Nirgendwo auf der Welt wird Application Security (AppSec) so großgeschrieben wie in Deutschland. Das belegt der „State of ASPM Report“ von Cycode, nach eigener Einschätzung ein Pionier im Bereich Application Security Posture Management (ASPM). Deutschland ist damit Vorreiter in Sachen Anwendungssicherheit. Doch getan ist die Arbeit damit noch nicht.
Spitzenpoition in puncto Application-Security - der „State of ASPM Report“ von Cycode lässt deutsche Unternehmen das Feld anführen.
Aus „Software is eating the world“ ist mittlerweile „Code is everywhere“ geworden: Laut der Einschätzung von Cycode nähert sich die Menschheit einem jährlichen Output von 100 Milliarden Zeilen Quelltext an. Doch gänzlich manuell passiert das nicht. Ein treibender Faktor für die Anwendungsentwicklung ist mehr und mehr generative KI (GenAI).
Dieser Trend hat jedoch auch seine Schattenseiten, wie der Cycode-Bericht belegt. Im Rahmen der Studie, für die 700 CISOs, AppSec Directors und DevSecOps-Manager in Deutschland, den USA und Großbritannien befragt wurden, geben 59 Prozent der Teilnehmenden an, dass die Angriffsflächen immer unbeherrschbarer werden. In der langen Reihe potenzieller Bedrohungen nimmt generative KI ihnen zufolge mittlerweile den ersten Rang ein.
Viele Unternehmen haben sich daher entschlossen, ihre Tech-Stacks zu konsolidieren, um die Kontrolle zurückzuerlangen und ihre Cyber-Sicherheit zu verbessern. Gerade deutsche Unternehmen sind, so belegen die Zahlen des Reports, sind führend, wenn es darum geht moderne Application-Security-Strategien in die Praxis umzusetzen. Neben der Tool-Konsolidierung arbeiten sie aktiver als die globale Konkurrenz daran, das Zusammenspiel zwischen Cybersecurity- und Entwicklerteams zu stärken und die Codesicherheit zu priorisieren.
Sicherheit geht in Deutschland vor
In Zahlen ausgedrückt haben 69 Prozent der deutschen Unternehmen bereits ihre Tool-Stacks konsolidiert und damit die Angriffsfläche effektiv verringert. Das haben bisher nur 60 Prozent der US-Unternehmen und lediglich 58 Prozent der Firmen aus Großbritannien geschafft. Dieses vorbildliche Engagement zahlt sich an anderer Stelle aus.
So berichten 63 Prozent der deutschen Unternehmen von einer schnelleren Identifizierung der Ursachen von Sicherheitsproblemen, während 64 Prozent angeben, nach der Tool-Konsolidierung kritische Schwachstellen einfacher aufdecken zu können. Diese Vorteile sind auch den Unternehmen bewusst, die mit der Konsolidierung ihres Tool-Stacks noch nicht so weit sind. 90 Prozent der Befragten aus dieser Gruppe sagen aus, dass sie dies in den nächsten zwölf Monaten (sofern möglich) in Angriff nehmen wollen.
Bildergalerie
Ein wichtiger Faktor für die Weltmeisterrolle der deutschen Unternehmen bei der Anwendungssicherheit ist, dass sie Vorreiter darin sind, Codesicherheit als kritisches Fundament für den Schutz moderner Applikationen anzusehen. Ganze 81 Prozent der deutschen Unternehmen haben den Grundsatz „Code is everywhere“ verinnerlicht und handeln entsprechend: Sie erkennen an, dass Software nicht nur den Arbeitsalltag ihrer Mitarbeitenden prägt, sondern eben auch untrennbar mit dem gesamten Unternehmen verwoben ist und priorisieren entsprechend die Cybersicherheit. In den USA sehen das nur 73 Prozent so und in UK nur 69 Prozent.
Weniger Reaktion, mehr Prävention wäre wünschenswert
Gleichzeitig bemängeln 80 Prozent der deutschen Studienteilnehmer zu geringe Investitionen der hiesigen CISOs in die Codesicherheit. Das ist laut Cycode ein Beweis für das hohe Sicherheitsbewusstsein hierzulande und ein Indikator dafür, warum Deutschland den Titel Application-Security-Weltmeister auch wirklich verdient.
Interessanterweise unterscheiden sich die Prioritäten bei den Sicherheitsausgaben in Deutschland von denen in den USA und Großbritannien. Während die Befragten in den USA den größten Teil ihrer Budgets für Sicherheits-Tools und Technologie-Evaluierung aufwenden und in Großbritannien das Sicherheitsbewusstsein und die Schulung im Vordergrund stehen, geben die deutschen Studienteilnehmer den größten Teil ihrer Budgets für die Reaktion auf Sicherheitsvorfälle und deren Untersuchung aus.
Diese bis dato noch sehr reaktive Ausrichtung zeigt für deutsche Unternehmen Weiterentwicklungsmöglichkeiten hin zu einem proaktiveren Ansatz auf. Das ASPM-Konzept biete genau das, so Cycode. Eine holistische ASPM-Plattform ermögliche die Konsolidierung von Tools, verbessere die Transparenz und fördere die Zusammenarbeit. Auf diese Weise helfe sie IT-Teams, Bedrohungen zu antizipieren und zu verhindern, anstatt nur auf sie zu reagieren.
Über Cycode
Cycode bietet Application Security Posture Management (ASPM) an. Die Plattform soll schneller sicheren Code liefern und Risiken stoppen, noch bevor sie entstehen, die Produktivität der Entwickler steigern und die Gesamtbetriebskosten senken. Die Software „Complete ASPM“ soll zudem vorhandene Tools zum Testen der Anwendungssicherheit ersetzen und integrieren können. Angestrebt werden Cyber-Resilienz durch Visibilität, Transparenz, Risiko-orientierte Priorisierung und Just-in-Time-Beseitigung von Code-Schwachstellen bei entsprechender Skalierung, über den gesamten Entwicklungszyklus hinweg. Zu den Kunden des Unternehmens mit Firmensitz in New York gehören Global Player wie UBS, PayPal, Broadcom, Elastic und Solaris.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/56/a6/56a6cbd330270db46b739e8e67a3bae9/0127223376v1.jpeg "Nur ein DSGVO-konformes, transparentes und von Multi-Cloud-kompatibles europäisches Cloud-Angebot kann eine zukunftssichere und unabhängige IT sicherstellen. (Bild: T-Systems)")
:quality(80)/p7i.vogel.de/wcms/18/4b/184b80efa4e9d1d4d905806db297dd02/0128695221v1.jpeg "Island hat den Enterprise Browser entwickelt, ein Werkzeug für IT-Teams, das Phishing ausschließen, sicheren Umgang mit künstlicher Intelligenz fördern und die Produktivität steigern soll. (Bild: Island)")
:quality(80)/p7i.vogel.de/wcms/b7/ab/b7abb386791d088652b1f35a3a798f4a/0128763755v1.jpeg "Die mIT Cloud kombiniert eine an klassischen Rechenzentrumsstrukturen orientierte Bedienlogik mit der Skalierbarkeit moderner Cloud-Infrastrukturen und richtet sich an MSPs, IT-Systemhäuser und Softwarehersteller. (Bild: mitteldeutsche IT GmbH)")
:quality(80)/p7i.vogel.de/wcms/8b/35/8b351ea0325a2dd165c56d29062bccf2/0128355283v1.jpeg "Autor Thomas Joos schreibt über den hybriden SAP-Betrieb: on premises und in der Cloud. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4e/05/4e055dff3390e2d9145eb533b00dfe1e/0128408277v1.jpeg "Verantwortung statt Blindflug. Wer Zuständigkeiten klärt, sichert Sicherheit, Compliance und Performance – und gewinnt Sichtbarkeit. Professionelle Administration kann aus Websites belastbare, wachstumsfähige Infrastrukturen machen. (Bild: © InfiniteFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ee/cb/eecb952ae6889ccdba1ea140958c93ce/0128434850v2.jpeg "Datensicherheit in Unternehmen: Ransomware, Phishing und Malware sollten lieber draußen bleiben. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2d/28/2d2879636a16ebf0af36abf0f874ad9e/0128472093v1.jpeg "Das BSI hat gängige Passwortmanager getestet mit dem Ergebnis: Auch wenn nicht alle perfekt sind, überwiegt ihr Nutzen bei weitem die Defizite. (Bild: © janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/87/4187221cff2be0b0bb5f87337c5f2f76/0128471490v1.jpeg "Virtuelle Bot-Armeen, gekaufte Likes und politische Einflussnahme: SIM-Karten vom Graumarkt manipulieren das Netz und steuern gezielt Trends. (Bild: © Moor Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/78/60/7860b4ca6dfb7e48c306fe3caca246e1/0128271912v1.jpeg "Arbeitgeber setzen zunehmend digitale Mittel ein, um ihre Mitarbeitenden zu kontrollieren. Doch nicht jede Überwachungsmaßnahme ist erlaubt. (Bild: © Tatiana Shepeleva - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/12/7a/127a202f8791993f3f4a23a57290e808/0128531184v1.jpeg "Der Fachkräftemangel und steigende technische Anforderungen zwingen IT-Entscheider dazu, ihre Infrastrukturstrategien zu überdenken und Alternativen zu traditionellen Eigenbetrieben zu prüfen, wie zum Beispiel Managed Colocation. (Bild: © weerasak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/49/e9498aba37024db6b189a1d1feb7b4b3/0128720331v1.jpeg "Suse und Evroc schließen eine strategische Partnerschaft für souveräne europäische Cloud-Lösungen. (Bild: Suse / Evroc)")
:quality(80)/p7i.vogel.de/wcms/7b/43/7b4346180c4889f1b8e5f26af7125718/0128436273v2.jpeg "Das LG München sah eine Urheberrechtsverletzung, weil ChatGPT geschützte Liedtexte wörtlich ausgab. Was hat das Landgericht München in diesem Fall entschieden? (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/f1/3cf11e80cb5ef8a61266cf8fe4235118/0128725329v2.jpeg "Kommt der Wunsch nach einer Nachbesserung der DSGVO einer Aufweichung des Datenschutzes gleich? (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b8/f0/b8f0e9ee9aa10dd74db18c87c2de0842/0128527142v1.jpeg "Die WP3-Plattform der Dwpbank zeigt, wie sich Cloud-native Architekturen, Kubernetes und strenge regulatorische Anforderungen im Finanzumfeld vereinen lassen. (Bild: Michael Pasternack / Dwpbank)")
:quality(80)/p7i.vogel.de/wcms/47/c3/47c38f4359d38b21aa65391358de5fca/0128106074v1.jpeg "Daten sind wertvoll und auch in SaaS-Zeiten muss gesichert werden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/15/a3/15a312732340e5757952d9f4d3afe8ce/0128554930v1.jpeg "Google Drive verfügt über einen KI-basierten Schutz vor Mal- und Ransomware. (Bild: Joos / Google)")
:quality(80)/p7i.vogel.de/wcms/7c/ff/7cff410a07d9a7cbe9f5bb93d5f7f463/0128348762v1.jpeg "Im Gastbeitrag erläutert Uwe Kemmer von Western Digital, wie Architekturen für eine zukunftssichere Datenstrategie beschaffen sein sollten. (Bild: Western Digital Corporation )")
:quality(80)/p7i.vogel.de/wcms/19/8e/198eaa022d705a7e89409600013141f8/0128512354v1.jpeg "Geopolitische Machtverhältnisse beeinflussen zunehmend, wie souverän Unternehmen ihre Daten speichern, verarbeiten und kontrollieren können. (Bild: © AnastasiiaCherkas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/52/5f522be9df29a2344dee1cdb55de0e33/0128622890v1.jpeg "Effiziente, zuverlässige und digital vernetzte Kühllösungen sind entscheidend für zukunftsfähige Rechenzentren. (Bild: ebm‑papst)")
:quality(80)/p7i.vogel.de/wcms/e0/e8/e0e80a1b19854c10504d5d4e16166864/0128612351v1.jpeg "Um die sich schnell ändernden Bedrohungen der KI-Technologie effektiv zu adressieren, sollten Unternehmen im Zuge einer aggressiven Cloud-Strategie ihre Sicherheitsvorkehrungen überdenken und konsolidieren. (Bild: © Skórzewiak - stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/67/dd/67dd21da675be/logo-horizontal-rgb.svg "logo-horizontal-rgb (Hyland)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/78/657840ef8b6d6/nutanix-logo-charcoal-gray-digital.png "nutanix-logo-charcoal-gray-digital (Nutanix)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/c7/a4/c7a46605ea7a755f5899c81a4a5eef1e/0122382306v1.jpeg "Abbildung 1: Nach Aussagen von Cycode wird das Jahr 2025 zu einem, in dem die Sicherheit von Softwarecode vorne steht. (Bild: Cycode)")
:quality(80)/p7i.vogel.de/wcms/47/3d/473dff16a10e0d520b583e6d730c030a/0122382310v1.jpeg "Abbildung 2: Mehr Sicherheitserkzeuge bedeutet nicht erhöhte Sicherheit. (Bild: Cycode)")
:quality(80)/p7i.vogel.de/wcms/ae/5e/ae5e363278b2e57ea9c736ea2c29f630/0122382313v1.jpeg "Abbildung 3: Das Anwenderbewußtsein aber auch die Security-Tools weisen blinde Flecken auf. (Bild: Cycode)")
:quality(80)/p7i.vogel.de/wcms/36/25/36250fceb57409f1b79ccece34dbfa7b/0122382318v1.jpeg "Abbildung 4: Laut Cycode sind ASPM-Werkzeuge im Kommen. (Bild: Cycode)")
:quality(80)/p7i.vogel.de/wcms/e0/e8/e0e80a1b19854c10504d5d4e16166864/0128612351v1.jpeg "Um die sich schnell ändernden Bedrohungen der KI-Technologie effektiv zu adressieren, sollten Unternehmen im Zuge einer aggressiven Cloud-Strategie ihre Sicherheitsvorkehrungen überdenken und konsolidieren. (Bild: © Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6b/c4/6bc42c43a8cab7dd255cf1b898e8937a/0125138288v1.jpeg "Die Zahl der Sicherheitsvorfälle im Cloud-Betrieb steigt, die Reaktion darauf kommt oft zu spät und KI-Bedrohungen treffen auf fragmentierte Abwehrsysteme - all dies Ergebnisse des aktuellen Sicherheitsreports von Check Point. (Bild: © Westlight - stock.adobe.com)")