Secure by Design als Fundament moderner IT

Moderne IT-Architekturen sind hochvernetzt, verteilt und dynamisch. Sicherheit entsteht dabei nicht durch nachträgliche Kontrollen, sondern durch bewusste Architekturentscheidungen. Secure by Design verankert Sicherheit als Prinzip im Entwurf – über System- und Organisationsgrenzen hinweg.

Moderne IT-Architekturen sind hochvernetzt, verteilt und dynamisch. Cloud-Plattformen, APIs, SaaS-Dienste, KI-Modelle und externe Anbieter bilden gemeinsam digitale Ökosysteme, die geschäftskritische Prozesse tragen. Sicherheit entsteht in diesen Umgebungen nicht durch nachträgliche Kontrollen, sondern durch bewusste Architekturentscheidungen.

Secure by Design verankert Sicherheit als strukturelles Prinzip im Entwurf – über System-, Team- und Organisationsgrenzen hinweg. Nicht als Add-on. Nicht als Tool. Sondern als Eigenschaft des Systems selbst.

Warum klassische Sicherheitsansätze scheitern

Viele Sicherheitsmaßnahmen greifen zu spät:

• Firewalls nach Go-Live

• Monitoring nach dem Vorfall

• Incident Response, wenn Daten bereits abgeflossen sind

Die Realität: Sicherheitsrisiken entstehen nicht primär durch Code, sondern durch Annahmen im Design.

Im November 2025 wurde eines der weltweit bekanntesten KI-Systeme Opfer eines schwerwiegenden Sicherheitsvorfalls: ChatGPT, betrieben von OpenAI und eingebettet in das Microsoft-Ökosystem, war von einem großflächigen Datenleck betroffen. Besonders brisant war dabei nicht nur der Umfang der kompromittierten Informationen – darunter API-bezogene Nutzerdaten wie Namen und E-Mail-Adressen –, sondern vor allem die Ursache des Vorfalls. 

Die Sicherheitslücke lag nicht im Kernsystem von ChatGPT, sondern in einem angebundenen Drittanbieter-Service für Analytics (Mixpanel), dessen Systeme kompromittiert wurden und zur Veröffentlichung entsprechender Datensätzen führten [1]. 

Dieser Vorfall verdeutlicht eindrücklich, wie stark moderne, digitale Architekturen von externen Abhängigkeiten geprägt sind – und wie kritisch Architekturentscheidungen für die Gesamtsicherheit eines Systems sind. 

Das zentrale Risiko lag dabei nicht in einer einzelnen Implementierung, sondern in der architektonischen Einbindung externer Services und den damit verbundenen Vertrauensannahmen.

Der Fall ChatGPT steht exemplarisch für eine Entwicklung, die Unternehmen branchenübergreifend betrifft: IT-Landschaften werden immer komplexer, verteilter und dynamischer. Cloud-Services, APIs, SaaS-Plattformen, KI-Modelle und externe Dienstleister sind tief in geschäftskritische Prozesse integriert. Laut aktuellen Studien steigt die durchschnittliche Angriffsfläche von Unternehmen mit jeder zusätzlichen Cloud-Integration signifikant an [2].

Gleichzeitig erhöhen Time-to-Market-Vorgaben und wirtschaftlicher Druck die Wahrscheinlichkeit, dass Sicherheitsaspekte zugunsten schneller Produktivsetzung zurückgestellt werden [3].

Die wirtschaftlichen Auswirkungen solcher Vorfälle sind erheblich. Der durchschnittliche Schaden eines Datenlecks liegt laut aktuellen Marktanalysen im Millionenbereich. Kosten für Incident Response, regulatorische Strafen, Betriebsunterbrechungen und Reputationsverluste dominieren [4]. Insbesondere Angriffe über die Software-Lieferkette oder Drittanbieter zählen zu den kostenintensivsten Szenarien [5]. 

Vor dem Hintergrund regulatorischer Entwicklungen wie NIS2 oder verschärfter Compliance-Anforderungen wird deutlich: Cyberrisiken sind längst keine rein technischen Risiken mehr, sondern ein zentrales Management- und Governance-Thema [6].

Genau hier setzt das Prinzip Secure by Design an. Anstatt Sicherheitsmechanismen nachträglich zu ergänzen, fordert Secure by Design, Sicherheit als inhärente Eigenschaft eines Systems zu begreifen – gleichrangig mit Funktionalität, Performance und Skalierbarkeit. 

Secure by Design bezeichnet einen architektonischen Ansatz, bei dem Sicherheit nicht additiv umgesetzt, sondern von Beginn an im Entwurf von Architektur, Schnittstellen, Abhängigkeiten und Berechtigungsmodellen verankert wird. Bedrohungen und Schwachstellen werden dadurch strukturell begrenzt, statt erst im Betrieb reaktiv adressiert zu werden.

Frameworks wie das OWASP Secure by Design Framework oder das NIST Secure Software Development Framework (SP 800-218) zeigen, dass frühzeitig adressierte Sicherheitsanforderungen nicht nur Risiken reduzieren, sondern langfristig auch Entwicklungs- und Betriebskosten senken [7][8]. 

Der ChatGPT-Vorfall macht deutlich: Selbst technologisch führende Organisationen sind verwundbar, wenn Sicherheitsaspekte nicht ganzheitlich architektonisch gedacht werden. Secure by Design ist daher kein optionales Best Practice, sondern eine fundamentale Voraussetzung für resiliente, vertrauenswürdige digitale Systeme.

Secure by Design beschreibt keinen einzelnen technischen Mechanismus, sondern einen grundlegenden Denkansatz in der Systemarchitektur. Im Kern geht es darum, Sicherheit nicht als zusätzliche Eigenschaft zu behandeln, die später ergänzt wird, sondern als inhärenten Bestandteil eines Systems, der dessen Struktur, Schnittstellen und Vertrauensgrenzen von Beginn an prägt [2][7]. 

Diese Perspektive gewinnt insbesondere vor dem Hintergrund moderner, hochgradig verteilter IT-Landschaften an Bedeutung.

Digitale Systeme bestehen heute selten aus klar abgegrenzten, monolithischen Anwendungen. Stattdessen dominieren modulare Architekturen mit Microservices, APIs, Cloud-Plattformen und externen Dienstleistern. In solchen Umgebungen entstehen Sicherheitsrisiken nicht isoliert, sondern an den Übergängen: zwischen Komponenten, Verantwortlichkeiten, Identitäten und Organisationen. 

Secure by Design adressiert genau diese strukturellen Risiken, indem Sicherheitsanforderungen bereits beim Entwurf von Datenflüssen, Berechtigungsmodellen und Integrationsmustern berücksichtigt werden [8].

Prävention statt nachgelagerter Kontrolle

Im Unterschied zu klassischen Sicherheitsansätzen, die stark auf nachgelagerte Kontrollen setzen – etwa Firewalls, Monitoring oder Incident Response –, verfolgt Secure by Design einen präventiven Ansatz. Ziel ist es, Fehlkonfigurationen, übermäßige Berechtigungen oder unsichere Standardannahmen gar nicht erst entstehen zu lassen. 

Studien zeigen, dass ein erheblicher Teil erfolgreicher Angriffe nicht auf hochentwickelte Exploits zurückzuführen ist, sondern auf grundlegende Designentscheidungen, die Angreifern unnötige Bewegungsfreiheit verschaffen [5].

Vertrauensannahmen als zentrales Gestaltungselement

Ein zentraler Aspekt von Secure by Design ist die bewusste Gestaltung von Vertrauensannahmen. 

• Welche Komponenten dürfen miteinander kommunizieren? 

• Welche Identitäten erhalten Zugriff auf welche Ressourcen? 

• Welche Daten verlassen das System, und unter welchen Bedingungen? 

Diese Fragen sind nicht nur technischer Natur, sondern haben unmittelbare Auswirkungen auf Skalierbarkeit, Wartbarkeit und regulatorische Nachvollziehbarkeit von Systemen. Architekturen, die diese Aspekte nicht explizit berücksichtigen, entwickeln mit der Zeit eine schwer kontrollierbare Sicherheits- und Komplexitätsschuld, die spätere Anpassungen erheblich verteuert [4].

Trotz steigender Investitionen in Cybersicherheit gelingt es vielen Unternehmen nicht, Sicherheitsmaßnahmen nachhaltig und wirksam in ihre IT-Landschaften zu integrieren. Die Ursachen dafür liegen selten in fehlendem Problembewusstsein, sondern vielmehr in strukturellen und organisatorischen Rahmenbedingungen moderner IT-Umgebungen.

Komplexität verteilter Architekturen

Eine zentrale Herausforderung ist die zunehmende Komplexität digitaler Architekturen. Cloud-Native-Ansätze, Microservices, hybride Betriebsmodelle und eine Vielzahl externer Dienste führen dazu, dass Sicherheitsgrenzen nicht mehr klar definiert sind. Verantwortlichkeiten verteilen sich über mehrere Teams, Plattformen und Dienstleister hinweg. 

In solchen Umgebungen entstehen Sicherheitslücken häufig nicht durch einzelne Fehlentscheidungen, sondern durch das Zusammenspiel vieler kleiner Annahmen, die im Gesamtsystem nicht mehr transparent sind [9].

Zeit- und Innovationsdruck

Hinzu kommt ein erheblicher Zeit- und Innovationsdruck. Neue Produkte und Funktionen werden in immer kürzeren Zyklen entwickelt und ausgerollt. Sicherheitsanforderungen werden dabei oft implizit als Hemmnis wahrgenommen, insbesondere wenn sie erst spät im Entwicklungsprozess adressiert werden. 

Die Folge sind Kompromisse wie temporäre Workarounds, übermäßige Berechtigungen oder unzureichend abgesicherte Schnittstellen, die dauerhaft im System verbleiben [3].

Abhängigkeiten von Drittanbietern

Ein weiterer kritischer Faktor ist die starke Abhängigkeit von Drittanbietern und Software-Lieferketten. Externe Komponenten, APIs und Plattformdienste sind integraler Bestandteil moderner Systeme, entziehen sich jedoch häufig der direkten Kontrolle. 

Aktuelle Analysen zeigen, dass Angriffe über Lieferketten und Drittanbieter zu den folgenschwersten Sicherheitsvorfällen zählen [5].

Organische Silos

Nicht zuletzt erschweren organisatorische Silos eine ganzheitliche Sicherheitsbetrachtung. Architektur, Entwicklung, Betrieb und Compliance verfolgen unterschiedliche Zielsetzungen, Metriken und Zeithorizonte. Sicherheit wird dadurch fragmentiert behandelt – als Aufgabe einzelner Rollen oder Teams, statt als gemeinsame Systemeigenschaft. 

Dies führt langfristig zu einer wachsenden Sicherheits- und Komplexitätsschuld, die spätere Anpassungen erheblich verteuert [4].

Diese Herausforderungen machen deutlich: Einzelne Sicherheitsmaßnahmen oder Tools reichen nicht aus, um den steigenden Risiken zu begegnen. Erforderlich ist ein strukturierter Ansatz, der Sicherheit systematisch in Architektur, Prozesse und Governance integriert.

Um Sicherheit wirksam in den Fokus zu rücken, bedarf es eines klaren architektonischen Rahmens. Bestimmte Bausteine haben sich dabei als unverzichtbar erwiesen, um Sicherheitsanforderungen nicht nur umzusetzen, sondern dauerhaft im System zu verankern. Dazu zählen grundlegende Architekturprinzipien, kontinuierliche Sicherheitsanalysen in Form von Reviews und Threat Modeling sowie eine enge Verzahnung von Technik und Governance. Erst das Zusammenspiel dieser Elemente ermöglicht es, Sicherheit als stabile Systemeigenschaft zu etablieren – und nicht als reaktive Maßnahme. Im Folgenden werden diese Bausteine näher betrachtet.

Architekturentscheidungen bestimmen maßgeblich, wie widerstandsfähig ein System gegenüber Angriffen ist. Secure by Design konkretisiert sich daher vor allem in grundlegenden Architekturprinzipien, die unabhängig von Technologie, Plattform oder Branche gelten. Diese Prinzipien wirken nicht isoliert, sondern entfalten ihre Wirkung im Zusammenspiel – insbesondere in komplexen, verteilten Systemlandschaften.

Least Privilege

Identitäten – seien es Nutzer, Services oder Maschinen – erhalten ausschließlich die Rechte, die sie für ihre konkrete Aufgabe benötigen. Überprivilegierte Zugriffe zählen zu den häufigsten Ursachen erfolgreicher Angriffe und erleichtern insbesondere laterale Bewegungen innerhalb kompromittierter Systeme [5].

Defense in Depth

Anstatt sich auf einzelne Schutzmechanismen zu verlassen, werden mehrere Sicherheitsebenen kombiniert, die unabhängig voneinander wirken. Architektur, Identitätsmanagement, Netzwerksegmentierung, Applikationslogik und Monitoring bilden abgestufte Schutzschichten. Dieser Ansatz erhöht nicht nur das Sicherheitsniveau, sondern verbessert auch die Fehlertoleranz des Gesamtsystems [7].

Secure Defaults

Standardeinstellungen spielen eine zentrale Rolle für die Sicherheit moderner Systeme. Restriktive Secure Defaults reduzieren das Risiko unbeabsichtigter Fehlkonfigurationen, insbesondere in dynamischen und automatisierten Umgebungen. Sie stellen sicher, dass neue Komponenten bereits im Ausgangszustand sicher betrieben werden, ohne zusätzliche manuelle Eingriffe zu erfordern [2].

Separation of Duties

Die klare Trennung von Rollen, Verantwortlichkeiten und Funktionen reduziert Missbrauchspotenziale und verhindert, dass kritische Operationen von einzelnen Komponenten oder Identitäten vollständig kontrolliert werden. Dieses Prinzip stärkt Kontrollmechanismen und unterstützt zugleich Auditierbarkeit sowie regulatorische Nachvollziehbarkeit [9].

Diese Architekturprinzipien schaffen gemeinsam die strukturelle Grundlage für Systeme, die Sicherheit nicht erzwingen müssen, sondern sie implizit unterstützen.

Selbst tragfähige Architekturprinzipien entfalten ihre Wirkung nur dann, wenn sie kontinuierlich überprüft und kontextualisiert werden. Secure by Design integriert daher systematische Sicherheitsanalysen direkt in den Entwicklungs- und Architekturprozess.

Security Reviews ermöglichen es, Entwurfsentscheidungen, Implementierungen und Konfigurationen regelmäßig auf Sicherheitsannahmen zu prüfen. Entscheidend ist dabei weniger die punktuelle Kontrolle als vielmehr die Wiederholung über den gesamten Lebenszyklus hinweg. Architekturänderungen, neue Abhängigkeiten oder geänderte Datenflüsse werden so frühzeitig sichtbar, bevor sie sich produktiv verfestigen [5].

Threat Modeling ergänzt diese Reviews um eine strukturierte Perspektive auf potenzielle Angreifer, Angriffspfade und Auswirkungen. Methoden wie STRIDE helfen dabei, Bedrohungen systematisch aus Architekturmodellen abzuleiten und Sicherheitsrisiken im Kontext von Geschäftsprozessen, Datenwerten und Systemabhängigkeiten zu bewerten [10].

Compliance und Governance übernehmen im Secure-by-Design-Ansatz eine verbindende Funktion zwischen Architektur, Betrieb und Unternehmenssteuerung. Standards wie ISO/IEC 27001, ISO/IEC 27034, das NIST Secure Software Development Framework oder regulatorische Vorgaben wie NIS2 formulieren keine konkreten technischen Implementierungen, sondern Anforderungen an Prozesse, Verantwortlichkeiten und Nachvollziehbarkeit [6][7]. 

Quellenangaben

[1] Euronews – OpenAI bestätigt Datenleck bei ChatGPT: Das wissen wir | Euronews | OpenAI confirms ChatGPT data breach. Here is everything we know
[2] OWASP – Secure by Design Framework, 2025
[3] Proceedings of the 55th Hawaii International Conference on System Sciences, 2022
[4] IBM Security – Cost of a Data Breach Report, 2024
[5] Verizon – Data Breach Investigations Report (DBIR), 2024
[6] Europäische Union – NIS2-Richtlinie, 2023
[7] NIST – SP 800-218 Secure Software Development Framework, 2022

[8] ENISA – ENISA Threat Landscape for Supply Chain Attacks
[9] ISO/IEC 27001 & 27034

[10] Microsoft – Threat Modeling Tool & STRIDE Methodology