Aufbau eines Cybersicherheits-Stacks für die Verteidigung, Teil 4: DevSecOps, Zero-Trust und kontinuierliche Compliance

Die Teile 1–3 haben einen Cyber-Stack für die Verteidigung aufgebaut, der über klassifizierte Enklaven hinweg erkennt, reagiert und operiert. Teil 4 schließt die Serie mit den Engineering-Pipeline- und Architektur-Disziplinen ab, die diesen Stack über operative Lebenszyklen von 15–20 Jahren akkreditiert und einsatzfähig halten: DevSecOps, das als Nebeneffekt Akkreditierungsnachweise erzeugt, Zero-Trust-Militärnetze, die das Perimeter-Vertrauen ablösen, SBOM- und Lieferketten-Integritätsdisziplin, Ausrichtung an den Kontrollkatalogen ISO 27001 / AQAP-2110 / NIST und die kontinuierliche Compliance-Haltung, die wiederkehrende Prüfungen übersteht.

Die Serie endet hier. Die Pillar-Einordnung steht in Der vollständige Leitfaden zur Cybersicherheit in der Verteidigung; der Beschaffungskontext in Der vollständige Leitfaden zur Verteidigungsbeschaffung.

Schritt 1: Die DevSecOps-Pipeline als Nachweis-Fabrik

Die Pipeline, die Verteidigungssoftware baut und ausliefert, ist die am stärksten unter-konstruierte Komponente in den meisten Cybersicherheits-Programmen — und gleichzeitig die mit dem größten Hebel. Eine Pipeline, die Akkreditierungsnachweise automatisch erzeugt, reduziert Akkreditierungszeitpläne von 24 Monaten auf 6. Eine Pipeline, die das nicht tut, ist das mehrjährige Projekt, mit dem jeder gerne früher begonnen hätte.

Die Pipeline-Stufen und die jeweils erzeugten Nachweise:

• Source-Control-Hooks weisen Geheimnisse zurück, erzwingen Commit-Signaturen, führen Pre-Commit-Lint aus. Nachweis: Verlauf signierter Commits.
• Reproduzierbare CI-Builds — dieselben Eingaben erzeugen dieselben inhaltsadressierten Ausgaben. Nachweis: deterministische Build-Aufzeichnungen.
• Statische Analyse — sprachspezifische Linter, sicherheitsorientierte Analyzer (Semgrep, CodeQL, herstellerspezifisch). Nachweis: Scan-Berichte, die gegen das Release als Gate dienen.
• Abhängigkeitsscans — jede direkte und transitive Abhängigkeit gegen CVE-Datenbanken geprüft. Nachweis: Disposition-Historie von Schwachstellen mit dokumentiertem Ausnahmeprozess.
• SBOM-Generierung in SPDX oder CycloneDX. Nachweis: pro Release ein SBOM, veröffentlicht zusammen mit dem Artefakt.
• Container-Härtung — minimale Base-Images (distroless oder scratch), Non-Root-User, schreibgeschützte Dateisysteme. Nachweis: Image-Manifest mit den Härtungs-Attestierungen.
• Test-Gates — Unit, Integration, sicherheitsorientiert, Performance. Nachweis: Test-Berichte pro Release mit Pass-Rate und Coverage-Metriken.
• Signierte Releases — jedes Release-Artefakt signiert (cosign oder Äquivalent), Signaturkette in einem hardwareverankerten Trust-Store verankert. Nachweis: kryptografisch verifizierbare Release-Provenienz.
• Nachweissammlung — Testergebnisse, SBOMs, Scan-Berichte, Build-Logs werden pro Release gebündelt. Nachweis: die automatisch erstellte Akkreditierungsakte.

Die Pipeline ist die Plattform. Nachweise nachzurüsten ist mehrjährige Arbeit; sie ab Sprint eins einzubauen, ist eine strukturelle Entscheidung, die sich über die gesamte Lebenszeit der Plattform potenziert. Die ausführliche Engineering-Sicht steht in DevSecOps für Verteidigungs-Pipelines.

Schritt 2: Zero-Trust-Militärnetze

Die Perimeter-Vertrauens-Netzarchitektur — eine gehärtete Grenze mit lockereren Kontrollen im Inneren — ist die Architektur, die nationalstaatliche Gegner zu schlagen gelernt haben. Sobald das Perimeter überwunden ist, ist laterale Bewegung leicht; die Verweildauer und Exfiltration, die nationalstaatliche Kampagnen kennzeichnen, sind das strukturelle Versagensmuster des Perimeter-Vertrauens. Zero-Trust ersetzt Perimeter-Vertrauen durch Authentifizierung und Autorisierung pro Anfrage.

Die auf Verteidigungsnetze angewandten Zero-Trust-Prinzipien:

Jede Anfrage wird authentifiziert. Kein Verkehr fließt ohne nachgewiesene Identität. Dienst-zu-Dienst ist mTLS mit kurzlebigen Zertifikaten; Benutzer-zu-Dienst ist OpenID Connect mit Integration der nationalen PKI, wo erforderlich.

Jede Zugriffsentscheidung wird gegen den Kontext bewertet. Benutzeridentität, Gerätestatus, Standort, Zeitpunkt, Ressourcen-Sensitivität. Entscheidungen werden pro Anfrage berechnet, nicht über den Netzwerkort gewährt.

Klassifizierungs-Labels in der Policy-Schicht. Zero-Trust in der Verteidigung erweitert das Standardmuster um die Klassifizierungsbehandlung: ein SECRET-Benutzer, der auf eine SECRET-Ressource zugreift, ist zugelassen; derselbe Benutzer, der von einer SECRET-Workstation auf eine UNCLASSIFIED-Ressource zugreift, löst eine Herabstufung oder eine Verweigerung aus. Die Integration mit dem STANAG-4774/4778-Labelling ist strukturell (siehe NATO-Interop, Teil 3).

Kompartimente und Freigabefähigkeit als Zugriffsbeschränkungen. Über die Klassifizierungsstufe hinaus prägen kompartimentierter Zugriff und Koalitions-Freigabefähigkeit die Entscheidungen der Policy-Engine.

Entscheidungsprotokollierung für Audits. Jede Zugriffsentscheidung wird mit Zuordnung protokolliert. Der Audit-Trail ist die Basis der Akkreditierungsnachweise.

Die Engineering-Herausforderungen sind real. Die Zero-Trust-Integration mit Altanwendungen, die Perimeter-Vertrauen voraussetzten, erfordert entweder eine Umgestaltung auf Anwendungsebene oder eine sorgfältige Anpassung auf Proxy-Ebene. Die nationale PKI-Integration ist nicht trivial; Koalitions-PKI ist schwieriger. Der Akkreditierungspfad für Zero-Trust-Militärnetze reift noch — aber die Stoßrichtung ist klar und beschaffungsfähig.

Schritt 3: SBOM und Lieferketten-Integrität

Software-Supply-Chain-Angriffe (SolarWinds, Codecov, Dutzende weniger publik gewordener Vorfälle) haben die Beschaffungs-Erwartungen neu geformt. Die SBOM (Software Bill of Materials) ist heute beschaffungsrelevanter Nachweis; Programme ohne SBOM verlieren Ausschreibungen an Programme mit SBOM.

Die SBOM-Disziplin:

Erzeugung als Output der Build-Pipeline. Jedes Release erzeugt eine SBOM in SPDX oder CycloneDX. Die SBOM wird zusammen mit dem Artefakt veröffentlicht und mit demselben Signaturschlüssel signiert.

Abgleich gegen Schwachstellendatenbanken. Die SBOM wird kontinuierlich gegen CVE-Datenbanken abgeglichen. Neue CVEs gegen Abhängigkeiten lösen Alarme und Disposition-Workflows aus.

Disposition-Workflows. Jeder CVE-Befund erhält eine dokumentierte Entscheidung — gepatcht, mitigiert, mit Begründung akzeptiert, mit Zeitplan zurückgestellt. Die Disposition-Historie ist Akkreditierungsnachweis.

SBOM-Konsum von vorgelagerten Lieferanten. Wo die Plattform kommerzielle Software konsumiert, fließen die SBOMs des Anbieters in die integrierte Lieferkettensicht ein. Anbieter, die keine SBOMs bereitstellen, sind zunehmend inakzeptabel.

SBOM-Veröffentlichung an nachgelagerte Stellen. Kundenorganisationen verlangen die SBOM der Plattform, um sie in ihr eigenes Lieferketten-Monitoring zu integrieren. Die Veröffentlichung ist eine Vertragspflicht, kein Marketing-Artefakt.

Die ausführliche Engineering-Behandlung steht in SBOM in der Verteidigungsbeschaffung.

Schritt 4: Ausrichtung an ISO 27001, AQAP-2110 und NIST SP 800-53

Die Verteidigungsbeschaffung verlangt die Ausrichtung an mehreren Kontroll-Rahmenwerken. Die Plattform, die sie als einheitliche Nachweismenge statt als separate Compliance-Projekte adressiert, spart mehrjährige Doppelarbeit.

Die Rahmenwerke und ihre Rollen:

ISO 27001. Der internationale Standard für das Management der Informationssicherheit. Beschaffungsfähige Baseline für die meisten Verteidigungsvorhaben. Die ausführliche Engineering-Sicht steht in ISO 27001 in der Verteidigungssoftware.

NATO AQAP-2110. Der NATO-Qualitätssicherungsstandard für Software-Lieferanten. Pflicht für NATO-Programme; die Engineering-Sicht steht in NATO AQAP-2110 für Software-Anbieter.

NIST SP 800-53. Kontrollkatalog für US-Bundesinformationssysteme. In der US- und NATO-Beschaffung breit übernommen; die Kontrollbibliothek ist umfangreich und detailliert.

NIST SP 800-171. Behandlung von Controlled Unclassified Information (CUI). Pflicht für US-Verteidigungsunterauftragnehmer, die CUI verarbeiten.

Nationale Rahmenwerke. Cyber Essentials Plus (UK), BSI-Grundschutz (DE), ANSSI-Leitlinien (FR), nationale Pendants anderswo. Jedes ergänzt eine Schicht der Compliance-Akte.

Der Ansatz einheitlicher Nachweise:

• Kontroll-Mapping-Matrix. Jede Kontrolle in jedem Rahmenwerk wird auf Nachweise in der Engineering-Pipeline abgebildet. ISO 27001 A.12.6.1 (Management technischer Schwachstellen) bildet sich auf dieselbe SBOM/CVE-Pipeline ab wie NIST SP 800-53 RA-5 (Vulnerability Monitoring and Scanning).
• Evidence-as-Code. Nachweise werden von der Pipeline erzeugt; sie werden nicht vor Audits manuell zusammengetragen. Das Audit wird zur Übung im Abfragen vorhandener Nachweise statt zur Erzeugung neuer Nachweise unter Termindruck.
• Jährliche Überwachung und dreijährige Rezertifizierung. ISO 27001 sieht jährliche Überwachungs-Audits und eine dreijährige vollständige Rezertifizierung vor. Die Pipeline hält die Nachweisbasis kontinuierlich aktuell; die Überwachung verläuft unaufgeregt.

Schritt 5: Disziplin im freigegebenen Personal

Das Personal, das den Cyber-Stack baut und betreibt, benötigt angemessene Sicherheitsfreigaben. Die Posture eines freigegebenen Teams ist ein beschaffungsrelevanter Vermögenswert und eine strukturelle Einschränkung.

Die Disziplinen:

Freigabestufen passend zum Zugriff. Ingenieure, die NATO-SECRET-Code anfassen, brauchen eine NATO-SECRET-Freigabe. Ingenieure, die nur UNCLASSIFIED-Code anfassen, können eine niedrigere Freigabe haben. Die Zuordnung reduziert die Größe des freigegebenen Teams und den zugehörigen Aufwand.

Aufrechterhaltung der Freigaben. Freigaben laufen ab, erfordern regelmäßige Nachprüfung und können widerrufen werden. Das Team, das die Aufrechterhaltung der Freigaben nicht einplant, verliert den Zugang zum schlechtesten Zeitpunkt.

Nationale Staatsangehörigkeitsanforderungen. Manche Klassifizierungsstufen und manche Programme verlangen über die NATO-Mitgliedschaft hinaus eine nationale Staatsangehörigkeit. Die Personalpolitik trägt dem Rechnung.

Zugang zu freigegebenen Einrichtungen. SCIFs (Sensitive Compartmented Information Facilities) und nationale Pendants haben Zugangskontrollen, die das Tagesgeschäft des Engineerings prägen. Remote-Arbeit ist bei einigen Klassifizierungen möglich, bei anderen unmöglich.

Die ausführliche Behandlung der Disziplin freigegebener Teams steht in Sicherheitsfreigaben für Software-Teams.

Schritt 6: Haltung der kontinuierlichen Compliance

Akkreditierung ist nicht einmalig. Nationale Sicherheitsbehörden verlangen regelmäßige Prüfungen — jährlich bei hoher Klassifizierung, in größeren Abständen bei niedrigerer. Der Cyber-Stack muss bei jeder Prüfung aktualisierte Nachweise produzieren, ohne erneut zum mehrmonatigen Projekt zu werden, das er beim ersten Mal war.

Die Disziplinen der kontinuierlichen Compliance:

Lebendiges Kontroll-Mapping. Die Kontrollmatrix wird zusammen mit der Plattform versioniert. Kontrollen werden ergänzt, wenn Rahmenwerke sich weiterentwickeln; Nachweise werden aktualisiert, wenn sich Implementierungen ändern.

Pipeline-erzeugte Nachweise. Die DevSecOps-Pipeline aus Schritt 1 erzeugt fortlaufend Nachweise; regelmäßige Prüfungen fragen bestehende Artefakte ab, statt neue zu produzieren.

Drift-Erkennung an Kontrollen. Wo die Umsetzung einer Kontrolle von kontinuierlichem Verhalten abhängt — z. B. das Auditieren von Zugriffsentscheidungen — überwacht die Pipeline das Verhalten und alarmiert bei Abweichungen.

Jährliche Übungen. Tabletop-Übungen, die Szenarien durchspielen, die der Cyber-Stack bewältigen muss. Lücken offenlegen; Playbooks aktualisieren; Nachweise der Übung als Akkreditierungsartefakte erzeugen.

Vorfall-als-Nachweis. Operative Vorfälle — auch kleinere — werden zu Nachweisen der Reaktionsfähigkeit der Plattform. Die After-Action-Review jedes Vorfalls wird dokumentiert; die Dokumentation stützt die Akkreditierungsprüfung.

Schritt 7: KI in der Cyber-Verteidigung

KI in der Cyber-Verteidigung ist von der Forschung zur operativen Fähigkeit gereift. Die im Jahr 2026 glaubwürdig eingesetzten Anwendungen:

• Anomalieerkennung in Netzwerk-Telemetrie. ML-basierte Erkennung ungewöhnlicher Verkehrsmuster, die signaturbasierte Erkennung übersieht. Reif, breit eingesetzt, mit operativer Erfolgsbilanz.
• Malware-Klassifikation am Endpunkt. Statische und dynamische Analyse mit ML-Feature-Extraktion. Reif; alle EDR-Anbieter liefern es aus.
• Phishing-Erkennung am E-Mail-Gateway. Natürlichsprachliche Analyse von Nachrichteninhalten kombiniert mit Absenderreputation. Reif; breit eingesetzt.
• LLM-gestütztes Analystenwerkzeug. Entwürfe von Vorfallsberichten aus strukturierten Eingaben, Zusammenfassen von Alert-Details für die Analystenprüfung, Abfragen von Threat-Intelligence-Speichern in natürlicher Sprache. Operativ mit angemessenen Leitplanken (siehe LLMs in der Intelligence-Triage für die Verteidigung).
• Autonome Reaktion — sparsam eingesetzt. Einige Klassen wohlverstandener Reaktionen (Isolieren eines Hosts mit bestätigter Kompromittierung, Sperren von Verkehr von einer veröffentlichten IoC-IP) laufen autonom ab. Die Grenze ist dieselbe wie in der breiteren KI-in-Verteidigung-Serie (siehe Defense AI von Sensor zu Shooter, Teil 4): folgenreiche Aktionen benötigen menschliche Freigabe.

Abschluss der Serie

Vor vier Teilen war der Cyber-Stack ein leeres Bedrohungsmodell. Wir haben die Bedrohungsmodell-Dokumentation, das Asset-Inventar und die CTI-Pipeline aufgebaut. Wir haben SIEM/SOAR über klassifizierte Enklaven hinweg ausgerollt, mit Erkennungsinhalten als Code und SOAR-Playbook-Disziplin. Wir haben ICS/OT-Verteidigung, digitale Forensik-Bereitschaft und Cross-Domain-Solutions ergänzt. Wir haben mit DevSecOps abgeschlossen, das Akkreditierungsnachweise erzeugt, mit Zero-Trust-Netzarchitektur, SBOM und Lieferketten-Integrität, der Ausrichtung an Kontroll-Rahmenwerken, der Disziplin freigegebener Teams, der kontinuierlichen Compliance und den KI-Fähigkeiten, die menschliche Cyber-Operatoren ergänzen (nicht ersetzen).

Die daraus entstehende Plattform ist beschaffungsfähig. Bedrohungsmodell dokumentiert, Nachweis-Pipeline läuft, Einsatz in klassifizierten Enklaven im Betrieb, ICS/OT-Verteidigung neben IT geschichtet, regelmäßige Akkreditierungsprüfungen bestanden. Die Wartungsdisziplin über 15–20 Jahre hat die strukturelle Form, das zu tragen.

Die Familie der Engineering-Walkthrough-Serien — jetzt vollständig

Diese Serie vervollständigt die Familie der Engineering-Walkthroughs. Alle fünf Engineering-Pillars haben nun gepaarte Implementierungs-Walkthroughs:

• Pillar C2-Systeme ↔ Aufbau eines C2-Systems von Grund auf
• Pillar Defense Data Fusion ↔ Aufbau einer Verteidigungs-Fusion-Pipeline
• Pillar KI in der Verteidigung ↔ Defense AI von Sensor zu Shooter
• Pillar NATO-Interop ↔ Walkthrough zur NATO-Interoperabilitäts-Implementierung
• Pillar Cybersicherheit in der Verteidigung ↔ Aufbau eines Cybersicherheits-Stacks für die Verteidigung (diese Serie)

Die Architektur-Erzählung — Pillar-Leitfäden gepaart mit Implementierungs-Walkthroughs — bietet einen vollständigen Bildungsbogen für Software-Engineering in der Verteidigung. Der Beschaffungskontext rahmt beides bei Der vollständige Leitfaden zur Verteidigungsbeschaffung ein.