Composable Architecture setzt auf Standardanwendungen, die sich über offene Schnittstellen flexibel erweitern lassen, um neue Use Cases dynamisch zu integrieren. Dank Standards erhalten Unternehmen ein starkes Fundament, bei gleichzeitig maximaler Flexibilität durch offene Schnittstellen.
Anstelle eines riesigen, monolithischen Blocks gibt es bei Composable Architecture verschiedene Bauteile, die wie Klemmbausteine miteinander interagieren.
Composable Architecture bringt viele Vorteile. Wir wollen in diesem Beitrag häufig gestellte Fragen in Bezug auf diese Art der Software-Entwicklung beantworten. Einfach ausgedrückt soll Composable Architecture dabei helfen, dass Unternehmen einerseits auf die umfassende Stabilität einer Standard-Software als Basis setzen. Auf der anderen Seite soll diese Software über Schnittstellen so offen wie möglich sein, um eigene Use Cases zu integrieren und die Lösung mit Komponenten zu erweitern.
Composable Architecture findet sich als Design-Konzept in immer mehr Umgebungen. Auch Infrastrukturen mit Microservices und API-gestützte Umgebungen gehen nach diesem Prinzip vor. Anstatt eines riesigen, monolithischen Blocks, gibt es verschiedene Bauteile einer Lösung, die wie Klemmbausteine miteinander interagieren.
Developer erhalten dabei mehr Eigenverantwortung für die Komponenten, die sie entwickeln. Im Idealfall führt das zu mehr Sicherheit, Stabilität und Leistungsfähigkeit. Dabei ist das Konzept an sich nicht neu. Auch Object Oriented Programming macht sich die Idee von kleineren, austauschbaren Komponenten zunutze, die über sogenannte Interfaces angesprochen werden.
Aber selbst, wenn bei der Entwicklung von Quellcode bewährte Verfahren angewendet werden, steht am Ende infrastrukturseitig eine monolithische Produktarchitektur. Heutzutage spricht einiges für Composable Architecture, auch aus Gründen der Skalierungsfähigkeit für einzelne Bestandteile eines Services statt des kompletten Backend. Es gibt allerdings einiges zu beachten.
Wie sicher sind Composable-Architecture-Umgebungen?
Da bei Composable Architecture der Technologie-Stack oder die Geschäftsanwendungen auf Komponenten aufbaut, ist zunächst wichtig, dass jede einzelne Komponente so sicher wie nur möglich ist. Jedes Bauteil sollte nach Best Practices im Rahmen der maximalen Möglichkeiten designt sein. Das erhöht gleichzeitig die Sicherheit der kompletten Lösung und ist ein wichtiger Faktor, um die einzelnen Komponenten zu schützen.
Hinzu kommt die Möglichkeit, Aufgaben zwischen den Komponenten zu delegieren. Auch hier sollte gewährleistet sein, dass Kommunikation und Ablauf der Prozesse so intelligent gelöst sind, dass die Sicherheit auf einem maximalen Stand ist. Die zwischen den Komponenten ablaufenden Prozesse sollten ebenfalls optimal definiert sein, damit zwischen den Teilen der Software nicht versehentlich Interaktionen ablaufen, die nicht beabsichtigt sind.
Bei der Implementation kommt es darauf an, dass die Software nicht nur aus einem Basis-Teil besteht, sondern aus mehreren Bereichen. Innerhalb der Sicherheits-Strategie des Unternehmens müssen sie sowohl getrennt als auch im Zusammenspiel Berücksichtigung finden.
Entstehen durch das Verbinden von Komponenten Sicherheitslücken?
Der Vorteil bei der Composable Architecture ist, dass die unterschiedlichen Komponenten sehr viel leichter überschaubar und abzusichern sind. Entwickler kennen die einzelnen Bestandteile sehr gut und können so bei der Absicherung optimal mitwirken. Das verringert die Wahrscheinlichkeit von Lücken deutlich, weil keine riesigen Code-Sammlungen entstehen, die einzelne Entwickler kaum mehr durchschauen.
Im Fokus der Composable Architecture steht der API-first-Ansatz. Das heißt, dass sich einzelne Komponenten leicht ersetzen lassen, wenn sie die verwendete API richtig nutzen. Tauchen Sicherheitslücken in einer Komponente auf, kann diese einzelne Komponente leicht ersetzt oder abgesichert werden.
Entwickler sollten die APIs in solchen Architekturen unbedingt so planen, dass Sicherheit und optimale Authentifizierung berücksichtigt werden. Das gilt auch für eine richtig gesteuerte Berechtigungsstruktur. Gelingt es einem Angreifer eine Komponente zu kompromittieren, müssen die anderen Komponenten dennoch geschützt bleiben. Mit der richtigen Planung liegt darin eine der großen Stärken der Composable Architecture.
Was macht Composable Architecture besser als Monolithen?
Composable Architecture fördert die Eigenverantwortung der Entwickler. Es handelt sich dabei nicht nur um das Vermischen von Code oder die Integration kostengünstiger Open-Source-Bestandteile. Die einzelnen Komponenten in der Composable Architecture liegen in der Verantwortung des jeweiligen Entwicklers. Dieser muss dafür sorgen, dass „seine“ Komponenten stabil, leistungsstark und sicher sind. Das bedeutet aber nicht, dass Sicherheit hier ein Selbstläufer ist.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Generell macht Composable Architecture Schluss mit dem Ansatz „Das ist nicht mein Problem, darum müssen sich andere kümmern“. Die Komponente ist in der Verantwortung des jeweiligen Entwicklers und die Sicherheit der Komponente ist eine seiner Aufgaben
Übernehmen Entwickler in einer Composable Architecture mehrere Komponenten, fällt es bei kleineren Bausteinen deutlich leichter, den Überblick behalten. Anders als bei sehr großen Code-Blöcken. Dadurch steigt aber nicht automatisch der Sicherheitslevel. Auch hier sollten Entwickler Best Practices bei der Sicherheitsplanung beachten.
Das kann ein großer Vorteil sein, denn die Funktionen innerhalb einer Komponente lassen sich relativ einfach verstehen. Gleichzeitig steigt die Zahl von Schnittstellen zwischen den Komponenten. Das wiederum erhöht das Risiko von Schwachstellen, die in diesen Komponenten auftreten. Ein besonderes Augenmerk sollte deshalb unbedingt auf der Sicherheit dieser Schnittstellen liegen.
Vereinfacht Composable Architecture die Anwendungen und Technologie-Stacks?
Meistens nutzen Firmen Composable Architecture, weil den vorhandenen Anwendungen Funktionen fehlen, die für bestimmte Use Cases notwendig sind. Beim Ansatz der Composable Architecture lassen sich diese neuen Funktionen einfacher integrieren, ohne die existierenden Systeme komplett ersetzen zu müssen.
Wenn in etablierten Systemen Sicherheitsmängel auftreten, kann es sinnvoll sein, einzelne Komponenten nacheinander herauszulösen und über eine Composable Architecture gegen neue, bessere und sichere „Module“ zu ersetzen.
Das Gleiche gilt für die Wartung. Sind die Kosten bei großen Lösungen zu hoch, lässt sich der Aufwand durch die Implementierung neuer und getrennter Komponenten reduzieren. Allerdings dürfen Verantwortliche nicht außer Acht zu lassen, dass sich durch weitere Schnittstellen und Komponenten die Angriffsfläche der Umgebung verbreitert.
Bedeutet Composabale Architecture das Ende monolithischer Anwendungen?
In vielen Fällen kann man monolithische Anwendungen nicht ersetzen. Das ist zu komplex, teuer und ineffizient. Es gibt aber durchaus Möglichkeiten, wie man monolithische Anwendungen erweitern und damit modernisieren kann. Hier funktioniert Composable Architecture eher als Partner denn als Gegenspieler von monolithischen Anwendungen. Schlussendlich lassen sich damit Geschäftsanwendungen erweitern, ohne den Produktionsablauf zu stören.
Welche Komponenten sind in einer Composable Architecture gefährdet?
Generell sollte jede Komponente besonders geschützt werden. Gelingt es einem Angreifer dann, eine dieser Komponenten zu kompromittieren, lassen sich die übrigen mit der richtigen Planung trotzdem absichern. Wichtig sind in diesem Fall auch die Interaktionen zwischen den Bestandteilen der Composable Architecture. Sie müssen in einem umfassenden Authentifizierungs- und Berechtigungsmodell so sicher wie möglich ablaufen.
Die Kommunikation sollte man zusätzlich auf die Komponenten beschränken, die wegen der Funktionsfähigkeit der Umgebung miteinander kommunizieren „müssen“. Sollte dennoch eine Komponente kompromittiert werden, sollte die übrige Umgebung weiterhin so sicher wie nur möglich sein. Die Verantwortlichen sollten die Umgebung regelmäßig testen, um zu überprüfen, wie widerstandsfähig sie ist.
Wie wird die Sicherheit von Composable Architecture in Zukunft aussehen?
Die Eigenverantwortung der jeweiligen Entwickler wird weiter steigen. Sie zeichnen verantwortlich dafür, dass die Sicherheit jeder einzelnen Komponente so hoch wie möglich ist. Sicherheitsexperten kümmern sich ihrerseits um die komplette Umgebung. Sie behalten den Überblick über sämtliche Komponenten und deren Interaktionen.
Boris Cipot
(Bild: Synopsys)
Von den Erfahrungen der Sicherheitsfachleute profitieren wiederum die Entwickler. Genau darin liegt die große Stärke der Composable Architecture: Das eigenverantwortliche Arbeiten der Entwickler führt zu höherer Sicherheit bei den Komponenten und dadurch zu sicheren Infrastrukturen. Komponenten arbeiten effektiv miteinander. Sie sind aber so weit voneinander abgeschottet, dass ein kompromittierter Bereich nicht unweigerlich zur Kompromittierung der ganzen Umgebung führt.
* Boris Cipot ist Senior Sales Engineer bei der Synopsys Software Integrity Group.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/97/71/977140cc64b447d359459de61d399935/0126773400v1.jpeg "Externe Backup-Lösungen sind in der Cloud unerlässlich. (Bild: © nsit0108 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/3b/9f3bdf09a933c60ea9852c1f83e87b5f/0129251655v1.jpeg "Ein Programm macht Schluss mit krummer Haltung am Schreibtisch: Wer schief sitzt, sieht den Bildschirm nur noch verschwommen. Wie das funktioniert – und für wen eher nicht. (Bild: frei lizenziert Pexels)")
:quality(80)/p7i.vogel.de/wcms/4b/b7/4bb772d9b26ee469b4ea76f0906f26f3/0129050281v1.jpeg "Eile mit Weile: Eine Cloud-only-Entscheidung für SAP S/4HANA ist kein einfaches Betriebsmodell, sondern eine strukturelle Festlegung für Architektur, Organisation und Projektsteuerung. Deshalb sollte die Migration mit Bedacht geplant und umgesetzt werden. (Bild: © xymbolino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/69/6969bbed340b546bba20ad5041f10f76/0128881179v1.jpeg "Google erlaubt in Zukunft das Ändern der E-Mail-Adresse in Gmail. (Bild: frei lizenziert Roman)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453f71b2dfdcebe6bf23752fa99e5ae/0129219624v1.jpeg "Anlasslose Vorratsdatenspeicherung, Quick-Freeze-Verfahren und jetzt IP-Adressenspeicherung: Kriminalitätsverfolger und Datenschützer sind noch immer auf Suche nach dem gemeinsamen Nenner. (Bild: © Yeti Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6a/0b6a64cf873f39013857b15be8507446/0128985704v1.jpeg "Auch die Networking-Events auf dem CloudFest machen nachhaltig Eindruck. Doch es gibt weitere, gute Gründe für das Motto des CloudFest 2026 „The Sustainability of Everything“. (Bild: René Lamb Fotodesign GmbH
)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/68/c0/68c0c0041b959669ea7bfdfbcc55d8b6/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/0f/ae0f7cc26f7408cedf841ef7b8107413/0129170884v1.jpeg "Positive Bilanz: Die starke Nachfrage nach Cloud- und ERP-Lösungen trieb 2025 Umsatz und Betriebsergebnis von SAP. (Bild: SAP SE)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf044683ec821124eacb5539aeb05cb/0128849647v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/58/4d58e0cfcb0e2d402f3f59ba49180551/0128590287v1.jpeg "Die Softwareindustrie steht unter Druck, da KI zunehmend in der Lage ist, wiederholbare Aufgaben schneller und kostengünstiger zu erledigen. Diese Unsicherheit bietet jedoch auch Chancen für gezielte Akquisitionen und Innovationen. (Bild: © Maria Mikhaylichenko - stock.adobe.com / KI-generiert)")
:fill(fff,0)/p7i.vogel.de/companies/67/dd/67dd21da675be/logo-horizontal-rgb.svg "logo-horizontal-rgb (Hyland)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/f9/39/f939777b2928e736496d2463cb642e49/0128039919v1.jpeg "SeaTable 6.0 vereint KI und No-Code, damit Teams ohne Programmier-Kenntnisse Prozesse schnell digitalisieren können. (Bild: © InfiniteFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/51/1c516b458293061c07d6b14c12bcc4ae/0128109385v1.jpeg "Gemini 3 ist das modernste KI-Modell von Google und kann komplexen Code bearbeiten sowie multimodal Texte, Bilder, Audio und Video analysieren. (Bild: Google)")