sicherheits\u00fcberlegungen zentral getroffen, einheitliche Tools und Services bereitgestellt und Wissen effizient ausgetauscht werden.<\/p>\n<p>Das ist ein zentraler Gedanke des OWASP SAMM, insbesondere auf den Reifegradstufen zwei und drei und im Speziellen in der gesamten Business Function \u201eGovernance\u201c. Die Aktivit\u00e4ten hier schaffen die Voraussetzungen daf\u00fcr, dass Sicherheit in der Organisation geplant, gesteuert, \u00fcberwacht und weiterentwickelt werden kann. Es geht um das Aufstellen einer Sicherheitsstrategie, klare Richtlinien, messbare Ziele und Schulungen, die die Entwicklungsteams unterst\u00fctzen.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Awareness-und-Training\"><\/span>Awareness und Training<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Sicherheitsbewusstsein beginnt mit dem Verst\u00e4ndnis der Risiken und der eigenen Verantwortung. Durch gezielte Awareness-Ma\u00dfnahmen und rollenspezifische Schulungen wird sichergestellt, dass alle Beteiligten \u2013 von der Entwicklung bis zum Management \u2013 \u00fcber relevante Bedrohungen, sichere Praktiken und geltende Richtlinien informiert sind. Training ist dabei kein einmaliges Event, sondern Teil eines kontinuierlichen Lernprozesses, der mit der Entwicklungstechnologie und Bedrohungslage mitw\u00e4chst. Aus den geplanten Aktivit\u00e4ten und den zust\u00e4ndigen Personen lassen sich so die richtigen Trainings f\u00fcr jede Rolle ausw\u00e4hlen.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Vereinheitlichte-Prozesse\"><\/span>Vereinheitlichte Prozesse<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Security-Entscheidungen sind selten bin\u00e4r. Oft m\u00fcssen Abw\u00e4gungen getroffen, Mittelwege sowie die richtige Balance gefunden werden. Entwicklungsteams fehlt oft der \u00dcberblick \u00fcber das gro\u00dfe Ganze der Sicherheitsaktivit\u00e4ten, und sie haben mit anderen funktionalen und nichtfunktionalen Anforderungen bereits zahlreiche Entscheidungen zu treffen. Um diese Mental Load zu reduzieren und ein einheitliches Sicherheitsniveau herzustellen, sind produkt\u00fcbergreifende \u00dcberlegungen hilfreich. Diese m\u00fcnden in einheitliche Entwicklungsprozesse oder zumindest klare Rahmenbedingungen f\u00fcr die Teams.<\/p>\n<p>OWASP SAMM bietet selbst einen Metarahmen f\u00fcr solche vereinheitlichten Prozesse. Er ist damit gleichzeitig Orientierungs- und Argumentationshilfe. Gegen\u00fcber dem Management eines Unternehmens k\u00f6nnen der etablierte Name und die erprobte Methodik genauso helfen, Akzeptanz und Unterst\u00fctzung zu gewinnen wie gegen\u00fcber den Entwicklungsteams.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Der-richtige-Start-mit-OWASP-SAMM\"><\/span>Der richtige Start mit OWASP SAMM<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Eigentlich zielt SAMM auf ganze Organisationen ab, mit dem Ziel, einheitliche Vergleiche zu erm\u00f6glichen. Doch auch ein einzelnes Entwicklungsteam kann mit OWASP SAMM bereits eine gute Selbsteinsch\u00e4tzung der Reife der eigenen Security-Prozesse erhalten.<\/p>\n<p>Daf\u00fcr ist es notwendig, den Scope passend zu w\u00e4hlen. Zahlreiche Business Functions zielen gerade auf die \u00fcbergreifende Betrachtung von Sicherheitsaktivit\u00e4ten. Deshalb ist es sinnvoll, die Business Functions auf die Bereiche einzuschr\u00e4nken, die das Team selbst verantwortet. Das sind in der Regel mindestens die drei mittleren Bereiche Design, Implementation und Verification. Der \u00fcbergreifende Bereich Governance hingegen ist f\u00fcr einzelne Teams oft nur begrenzt beeinflussbar, oder die beschriebenen Prozesse m\u00fcssen explizit uminterpretiert werden. \u00c4hnliches gilt f\u00fcr den Bereich Operations: Wenn das Team dem DevOps-Gedanken folgt und auch f\u00fcr den Betrieb verantwortlich ist, kann auch hier angesetzt werden. Ansonsten ist eine Einsch\u00e4tzung selbstverst\u00e4ndlich auch, eine Verbesserung aber nur eingeschr\u00e4nkt m\u00f6glich.<\/p>\n<p>Mit ein wenig Flexibilit\u00e4t in der Auslegung der Formulierung kann das Entwicklungsteam so aber einen guten \u00dcberblick \u00fcber die relevanten Bereiche bekommen und eine Beurteilung des eigenen Reifegrads erhalten.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"OWASP-SAMM-organisationsweit-einfuehren\"><\/span>OWASP SAMM organisationsweit einf\u00fchren<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Seine St\u00e4rken spielt OWASP SAMM dann aus, wenn es die Sicherheitsaktivit\u00e4ten f\u00fcr eine ganze Organisation strukturiert. Das Modell bietet dann einen strukturierten und praxisnahen Rahmen, um Sicherheit systematisch in den gesamten Softwarelebenszyklus einer Organisation zu integrieren. Anders als punktuelle Ma\u00dfnahmen oder technische Einzeltools betrachtet SAMM das gro\u00dfe Ganze. Besonders hilfreich ist die Kombination aus Flexibilit\u00e4t und Struktur: Jedes Team kann dort starten, wo es steht, und sich schrittweise weiterentwickeln \u2013 mit einer Roadmap, die auf konkrete Risiken und Ressourcen abgestimmt ist.<\/p>\n<p>Die Einf\u00fchrung von OWASP SAMM beginnt mit einer Istanalyse: In einem Assessment wird erhoben, wie gut sicherheitsrelevante Praktiken in den verschiedenen Bereichen des Softwareentwicklungsprozesses bereits umgesetzt sind \u2013 von der Governance \u00fcber Design und Implementierung bis hin zu Testing und Betrieb. Dabei steht nicht die Bewertung einzelner Personen oder Teams im Fokus, sondern das gemeinsame Verst\u00e4ndnis des aktuellen Stands. Das OWASP-SAMM-Projekt bietet hierf\u00fcr zahlreiche Ressourcen und Tools, unter anderem eine Toolbox, mit der das Assessment vereinfacht werden kann. Empfohlen wird trotzdem ein zentralisiertes Assessment, etwa durch ein Security-Department, um eine Vergleichbarkeit zu gew\u00e4hrleisten. Ein Self-Assessment der Teams birgt die Gefahr unterschiedlicher Interpretationen.<\/p>\n<p>Im Anschluss wird ein Zielreifegrad definiert \u2013 abgestimmt auf gesch\u00e4ftliche Anforderungen, regulatorische Rahmenbedingungen und vorhandene Ressourcen. Klassischerweise ist das zun\u00e4chst Level 1. Das muss nicht zwingend in jedem Bereich gleichzeitig angestrebt werden. Vielmehr geht es darum, eine sinnvolle Zielsetzung zu finden, die zur Organisation, zur bestehenden Prozessreife und zu den Einflussm\u00f6glichkeiten der Teams passt.<\/p>\n<p>Aus dem Vergleich von Ist- und Zielzustand entsteht eine Roadmap zur Verbesserung: Sie benennt konkrete Ma\u00dfnahmen, priorisiert sie nach Aufwand und Wirkung und gibt Orientierung f\u00fcr die Umsetzung in der Praxis. Je nach Ausgangslage k\u00f6nnen erste Schritte schnell umsetzbar sein \u2013 etwa die Einf\u00fchrung strukturierter Threat-Modeling-Workshops oder die verbindliche Integration von Dependency-Scannern in den Build-Prozess.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Umsetzung-der-Massnahmen\"><\/span>Umsetzung der Ma\u00dfnahmen<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Im weiteren Verlauf werden die definierten Ma\u00dfnahmen schrittweise umgesetzt und organisatorisch begleitet. Entscheidend ist dabei, dass Sicherheit nicht als zus\u00e4tzlicher Ballast empfunden wird, sondern als Teil eines professionellen Entwicklungsprozesses. Daf\u00fcr m\u00fcssen die einzelnen Aktivit\u00e4ten passend auf die bestehenden Rollen verteilt und auch neue Rollen etabliert werden, beispielsweise Security-Champions. Diese fungieren als Bindeglied zwischen dem Security-Department und den Entwicklungsteams.<\/p>\n<p>Neben passenden Schulungen f\u00fcr diese Rollen bieten Vorlagen und Leitlinien eine wichtige Unterst\u00fctzung f\u00fcr die Entwicklungsteams. Sollen die Teams individuelle Sicherheitsanforderungen aufstellen, so helfen konkrete Templates mit Vorschl\u00e4gen als Orientierung. Sollen die Teams Tooling f\u00fcr Security-Tests integrieren, sind zentral bereitgestellte L\u00f6sungen hilfreich.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Messbarkeit-und-Verbesserungen\"><\/span>Messbarkeit und Verbesserungen<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Ein zentraler Gedanke von SAMM ist die kontinuierliche Verbesserung: Durch passende Metriken lassen sich Fortschritte messen, neue Ziele setzen und Ma\u00dfnahmen anpassen. Neben den direkten Reifegraden nach OWASP SAMM lassen sich weitere Metriken aufstellen. Empfohlen wird die Messung von Aufwand, Ergebnissen und Rahmenbedingungen.<\/p>\n<p>Gerade f\u00fcr den Anfang gilt: Diese Metriken sollten ohne gro\u00dfen Aufwand erhebbar sein, im besten Fall sogar schon vorliegen und nur noch eingesammelt werden.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-large wp-image-64125\" src=\"https:\/\/www.inovex.de\/wp-content\/uploads\/Metriken-1024x487.png\" alt=\"Arten von Metriken: Aufwand Welchen Umfang haben unsere Security-Aktivit\u00e4ten? Anzahl von Pentests, Stundenzahl f\u00fcr Trainings, Kosten f\u00fcr Security Tooling Ergebnisse Welche Resultate haben die Aktivit\u00e4ten? Zahl an Findings, H\u00e4ufigkeit von Schwachstellen, Kosten f\u00fcr Sicherheitsl\u00fccken Rahmen In welcher Umgebung f\u00fchren wir die Aktivit\u00e4ten durch? Anzahl der Anwendungen, Zahl der Entwickelnden, Gr\u00f6\u00dfe der Infrastruktur\" width=\"640\" height=\"304\" srcset=\"https:\/\/www.inovex.de\/wp-content\/uploads\/Metriken-1024x487.png 1024w, https:\/\/www.inovex.de\/wp-content\/uploads\/Metriken-300x143.png 300w, https:\/\/www.inovex.de\/wp-content\/uploads\/Metriken-768x366.png 768w, https:\/\/www.inovex.de\/wp-content\/uploads\/Metriken-1536x731.png 1536w, https:\/\/www.inovex.de\/wp-content\/uploads\/Metriken-400x190.png 400w, https:\/\/www.inovex.de\/wp-content\/uploads\/Metriken-360x171.png 360w, https:\/\/www.inovex.de\/wp-content\/uploads\/Metriken.png 1899w\" sizes=\"auto, (max-width: 640px) 100vw, 640px\" \/><\/p>\n<p>In der Gesamtschau (Aufwand vs. Ergebnisse im gegebenen Rahmen) k\u00f6nnen so Entwicklungen beobachtet werden. In der Realit\u00e4t ben\u00f6tigt es aber einige Zeit, bis echte Trends erkennbar sind. Umso wichtiger ist eine fr\u00fche, konsistente Erhebung der Zahlen, um sp\u00e4ter Erkenntnisse ziehen zu k\u00f6nnen. So kann Sicherheit nicht als einmaliges Projekt, sondern als lernender, nachhaltiger Prozess verankert werden.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Die-Rolle-einer-zentralisierten-Security\"><\/span>Die Rolle einer zentralisierten Security<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Sicherheit l\u00e4sst sich durch spezialisierte Services gezielt unterst\u00fctzen, etwa durch automatisierte Codeanalysen mit zentral bereitgestellten Tools, Threat-Modeling-Workshops, Dokumentation zu h\u00e4ufigen Architekturfragen oder bereitgestellten Vorlagen f\u00fcr die Incident-Response-Unterst\u00fctzung. Diese Security-Services entlasten Produktteams, b\u00fcndeln Know-how und sorgen f\u00fcr Konsistenz in der Umsetzung. Wichtig ist, dass sie fr\u00fchzeitig eingebunden, gut erreichbar und an den Entwicklungsalltag angepasst sind \u2013 als Partner, nicht als Kontrollinstanz. Oft haben einzelne Teams schon funktionierende L\u00f6sungen, die nur noch f\u00fcr die Gemeinschaft generalisiert und bereitgestellt werden m\u00fcssen.<\/p>\n<p>Die Einf\u00fchrung von OWASP SAMM sollte nicht als reines Security-Projekt verstanden werden, sondern als organisationsweiter Ver\u00e4nderungsprozess. Damit dieser gelingt, ist eine transparente, kontinuierliche Kommunikation zentral, insbesondere gegen\u00fcber den Entwicklungsteams, die viele der Ma\u00dfnahmen unmittelbar betreffen.<\/p>\n<p>Bereits zu Beginn sollte klar vermittelt werden, warum SAMM eingef\u00fchrt wird: nicht als Kontrolle, sondern um langfristig mehr Sicherheit mit weniger Reibungsverlust zu erreichen. Dabei hilft es, Risiken und Ziele aus der Perspektive der Produktverantwortung zu erkl\u00e4ren. Wie hilft es uns, Ausfallzeiten zu vermeiden? Was bedeutet das f\u00fcr die eigentliche Featureentwicklung? Wie kommen wir vom Feuerl\u00f6schen in planvolles Handeln? Schon vom initialen Assessment an ist das wichtig. Fr\u00fchzeitig eingebundene Teams f\u00fchlen sich nicht bewertet, sondern geh\u00f6rt und beteiligt.<\/p>\n<p>Im Anschluss sollte die Roadmap nicht einfach \u201evon oben herab\u201c festgelegt und ausgerollt werden. Stattdessen empfiehlt es sich, Pilotbereiche oder engagierte Teams zu identifizieren, mit denen erste Verbesserungen erprobt werden k\u00f6nnen. Erfolgsgeschichten aus diesen Bereichen \u2013 etwa ein besser automatisiertes Patchmanagement oder strukturierteres Threat Modeling \u2013 k\u00f6nnen dann als positive Narrative in die Breite kommuniziert und optimalerweise auch direkt \u00fcbertragen werden.<\/p>\n<p>Nicht zuletzt braucht es sichtbares Leadership Commitment: Wenn F\u00fchrungskr\u00e4fte Sicherheit zur Priorit\u00e4t erkl\u00e4ren \u2013 auch bei Featuredruck \u2013 und sich aktiv f\u00fcr die Umsetzung der SAMM-Roadmap einsetzen, schafft das Vertrauen und Orientierung.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"OWASP-SAMM-und-zukuenftige-Regulatorik\"><\/span>OWASP SAMM und zuk\u00fcnftige Regulatorik<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Mit dem eingangs angesprochenen Cyber Resilience Act (CRA) zeichnet sich ein regulatorischer Wandel ab, der die sichere Softwareentwicklung von der freiwilligen Best Practice zur verbindlichen Pflicht macht. Hersteller digitaler Produkte m\u00fcssen k\u00fcnftig nachweisen, dass sie Security by Design und Security by Default entlang des gesamten Produktlebenszyklus umsetzen.<\/p>\n<p>OWASP SAMM bietet hierf\u00fcr einen praxiserprobten Bezugsrahmen. Die einzelnen Security-Practices des Modells decken bereits zentrale Anforderungen des CRA ab, darunter Risikobewertungen, sichere Entwicklungsprozessschritte, Schwachstellenmanagement, Dokumentation und Incident Handling. Unternehmen, die SAMM bereits nutzen, schaffen damit eine nachvollziehbare Struktur, um Sicherheitsma\u00dfnahmen nicht nur umzusetzen, sondern auch zu dokumentieren und im Rahmen von Audits oder Konformit\u00e4tsbewertungen belegen zu k\u00f6nnen.<\/p>\n<p>Besonders relevant wird SAMM dort, wo der CRA organisatorische und prozessuale Sicherheitspflichten fordert. So hilft etwa die Practice \u201eSecurity Requirements\u201c beim formalen Nachweis sicherheitsrelevanter Anforderungen, w\u00e4hrend \u201eOperational Management\u201c die kontinuierliche \u00dcberwachung und Pflege sicherheitskritischer Systeme adressiert.<\/p>\n<p>Insgesamt kann SAMM als \u00dcbersetzungswerkzeug dienen: Es erm\u00f6glicht, technische und organisatorische Sicherheitsma\u00dfnahmen in eine Form zu bringen, die regulatorisch anschlussf\u00e4hig ist \u2013 ohne den Entwicklungsteams unn\u00f6tige B\u00fcrokratie aufzub\u00fcrden. Angesichts der kommenden regulatorischen Anforderungen ist OWASP SAMM damit nicht nur ein Reifegradmodell, sondern ein strategisches Werkzeug, um Sicherheit in Einklang mit rechtlichen Pflichten, operativer Umsetzbarkeit und wirtschaftlichen Zielen zu bringen.<\/p>\n<\/div>\n<p>&nbsp;<\/p>\n<p><em>Dieser Artikel erschien zuerst im Java Magazin Ausgabe 9.25.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Mit dem bevorstehenden Cyber Resilience Act (CRA) r\u00fcckt das Thema \u201esichere Softwareentwicklung\u201c wieder einmal mehr ins Rampenlicht. Doch auch abseits von Regulatorik lohnt sich eine Besch\u00e4ftigung f\u00fcr Teams und Unternehmen. Warum das wertvoll ist und wie passgenaue Security m\u00f6glich ist, erl\u00e4utert dieser Artikel.<\/p>\n","protected":false},"author":274,"featured_media":64187,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"inline_featured_image":false,"ep_exclude_from_search":false,"footnotes":""},"tags":[],"service":[879],"coauthors":[{"id":274,"display_name":"Clemens H\u00fcbner","user_nicename":"chuebner"}],"class_list":["post-64113","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","service-security"],"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.6 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>Security von Anfang an integrieren mit OWASP SAMM - inovex GmbH<\/title>\n<meta name=\"description\" content=\"Mit dem Cyber Resilience Act r\u00fcckt das Thema \u201csichere Softwareentwicklung\u201d mehr ins Rampenlicht. Der Artikel zeigt, wie passgenaue Security m\u00f6glich ist.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Security von Anfang an integrieren mit OWASP SAMM - inovex GmbH\" \/>\n<meta property=\"og:description\" content=\"Mit dem Cyber Resilience Act r\u00fcckt das Thema \u201csichere Softwareentwicklung\u201d mehr ins Rampenlicht. Der Artikel zeigt, wie passgenaue Security m\u00f6glich ist.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/\" \/>\n<meta property=\"og:site_name\" content=\"inovex GmbH\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/inovexde\" \/>\n<meta property=\"article:published_time\" content=\"2025-09-30T07:32:42+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-10-24T07:04:48+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.inovex.de\/wp-content\/uploads\/OWASP_SAMM.png\" \/>\n\t<meta property=\"og:image:width\" content=\"1500\" \/>\n\t<meta property=\"og:image:height\" content=\"880\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Clemens H\u00fcbner\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:image\" content=\"https:\/\/www.inovex.de\/wp-content\/uploads\/OWASP_SAMM-1024x601.png\" \/>\n<meta name=\"twitter:creator\" content=\"@inovexgmbh\" \/>\n<meta name=\"twitter:site\" content=\"@inovexgmbh\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"Clemens H\u00fcbner\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"17\u00a0Minuten\" \/>\n\t<meta name=\"twitter:label3\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data3\" content=\"Clemens H\u00fcbner\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/www.inovex.de\\\/de\\\/blog\\\/security-von-anfang-an-integrieren-mit-owasp-samm\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.inovex.de\\\/de\\\/blog\\\/security-von-anfang-an-integrieren-mit-owasp-samm\\\/\"},\"author\":{\"name\":\"Clemens H\u00fcbner\",\"@id\":\"https:\\\/\\\/www.inovex.de\\\/de\\\/#\\\/schema\\\/person\\\/b3c8fd3215c36127a8d63c7d71f77ec3\"},\"headline\":\"Security von Anfang an integrieren mit OWASP SAMM\",\"datePublished\":\"2025-09-30T07:32:42+00:00\",\"dateModified\":\"2025-10-24T07:04:48+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/www.inovex.de\\\/de\\\/blog\\\/security-von-anfang-an-integrieren-mit-owasp-samm\\\/\"},\"wordCount\":3427,\"commentCount\":0,\"publisher\":{\"@id\":\"https:\\\/\\\/www.inovex.de\\\/de\\\/#organization\"},\"image\":{\"@id\":\"https:\\\/\\\/www.inovex.de\\\/de\\\/blog\\\/security-von-anfang-an-integrieren-mit-owasp-samm\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.inovex.de\\\/wp-content\\\/uploads\\\/OWASP_SAMM.png\",\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\\\/\\\/www.inovex.de\\\/de\\\/blog\\\/security-von-anfang-an-integrieren-mit-owasp-samm\\\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/www.inovex.de\\\/de\\\/blog\\\/security-von-anfang-an-integrieren-mit-owasp-samm\\\/\",\"url\":\"https:\\\/\\\/www.inovex.de\\\/de\\\/blog\\\/security-von-anfang-an-integrieren-mit-owasp-samm\\\/\",\"name\":\"Security von Anfang an integrieren mit OWASP SAMM - inovex GmbH\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.inovex.de\\\/de\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/www.inovex.de\\\/de\\\/blog\\\/security-von-anfang-an-integrieren-mit-owasp-samm\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/www.inovex.de\\\/de\\\/blog\\\/security-von-anfang-an-integrieren-mit-owasp-samm\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.inovex.de\\\/wp-content\\\/uploads\\\/OWASP_SAMM.png\",\"datePublished\":\"2025-09-30T07:32:42+00:00\",\"dateModified\":\"2025-10-24T07:04:48+00:00\",\"description\":\"Mit dem Cyber Resilience Act r\u00fcckt das Thema \u201csichere Softwareentwicklung\u201d mehr ins Rampenlicht. Der Artikel zeigt, wie passgenaue Security m\u00f6glich ist.\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/www.inovex.de\\\/de\\\/blog\\\/security-von-anfang-an-integrieren-mit-owasp-samm\\\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/www.inovex.de\\\/de\\\/blog\\\/security-von-anfang-an-integrieren-mit-owasp-samm\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.inovex.de\\\/de\\\/blog\\\/security-von-anfang-an-integrieren-mit-owasp-samm\\\/#primaryimage\",\"url\":\"https:\\\/\\\/www.inovex.de\\\/wp-content\\\/uploads\\\/OWASP_SAMM.png\",\"contentUrl\":\"https:\\\/\\\/www.inovex.de\\\/wp-content\\\/uploads\\\/OWASP_SAMM.png\",\"width\":1500,\"height\":880,\"caption\":\"Grafik von drei Personen, die um einen Tisch verteilt arbeiten mit Datengraphen im Hintergrund.\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/www.inovex.de\\\/de\\\/blog\\\/security-von-anfang-an-integrieren-mit-owasp-samm\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\\\/\\\/www.inovex.de\\\/de\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Security von Anfang an integrieren mit OWASP SAMM\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/www.inovex.de\\\/de\\\/#website\",\"url\":\"https:\\\/\\\/www.inovex.de\\\/de\\\/\",\"name\":\"inovex GmbH\",\"description\":\"\",\"publisher\":{\"@id\":\"https:\\\/\\\/www.inovex.de\\\/de\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/www.inovex.de\\\/de\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/www.inovex.de\\\/de\\\/#organization\",\"name\":\"inovex GmbH\",\"url\":\"https:\\\/\\\/www.inovex.de\\\/de\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.inovex.de\\\/de\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/www.inovex.de\\\/wp-content\\\/uploads\\\/2021\\\/03\\\/inovex-logo-16-9-1.png\",\"contentUrl\":\"https:\\\/\\\/www.inovex.de\\\/wp-content\\\/uploads\\\/2021\\\/03\\\/inovex-logo-16-9-1.png\",\"width\":1921,\"height\":1081,\"caption\":\"inovex GmbH\"},\"image\":{\"@id\":\"https:\\\/\\\/www.inovex.de\\\/de\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/www.facebook.com\\\/inovexde\",\"https:\\\/\\\/x.com\\\/inovexgmbh\",\"https:\\\/\\\/www.instagram.com\\\/inovexlife\\\/\",\"https:\\\/\\\/www.linkedin.com\\\/company\\\/inovex\",\"https:\\\/\\\/www.youtube.com\\\/channel\\\/UC7r66GT14hROB_RQsQBAQUQ\"]},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/www.inovex.de\\\/de\\\/#\\\/schema\\\/person\\\/b3c8fd3215c36127a8d63c7d71f77ec3\",\"name\":\"Clemens H\u00fcbner\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.inovex.de\\\/wp-content\\\/uploads\\\/cropped-PortraitNeuesLogo2_sq_1000-96x96.png9cdf946c4230de48e4c9b9b813ad1c6a\",\"url\":\"https:\\\/\\\/www.inovex.de\\\/wp-content\\\/uploads\\\/cropped-PortraitNeuesLogo2_sq_1000-96x96.png\",\"contentUrl\":\"https:\\\/\\\/www.inovex.de\\\/wp-content\\\/uploads\\\/cropped-PortraitNeuesLogo2_sq_1000-96x96.png\",\"caption\":\"Clemens H\u00fcbner\"},\"url\":\"https:\\\/\\\/www.inovex.de\\\/de\\\/blog\\\/author\\\/chuebner\\\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Security von Anfang an integrieren mit OWASP SAMM - inovex GmbH","description":"Mit dem Cyber Resilience Act r\u00fcckt das Thema \u201csichere Softwareentwicklung\u201d mehr ins Rampenlicht. Der Artikel zeigt, wie passgenaue Security m\u00f6glich ist.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/","og_locale":"de_DE","og_type":"article","og_title":"Security von Anfang an integrieren mit OWASP SAMM - inovex GmbH","og_description":"Mit dem Cyber Resilience Act r\u00fcckt das Thema \u201csichere Softwareentwicklung\u201d mehr ins Rampenlicht. Der Artikel zeigt, wie passgenaue Security m\u00f6glich ist.","og_url":"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/","og_site_name":"inovex GmbH","article_publisher":"https:\/\/www.facebook.com\/inovexde","article_published_time":"2025-09-30T07:32:42+00:00","article_modified_time":"2025-10-24T07:04:48+00:00","og_image":[{"width":1500,"height":880,"url":"https:\/\/www.inovex.de\/wp-content\/uploads\/OWASP_SAMM.png","type":"image\/png"}],"author":"Clemens H\u00fcbner","twitter_card":"summary_large_image","twitter_image":"https:\/\/www.inovex.de\/wp-content\/uploads\/OWASP_SAMM-1024x601.png","twitter_creator":"@inovexgmbh","twitter_site":"@inovexgmbh","twitter_misc":{"Verfasst von":"Clemens H\u00fcbner","Gesch\u00e4tzte Lesezeit":"17\u00a0Minuten","Written by":"Clemens H\u00fcbner"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/#article","isPartOf":{"@id":"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/"},"author":{"name":"Clemens H\u00fcbner","@id":"https:\/\/www.inovex.de\/de\/#\/schema\/person\/b3c8fd3215c36127a8d63c7d71f77ec3"},"headline":"Security von Anfang an integrieren mit OWASP SAMM","datePublished":"2025-09-30T07:32:42+00:00","dateModified":"2025-10-24T07:04:48+00:00","mainEntityOfPage":{"@id":"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/"},"wordCount":3427,"commentCount":0,"publisher":{"@id":"https:\/\/www.inovex.de\/de\/#organization"},"image":{"@id":"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/#primaryimage"},"thumbnailUrl":"https:\/\/www.inovex.de\/wp-content\/uploads\/OWASP_SAMM.png","inLanguage":"de","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/","url":"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/","name":"Security von Anfang an integrieren mit OWASP SAMM - inovex GmbH","isPartOf":{"@id":"https:\/\/www.inovex.de\/de\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/#primaryimage"},"image":{"@id":"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/#primaryimage"},"thumbnailUrl":"https:\/\/www.inovex.de\/wp-content\/uploads\/OWASP_SAMM.png","datePublished":"2025-09-30T07:32:42+00:00","dateModified":"2025-10-24T07:04:48+00:00","description":"Mit dem Cyber Resilience Act r\u00fcckt das Thema \u201csichere Softwareentwicklung\u201d mehr ins Rampenlicht. Der Artikel zeigt, wie passgenaue Security m\u00f6glich ist.","breadcrumb":{"@id":"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/#primaryimage","url":"https:\/\/www.inovex.de\/wp-content\/uploads\/OWASP_SAMM.png","contentUrl":"https:\/\/www.inovex.de\/wp-content\/uploads\/OWASP_SAMM.png","width":1500,"height":880,"caption":"Grafik von drei Personen, die um einen Tisch verteilt arbeiten mit Datengraphen im Hintergrund."},{"@type":"BreadcrumbList","@id":"https:\/\/www.inovex.de\/de\/blog\/security-von-anfang-an-integrieren-mit-owasp-samm\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/www.inovex.de\/de\/"},{"@type":"ListItem","position":2,"name":"Security von Anfang an integrieren mit OWASP SAMM"}]},{"@type":"WebSite","@id":"https:\/\/www.inovex.de\/de\/#website","url":"https:\/\/www.inovex.de\/de\/","name":"inovex GmbH","description":"","publisher":{"@id":"https:\/\/www.inovex.de\/de\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.inovex.de\/de\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Organization","@id":"https:\/\/www.inovex.de\/de\/#organization","name":"inovex GmbH","url":"https:\/\/www.inovex.de\/de\/","logo":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.inovex.de\/de\/#\/schema\/logo\/image\/","url":"https:\/\/www.inovex.de\/wp-content\/uploads\/2021\/03\/inovex-logo-16-9-1.png","contentUrl":"https:\/\/www.inovex.de\/wp-content\/uploads\/2021\/03\/inovex-logo-16-9-1.png","width":1921,"height":1081,"caption":"inovex GmbH"},"image":{"@id":"https:\/\/www.inovex.de\/de\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/inovexde","https:\/\/x.com\/inovexgmbh","https:\/\/www.instagram.com\/inovexlife\/","https:\/\/www.linkedin.com\/company\/inovex","https:\/\/www.youtube.com\/channel\/UC7r66GT14hROB_RQsQBAQUQ"]},{"@type":"Person","@id":"https:\/\/www.inovex.de\/de\/#\/schema\/person\/b3c8fd3215c36127a8d63c7d71f77ec3","name":"Clemens H\u00fcbner","image":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.inovex.de\/wp-content\/uploads\/cropped-PortraitNeuesLogo2_sq_1000-96x96.png9cdf946c4230de48e4c9b9b813ad1c6a","url":"https:\/\/www.inovex.de\/wp-content\/uploads\/cropped-PortraitNeuesLogo2_sq_1000-96x96.png","contentUrl":"https:\/\/www.inovex.de\/wp-content\/uploads\/cropped-PortraitNeuesLogo2_sq_1000-96x96.png","caption":"Clemens H\u00fcbner"},"url":"https:\/\/www.inovex.de\/de\/blog\/author\/chuebner\/"}]}},"_links":{"self":[{"href":"https:\/\/www.inovex.de\/de\/wp-json\/wp\/v2\/posts\/64113","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.inovex.de\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.inovex.de\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.inovex.de\/de\/wp-json\/wp\/v2\/users\/274"}],"replies":[{"embeddable":true,"href":"https:\/\/www.inovex.de\/de\/wp-json\/wp\/v2\/comments?post=64113"}],"version-history":[{"count":6,"href":"https:\/\/www.inovex.de\/de\/wp-json\/wp\/v2\/posts\/64113\/revisions"}],"predecessor-version":[{"id":64536,"href":"https:\/\/www.inovex.de\/de\/wp-json\/wp\/v2\/posts\/64113\/revisions\/64536"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.inovex.de\/de\/wp-json\/wp\/v2\/media\/64187"}],"wp:attachment":[{"href":"https:\/\/www.inovex.de\/de\/wp-json\/wp\/v2\/media?parent=64113"}],"wp:term":[{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.inovex.de\/de\/wp-json\/wp\/v2\/tags?post=64113"},{"taxonomy":"service","embeddable":true,"href":"https:\/\/www.inovex.de\/de\/wp-json\/wp\/v2\/service?post=64113"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.inovex.de\/de\/wp-json\/wp\/v2\/coauthors?post=64113"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}