CI/CD-Sicherheit

  • Juli 14, 2026

Definition

CI/CD-Sicherheit bezeichnet Maßnahmen zum Schutz automatisierter Softwareentwicklungs- und Bereitstellungsprozesse, sogenannter Continuous-Integration- und Continuous-Deployment-Pipelines, vor Manipulation, unbefugtem Zugriff oder dem unbemerkten Einschleusen von Schadcode durch externe Angreifer oder interne Fehlkonfigurationen.

Erklärung / Hintergrund

CI/CD-Pipelines automatisieren das Zusammenführen, Testen und Ausrollen von Software, wodurch Änderungen deutlich schneller in produktive Systeme gelangen als bei manuellen Prozessen. Diese Geschwindigkeit erhöht jedoch das Risiko, dass unbemerkt eingeschleuster Schadcode ebenfalls automatisiert und ohne ausreichende Prüfung in produktive Umgebungen übernommen wird.

Für Unternehmen ist CI/CD-Sicherheit relevant, weil ein kompromittierter Entwicklungsprozess weitreichende Folgen haben kann: Gelingt es Angreifern, Schadcode in eine automatisierte Pipeline einzuschleusen, kann sich dieser unbemerkt über zahlreiche Systeme und Kundinnen und Kunden gleichzeitig verbreiten, bevor er entdeckt wird.

Für Architektur- und Ingenieurbüros ist dieses Thema in erster Linie relevant, wenn eigene, individuell entwickelte Software oder Erweiterungen für Projektplattformen genutzt werden, oder wenn die Sicherheit der von externen Softwareanbietern eingesetzten Entwicklungsprozesse bei der Auswahl von Projektsoftware und Cloud-Diensten mitbewertet werden soll.

Abzugrenzen ist CI/CD-Sicherheit von der allgemeinen Cloud-Sicherheit, die den Schutz von Daten in Cloud-Umgebungen unabhängig vom Entwicklungsprozess betrifft, sowie von BYOD, das den Umgang mit privaten Endgeräten regelt. Confidential Computing ergänzt CI/CD-Sicherheit, indem es die Verarbeitung besonders sensibler Daten zusätzlich technisch absichert.

Praxisrelevanz

Für Sie als Geschäftsführerin oder Geschäftsführer eines Planungsbüros ist CI/CD-Sicherheit meist kein Thema, das Sie selbst aktiv umsetzen müssen, es sei denn, Ihr Büro entwickelt eigene Softwarelösungen oder Erweiterungen. Relevanter ist für Sie, bei der Auswahl von Projektplattformen, BIM-Software oder Cloud-Diensten gezielt zu hinterfragen, wie der jeweilige Anbieter seine eigenen Entwicklungs- und Bereitstellungsprozesse gegen Manipulation absichert, da dies unmittelbar die Sicherheit der von Ihnen genutzten Software beeinflusst. Anbieter mit nachvollziehbar dokumentierten, geprüften CI/CD-Sicherheitsmaßnahmen bieten in der Regel ein höheres Vertrauensniveau als solche, die zu diesem Thema keine Auskunft geben können oder wollen, was bei der langfristigen Softwareauswahl berücksichtigt werden sollte.

Praxisbeispiel

Ein Ingenieurbüro plant den Wechsel zu einer neuen, cloudbasierten Projektplattform und vergleicht bei der Auswahl mehrere Anbieter auch hinsichtlich ihrer internen Entwicklungsprozesse. Ein Anbieter kann detailliert und nachvollziehbar darlegen, dass sämtliche Änderungen an seiner Software automatisiert auf Schadcode geprüft und nur nach mehrstufiger Freigabe in die produktive Umgebung übernommen werden. Ein anderer, günstigerer Anbieter kann zu diesem Thema keine konkrete Auskunft geben. Die Geschäftsführung entscheidet sich daraufhin bewusst für den Anbieter mit den nachvollziehbar dokumentierten CI/CD-Sicherheitsmaßnahmen, um das Risiko einer Kompromittierung der genutzten Software langfristig zu reduzieren und die eigenen Planungsdaten dauerhaft besser zu schützen.

FAQ

Was bedeutet CI/CD-Sicherheit?

CI/CD-Sicherheit bezeichnet Maßnahmen zum Schutz automatisierter Softwareentwicklungs- und Bereitstellungsprozesse vor Manipulation, unbefugtem Zugriff oder eingeschleustem Schadcode.

Warum ist CI/CD-Sicherheit ein relevantes Thema?

Automatisierte Prozesse können unbemerkt eingeschleusten Schadcode ebenso schnell in produktive Systeme übernehmen wie legitime Änderungen, was ein erhebliches Risiko darstellt.

Betrifft CI/CD-Sicherheit auch Architektur- und Ingenieurbüros direkt?

Direkt relevant ist es vor allem bei eigener Softwareentwicklung, indirekt jedoch auch bei der Auswahl von Projektsoftware und Cloud-Diensten externer Anbieter.

Worauf sollte man bei der Auswahl eines Software-Anbieters achten?

Sinnvoll ist die Nachfrage, ob Änderungen automatisiert auf Schadcode geprüft werden und welche Freigabeprozesse vor der Übernahme in produktive Systeme bestehen.

Wie hängt CI/CD-Sicherheit mit Confidential Computing zusammen?

Confidential Computing ergänzt CI/CD-Sicherheit, indem es zusätzlich die Verarbeitung besonders sensibler Daten innerhalb der abgesicherten Prozesse technisch schützt.

Verwandte Begriffe

Cloud-Sicherheit – übergeordnetes Konzept zum Schutz von Daten in Cloud-Umgebungen, ergänzend zur CI/CD-Sicherheit.

Cloud – CI/CD-Prozesse laufen häufig direkt in Cloud-Umgebungen ab und sind entsprechend abzusichern.

Confidential Computing – schützt die Verarbeitung besonders sensibler Daten innerhalb abgesicherter Entwicklungsprozesse.

Cyberversicherung – die Absicherung genutzter Software-Anbieter wirkt sich indirekt auf das eigene Risikoprofil aus.