Moderne Sicherheitsteams stecken zwischen veralteter Software mit bekannten Schwachstellen und zu schneller Automatisierung, die die Gefahr birgt, bösartige oder kompromittierte Software gleich mit zu installieren fest. Das Ergebnis ist eine wachsende Lücke zwischen dem Sicherheitsgefühl vieler Organisationen und dem realen Risiko, das bereits in der Produktion läuft.
Der State of DevSecOps Report 2026 zeigt: Sicherheitsrisiken entstehen zunehmend früher, und zwar dort, wo Software aus vielen Bausteinen und Zulieferungen zusammengesetzt wird.
Datadog, die KI-gestützte Observability- und Sicherheitsplattform für Cloud-Anwendungen, hat seinen aktuellen State of DevSecOps Report veröffentlicht [1]. Demnach haben nahezu neun von zehn Unternehmen (87 %) mindestens eine bekannte, ausnutzbare Schwachstelle in bereitgestellten Services.
Der Bericht zeigt einen breiteren Wandel in der Branche, bei dem Sicherheitsrisiken entlang des gesamten Software-Delivery-Lebenszyklus zunehmen. Da die Entwicklung schneller wird, stärker automatisiert abläuft und sich stärker auf Drittanbieter-Komponenten stützt, wird das Risiko zunehmend durch die Softwarelieferkette und die Tools geprägt, die zum Erstellen und Bereitstellen von Anwendungen verwendet werden, und nicht nur durch den Code, der in der Produktion läuft.
Sicherheitsrisiko nimmt an beiden Enden des Lebenszyklus zu
Einerseits altert Software schneller, als Teams sie aktuell halten können. Die mediane Softwareabhängigkeit, also wie lange die verwendeten Softwarebausteine veraltet sind, liegt inzwischen bei 278 Tagen und damit 63 Tagen mehr als im vergangenen Jahr.
Gleichzeitig beschleunigt Drittanbieter-Software die Entwicklung, bringt jedoch Risiken mit sich, wenn ihr komplett vertraut wird. Die Hälfte der Unternehmen (50 %) übernehmen neue Bibliotheksversionen innerhalb von 24 Stunden nach Veröffentlichung und nur 4 % aller Unternehmen legen GitHub-Actions mithilfe von Commit-Hashes auf eine spezifische Version fest.
Infolgedessen sind Build- und Deployment-Pipelines zunehmend stillen Änderungen in Drittanbieter-Code ausgesetzt, was CI/CD-Systeme zu einem kritischen Supply-Chain-Risiko macht.
»Die Art und Weise, wie Software gebaut wird, hat sich grundlegend verändert, aber Sicherheitspraktiken haben nicht Schritt gehalten«, sagte Andrew Krug, Head of Security Advocacy bei Datadog. »DevSecOps-Teams sitzen zwischen den Stühlen: zu langsam oder zu schnell. Wer langsam vorgeht, sammelt veraltete Software mit bekannten Schwachstellen an. Wer schnell vorgeht, kann durch Automatisierung ungeprüften Code einführen. Die eigentliche Herausforderung ist jedoch nicht nur die Geschwindigkeit, sondern Klarheit. Da Umgebungen immer komplexer werden, helfen KI-gestützte Workflows dabei, sicherzustellen, dass die wichtigsten Prioritäten zuerst Aufmerksamkeit bekommen.«
Warnmeldungsvolumen verdeckt das tatsächliche Risiko
Während die Zahl der Warnmeldungen zu Schwachstellen weiter steigt, zeigt der Bericht auch, dass die meisten kein unmittelbares Geschäftsrisiko darstellen. Nur 18 % der als »kritisch« eingestuften Schwachstellen bleiben kritisch, sobald Laufzeitkontext berücksichtigt wird.
»Wenn fast alles als ›kritisch‹ gekennzeichnet ist, ist nichts mehr kritisch«, fügte Krug hinzu. »Teams sind mit einem Rauschen beschäftigt, während Bedrohungen, die ein echtes Risiko darstellen, durchrutschen. Ohne Kontext wird die Priorisierung schwieriger, was zu Burnout, langsameren Reaktionszeiten und angesammeltem Risiko führt. Teams brauchen bessere Transparenz darüber, was tatsächlich Maßnahmen erfordert.«
Lesen Sie den vollständigen Bericht, The State of DevSecOps Report 2026, um zu sehen, wie diese Erkenntnisse moderne Ansätze zur Erkennung, Priorisierung und Behebung von Sicherheitsrisiken prägen.
[1] Datadog analysierte Telemetriedaten aus Zehntausenden von Anwendungen, um Sicherheitsrisiken in modernen Software-Umgebungen zu bewerten, sowie zusätzliche Datensätze, die für spezifische Ergebnisse genutzt wurden. Die Datenbasis ist global. https://www.datadoghq.com/state-of-devsecops/
