Beitrags-Autor:web290
Beitrag veröffentlicht:26. Februar 2026
Beitrags-Kategorie:Analyse / Hintergrund / IT-Sicherheit und Datenschutz / Unternehmensführung & Management

Wer kontrolliert den Code? Warum Software-Sicherheit zur Führungsaufgabe im Mittelstand wird

Hintergrund & Analyse

In immer mehr Unternehmen läuft Wertschöpfung auf Software: vom Shop bis zur Produktion, von der Logistik bis zur Buchhaltung.
Die entscheidende Frage lautet deshalb nicht mehr nur „Sind wir gehackt?“ – sondern: Wer kontrolliert den Code, der täglich bei uns in Produktion geht?
Datadogs State of DevSecOps Report 2026 beschreibt ein Muster, das besonders für KMU gefährlich ist: veraltete Abhängigkeiten mit bekannten Schwachstellen treffen auf Automatisierung, die Updates so schnell einspielt, dass Risiken gleich mit ausgeliefert werden.

1) Wer kontrolliert den Code in der Produktion – wirklich?

Viele Organisationen unterschätzen, was bereits live läuft. Der Datadog-Report nennt als Befund:
87 % der Unternehmen haben mindestens eine bekannte, ausnutzbare Schwachstelle in bereitgestellten Services.
Das ist keine Ausnahme – das ist Normalzustand. Und damit wird „Security“ zur Managementfrage: Wie viel unbekanntes Risiko akzeptieren wir in unseren Abläufen?

2) Wer kontrolliert den Code im „Unterbau“ – die Abhängigkeiten?

Moderne Anwendungen bestehen nicht aus „eigenem Code“, sondern aus Bibliotheken, Frameworks und Paketen.
Laut Report hängen 42 % der Services von Bibliotheken ab, die nicht mehr aktiv gepflegt werden.
Wenn solche Bausteine im Kern der Prozesse sitzen, entsteht ein strategisches Problem: Wir können unsere IT betreiben, aber wir kontrollieren ihre Wartbarkeit nicht mehr.

3) Wer kontrolliert den Code – oder kontrolliert uns die Alarmflut?

Die nächste Falle ist die Alert-Inflation. Wenn alles „kritisch“ ist, ist am Ende nichts mehr kritisch – außer der Zeitverlust.
Datadog beschreibt, dass 82 % der zunächst als kritisch eingestuften Schwachstellen im Laufzeitkontext tatsächlich unkritisch sind.
Für KMU ist das zentral: Kleine Teams werden nicht langsamer, weil sie „zu wenig Tools“ haben, sondern weil sie im Rauschen falscher Prioritäten untergehen.

4) Wer kontrolliert den Code – oder laufen wir auf End-of-life?

Besonders greifbar wird Kontrollverlust bei veralteten Programmiersprachen und Laufzeitumgebungen.
Dienste, die End-of-life-Versionen nutzen, haben laut Report in 50 % der Fälle Sicherheitslücken – gegenüber 31 % bei unterstützten Versionen.
Das ist das typische KMU-Dilemma: „Es läuft“ klingt nach Stabilität, ist aber oft nur aufgeschobene Modernisierung – bis zum nächsten Sicherheits- oder Verfügbarkeitsvorfall.

5) Wer kontrolliert den Code – oder übernimmt die Pipeline das Kommando?

Automatisierung ist sinnvoll. Aber ohne Governance kippt sie.
Der Report zeigt: 50 % der Unternehmen übernehmen neue Bibliotheksversionen innerhalb von 24 Stunden nach Veröffentlichung.
Das beschleunigt Innovation – aber erhöht das Risiko, kompromittierte oder bösartige Updates unbemerkt einzuspielen.

Noch deutlicher wird das in CI/CD-Ketten: Nur 4 % legen alle öffentlich genutzten GitHub-Actions auf eine spezifische Version (Commit-Hash) fest.
Wer nicht „pinnt“, akzeptiert stille Änderungen in der Lieferkette – also Code, der sich ändern kann, ohne dass jemand bewusst entschieden hat.
Wer kontrolliert dann den Code?

6) Was heißt das für deutsche KMU – jenseits von Technik?

Für den Mittelstand ist Software-Supply-Chain-Sicherheit längst kein Nerd-Thema mehr. Drei Treiber machen es zur Führungsaufgabe:

Wertschöpfung: Wenn Prozesse digital sind, sind Ausfälle und Manipulationen direkte Geschäftsrisiken.
Verträge & Versicherungen: Kundenanforderungen und Cyber-Policen verlangen zunehmend Nachweise (Prozesse, Patch-Disziplin, Lieferkette).
Regulierung: NIS2 verpflichtet betroffene Unternehmen zu Cybersecurity-Risikomanagementmaßnahmen – ausdrücklich inkl. Lieferkettengesichtspunkten (Art. 21). Auch wenn nicht jedes KMU direkt fällt, „wandern“ Anforderungen über Auftraggeber und Branchenstandards in die Ketten hinein.

Zusätzlich gilt DORA als EU-Verordnung für den Finanzsektor: Sie gilt ab 17. Januar 2025 und erhöht den Druck auf IKT-Drittparteien und Zulieferer in relevanten Ketten.
Für viele Mittelständler ist das praktisch: Wer für regulierte Kunden arbeitet, bekommt Sicherheitsanforderungen vertraglich auf den Tisch.

7) Kontrollpunkte: 10 Maßnahmen, mit denen KMU Kontrolle zurückgewinnen

„Wer kontrolliert den Code?“ als Leitfrage im Management verankern: nicht Tool-Debatten führen, sondern Kontrollpunkte definieren (Build, Update, Freigabe, Rollback).
Kontext vor CVSS: Schwachstellen nach Exponiertheit und Laufzeitnutzung priorisieren – nicht nach „kritisch“-Labeln.
EOL-Runtimes verbieten (mit Übergangsplan): Roadmap, Budget, Wartungsfenster – EOL ist Geschäftsrisiko.
CI/CD härten: GitHub Actions & vergleichbare Bausteine per Commit-Hash pinnen; Policies als Pipeline-Gate.
Update-Governance: Schnell-Updates nur mit Teststrategie und Freigabe; ansonsten feste Wartungsfenster.
Abhängigkeits-Hygiene: Unmaintained Libraries inventarisieren, Alternativen bewerten, Exit-Pläne priorisieren.
SBOM pragmatisch starten: Für Kernsysteme und kundenexponierte Services eine Software-Stückliste führen.
Allowlist statt Wildwuchs: Nur freigegebene Registries, Images, Actions zulassen.
Secrets & Rechte minimieren: CI/CD-Tokens, Runner, Deploy-Keys nach Least Privilege.
Messbar werden: KPI-Set: Anteil EOL, ungepflegte Abhängigkeiten, Zeit bis Patch, Pinning-Quote, Alert-Noise-Quote.

Bewertung

Der Datadog-Report liefert nicht nur Zahlen – er beschreibt eine Struktur: Geschwindigkeit frisst Kontrolle, wenn Governance fehlt.
Für den Mittelstand ist das die falsche Komfortzone: Man „kauft Sicherheit“ als Tool, während das eigentliche Risiko in Defaults, Abhängigkeiten und Build-Ketten sitzt.
Deshalb ist die Leitfrage dieses Beitrags kein Slogan, sondern ein Prüfstein: Wer kontrolliert den Code – beim Update, beim Build, beim Rollout und im Betrieb? Wer darauf keine klare Antwort hat, hat kein IT-Problem – sondern ein Führungsproblem.

Reaktion

Datadog bietet Interviews an. Für MJ wäre ein Format sinnvoll, das Kontrollfragen stellt statt Produktfragen: Wie lässt sich Alert-Noise im KMU real senken? Welche Minimalstandards empfehlen sie für CI/CD (Pinning, Allowlists, Secrets)? Was ist „Good enough“ ohne großes Security-Team? Und: Welche Rolle spielen europäische Alternativen und „Cloud unter eigener Hoheit“ für echte Kontrolle?

Quellen

Datadog (Pressemitteilung): Datadog State of DevSecOps Report 2026 – Kennzahlen zu ausnutzbaren Schwachstellen, ungepflegten Libraries, 24h-Updates, GitHub-Actions-Pinning. https://www.datadoghq.com/about/latest-news/press-releases/datadog-state-of-devsecops-report-2026/
Datadog (Report-Seite): State of DevSecOps (Update Feb. 2026) – Einordnung „velocity vs risk“, Kontext-Priorisierung. https://www.datadoghq.com/state-of-devsecops/
EUR-Lex: Richtlinie (EU) 2022/2555 (NIS2) – Cybersecurity-Risikomanagementmaßnahmen inkl. Lieferkette (Art. 21). https://eur-lex.europa.eu/eli/dir/2022/2555/2022-12-27
BSI: FAQ zu NIS-2 – Einordnung der Anforderungen und Verweis auf Art. 21. https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-FAQ/FAQ-zu-NIS-2_node.html
EUR-Lex: Verordnung (EU) 2022/2554 (DORA) – „It shall apply from 17 January 2025“. https://eur-lex.europa.eu/eli/reg/2022/2554/oj/eng