[{"data":1,"prerenderedAt":771},["ShallowReactive",2],{"/de-de/blog/guide-to-fulfilling-soc-2-security-requirements-with-gitlab":3,"navigation-de-de":39,"banner-de-de":442,"footer-de-de":452,"blog-post-authors-de-de-Fernando Diaz":657,"blog-related-posts-de-de-guide-to-fulfilling-soc-2-security-requirements-with-gitlab":671,"blog-promotions-de-de":708,"next-steps-de-de":761},{"id":4,"title":5,"authorSlugs":6,"body":8,"categorySlug":9,"config":10,"content":14,"description":8,"extension":27,"isFeatured":12,"meta":28,"navigation":12,"path":29,"publishedDate":20,"seo":30,"stem":35,"tagSlugs":36,"__hash__":38},"blogPosts/de-de/blog/guide-to-fulfilling-soc-2-security-requirements-with-gitlab.yml","Guide To Fulfilling Soc 2 Security Requirements With Gitlab",[7],"fernando-diaz",null,"security",{"slug":11,"featured":12,"template":13},"guide-to-fulfilling-soc-2-security-requirements-with-gitlab",true,"BlogPost",{"title":15,"description":16,"authors":17,"heroImage":19,"date":20,"body":21,"category":9,"tags":22},"GitLab-Leitfaden: SOC-2-Sicherheitsanforderungen erfüllen","Verstehe die Anwendungssicherheitsfunktionen der DevSecOps-Plattform von GitLab, die den Anforderungen von System and Organization Controls 2 entsprechen.",[18],"Fernando Diaz","https://res.cloudinary.com/about-gitlab-com/image/upload/v1750099576/Blog/Hero%20Images/Blog/Hero%20Images/AdobeStock_1172300481_IGPi3TS4VzFgcqhvEdBlR_1750099575518.jpg","2025-01-22","Für Unternehmen, die mit vertraulichen Kundendaten arbeiten, ist es nicht nur ein bewährtes Vorgehen, die SOC 2 (System and Organization Controls 2) einzuhalten, sondern ist oft sogar eine Notwendigkeit. SOC 2 ist ein strenger Prüfungsstandard, der vom American Institute of Certified Public Accountants entwickelt wurde, mit dem Serviceunternehmen hinsichtlich ihrer Sicherheit, Verfügbarkeit, Prozessintegrität, Vertraulichkeit und ihres Datenschutzes bewertet werden.\n\n  SOC 2 ist zwar rechtlich nicht bindend, wird aber zunehmend wichtig, unter anderem deswegen, weil Verstöße gegen den Standard immer wieder in den Nachrichten zu finden sind. Durch die Einhaltung der SOC-2-Vorgaben können Kund(inn)en Vertrauen zu Serviceunternehmen aufbauen, da sie sich sicher sein können, dass ihre Daten entsprechend sicher gespeichert werden und die Sicherheitsmaßnahmen von einer externen Stelle geprüft wurden.\n\nIn diesem Leitfaden sehen wir uns die Voraussetzungen für eine SOC-2-Compliance an und erläutern, wie GitLab deinem Unternehmen dabei hilft, die höchsten Standards für Anwendungssicherheit einzuhalten.\n\n## Welche Anforderungen werden von SOC 2 festgelegt?\n\nDer Compliance-Prozess umfasst ein Audit durch unabhängige Auditor(inn)en, die die Konzeption und betriebliche Effektivität der Sicherheitsmaßnahmen eines Unternehmens bewerten. Dieser Prozess kann sehr kostspielig sein, und viele Unternehmen sind nicht ausreichend auf ein Audit vorbereitet. Da der SOC-2-Auditprozess normalerweise rund ein Jahr dauert, ist es wichtig, bereits vor dem Audit effiziente Prozesse einzuführen.\n\nUm SOC-2-Compliance zu erreichen, muss ein Unternehmen die Anforderungen der Trust Services Criteria erfüllen:\n\n| Kriterium | Anforderungen |\n| :---- | :---- |\n| Sicherheit | - Implementierung von Kontrollen gegen unautorisierten Zugriff \u003Cbr> - Einführung von Vorgehensweisen zum Erkennen und Mindern von Risiken\u003Cbr> - Einrichtung von Systemen, um Sicherheitsvorfälle zu erkennen und zu beheben |\n| Verfügbarkeit | - Sicherstellung, dass Systeme wie vereinbart für den Betrieb zugänglich sind\u003Cbr> - Überwachung der aktuellen Nutzung und Kapazität \u003Cbr> - Identifizierung und Behebung von Umgebungsbedrohungen, die sich auf die Systemverfügbarkeit auswirken können |\n| Prozessintegrität | - Erfassung genauer Angaben zu Systemeingaben und -ausgaben \u003Cbr> - Implementierung von Verfahren, um Systemfehler schnell zu identifizieren und zu korrigieren \u003Cbr> - Festlegung von Prozessaktivitäten, um sicherzustellen, dass die Produkte und Dienstleistungen den Spezifikationen entsprechen |\n| Vertraulichkeit | - Identifizierung und Schutz vertraulicher Informationen \u003Cbr> - Einführung von Richtlinien für Datenaufbewahrungszeiträume \u003Cbr> - Implementierung von Sicherheitsmaßnahmen zur Zerstörung vertraulicher Daten nach Ablauf der Aufbewahrungsfrist |\n| Datenschutz | - Einholen von Zustimmung vor der Erfassung vertraulicher personenbezogener Daten \u003Cbr> - Offenlegung der Datenschutzrichtlinien in klarer, einfacher Sprache \u003Cbr> - Erfassung der Daten nur für rechtmäßige Zwecke und aus vertrauenswürdigen Quellen |\n\n\nBeachte, dass diese Anforderungen nicht einmalig zu erfüllen sind, sondern eher ein kontinuierlicher Prozess sind. Die Auditor(inn)en kontrollieren die Effektivität im Laufe der Zeit.\n\n## So erreichst du die Sicherheitsanforderungen und behältst sie bei\n\nGitLab bietet mehrere standardmäßige Funktionen, mit denen du sicherstellen kannst, dass deine SOC-2-Sicherheitsanforderungen erfüllt werden:\n\n| Sicherheitsanforderung | Relevante Funktion |\n| :---- | :--- |\n| Implementierung von Kontrollen gegen unautorisierten Zugriff | - Vertrauliche Tickets und Merge Requests \u003Cbr> - Benutzerdefinierte Rollen und granulare Berechtigungen \u003Cbr> - Sicherheitsrichtlinien \u003Cbr> - Verifizierte Commits \u003Cbr> - Signierte Container-Images \u003Cbr> - Code-Eigentümer(innen) \u003Cbr> - Geschützte Branches |\n| Einrichten von Systemen, um Sicherheitsvorfälle zu erkennen und zu beheben | - Sicherheitslücken-Scans \u003Cbr> - Merge-Request-Sicherheitswidget \u003Cbr> - Compliance-Center für Sicherheitslücken-Einblicke \u003Cbr> - Audit-Events \u003Cbr> - Abhängigkeitsliste für Sicherheitslückenbericht \u003Cbr> - KI: GitLab Duo Vulnerability Explanation \u003Cbr> - KI: GitLab Duo Vulnerability Resolution |\n| Einführung von Vorgehensweisen zum Erkennen und Mindern von Risiken | Alle oben genannten Tools können von Sicherheitsteams verwendet werden, um Prozesse dafür zu entwickeln, wie vorzugehen ist, wenn Sicherheitslücken erkannt werden und wie sie zu beheben sind. |\n\n\u003Cbr>\n\nSehen wir uns diese Abschnitte und die dazugehörigen Sicherheitsfunktionen für diese Anforderungen nun genauer an. Beachte, dass ein [GitLab-Ultimate-Abonnement](https://about.gitlab.com/de-de/free-trial/) und die richtigen Rollen und Berechtigungen nötig sind, um viele der aufgelisteten Funktionen nutzen zu können. Weitere Informationen findest du in der entsprechenden Dokumentation.\n\n## Implementiere Kontrollen zum Schutz vor unbefugtem Zugriff\n\nEs ist wichtig, robuste Zugriffskontrollen zu implementieren, um die Assets eines Unternehmens zu schützen, die rechtliche Compliance sicherzustellen, die betriebliche Kontinuität zu gewährleisten und das Vertrauen zu fördern. Mit GitLab kannst du Kontrollen implementieren, um das [Prinzip der geringsten Privilegien (nur in englischer Sprache verfügbar)](https://about.gitlab.com/blog/the-ultimate-guide-to-least-privilege-access-with-gitlab/) zu befolgen und vor unbefugtem Zugriff zu schützen. Wir werden uns kurz folgende Themen ansehen:\n\n* [Sicherheitsrichtlinien](#security-policies)\n\n* [Benutzerdefinierte Rollen und granulare Berechtigungen](#custom-roles-and-granular-permissions)\n\n* [Schutz von Branches und Code-Eigentümer(innen)](#branch-protections-and-codeowners)\n\n* [Verifizierte Commits](#verified-commits)\n\n### Sicherheitsrichtlinien\n\nDie Sicherheitsrichtlinien von GitLab werden auch als Leitlinien bezeichnet und ermöglichen es Sicherheits- und Compliance-Teams, im gesamten Unternehmen konsistente Kontrollen einzuführen. Dies trägt dazu bei, Sicherheitsvorfälle zu vermeiden, die Compliance-Standards einzuhalten und Risiken zu reduzieren, indem bewährte Vorgehensweisen hinsichtlich der Sicherheit automatisch und im großen Maßstab erzwungen werden.\n\n![Merge-Request-Approvalrichtlinien in Aktion](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750099597/Blog/Content%20Images/Blog/Content%20Images/merge_request_approval_policy_aHR0cHM6_1750099596925.png)\n\n\u003Ccenter>\u003Ci>Merge-Request-Approvalrichtlinien in Aktion\u003C/i>\u003C/center>\u003Cbr>\n\nDie folgenden Arten von Richtlinien sind verfügbar:\n\n* Scan-Ausführungsrichtlinie: Erzwinge Sicherheitsscans als Teil einer Pipeline oder nach einem festgelegten Zeitplan\n\n* Merge-Request-Approvalrichtlinie: Erzwinge Einstellungen und Approvalregeln auf Projektebene basierend auf den Scanergebnissen\n\n* Pipeline-Ausführungsrichtlinie: Erzwinge CI/CD-Jobs als Teil von Projekt-Pipelines\n\n* Sicherheitslücken-Managementrichtlinie: Automatisiere Workflows für das Sicherheitslücken-Management\n\nHier ist ein Beispiel, wie die Compliance mit einer Pipeline-Ausführungsrichtlinie sichergestellt werden kann:\n\n1. Erstelle ein Projekt, das mehrere Compliance-Jobs enthält. Ein Beispiel für einen Job kann die Überprüfung der Berechtigungen von bereitgestellten Dateien sein. Diese Jobs sollten so allgemein gehalten sein, dass sie auf mehrere Anwendungen angewendet werden können.\n\n2. Beschränke die Berechtigungen des Projekts auf Sicherheits-/Compliance-Beauftragte. Erlaube Entwickler(inne)n nicht, Jobs zu entfernen. Dies ermöglicht eine Aufgabentrennung.\n\n3. Füge die Compliance-Jobs gesammelt in die Projekte ein, in denen sie benötigt werden. Erzwinge, dass sie immer ausgeführt werden, aber erlaube Approvals durch die Teamleitung, um die Entwicklung nicht zu blockieren. Dadurch wird sichergestellt, dass Compliance-Jobs immer ausgeführt werden und nicht von Entwickler(inne)n entfernt werden können. So bleibt deine Umgebung konform.\n\n> ##### Erfahre in unserer [Dokumentation zu Sicherheitsrichtlinien (nur in englischer Sprache verfügbar)](https://docs.gitlab.com/ee/user/application_security/policies/), wie du Sicherheitsrichtlinien erstellen kannst.\n\n### Benutzerdefinierte Rollen und granulare Berechtigungen\n\nMit benutzerdefinierten Berechtigungen in GitLab können Unternehmen verfeinerte Zugriffskontrollen entwickeln, die über die standardmäßigen, rollenbasierten Berechtigungen hinausgehen. Das hat unter anderem folgende Vorteile:\n\n* Genauere Zugriffskontrolle\n\n* Bessere Sicherheits-Compliance\n\n* Reduziertes Risiko für versehentlichen Zugriff\n\n* Optimierte Benutzerverwaltung\n\n* Support für komplexe Unternehmensstrukturen\n\n![Benutzerdefinierte Rollen in GitLab](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750099597/Blog/Content%20Images/Blog/Content%20Images/custom_roles_aHR0cHM6_1750099596926.png)\n\n\u003Ccenter>\u003Ci>Rollen- und Berechtigungseinstellungen, einschließlich benutzerdefinierter Rollen\u003C/i>\u003C/center>\n\n> ##### Erfahre in unserer [Dokumentation zu benutzerdefinierten Rollen (nur in englischer Sprache verfügbar)](https://docs.gitlab.com/ee/user/custom_roles.html), wie du benutzerdefinierte Rollen mit granularen Berechtigungen erstellst.\n\n### Schutz von Branches und Code-Eigentümer(innen)\n\nGitLab hilft dir mit zwei wichtigen Funktionen, noch besser zu kontrollieren, wer deinen Code ändern kann:\n\n* Mit Branch Protection kannst du Regeln festlegen, wer bestimmte Branches aktualisieren darf, z. B. dass Approvals vor dem Zusammenführen von Änderungen nötig sind.\n\n* Mit Code Ownership werden automatisch die richtigen Personen gefunden, die Codeänderungen überprüfen dürfen, indem Dateien mit ihren zugewiesenen Eigentümer(inne)n abgeglichen werden.\n\nZusammen tragen diese Funktionen dazu bei, dass dein Code sicher und hochwertig ist, indem garantiert wird, dass die richtigen Personen Änderungen überprüfen und genehmigen.\n\n![Geschützte Branches](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750099597/Blog/Content%20Images/Blog/Content%20Images/protected_branches_aHR0cHM6_1750099596928.png)\n\n\u003Ccenter>\u003Ci>Einstellungen für geschützte Branches\u003C/i>\u003C/center>\n\n> ##### Erfahre in der Dokumentation (nur in englischer Sprache verfügbar) zu [geschützten Branches](https://docs.gitlab.com/ee/user/project/repository/branches/protected.html) und [Code-Eigentümer(inne)n](https://docs.gitlab.com/ee/user/project/codeowners/), wie du geschützte Branches sowie mit Code-Eigentümer(inne)n erstellst.\n\n### Verifizierte Commits\n\nWenn du deine Commits digital signierst, beweist du, dass sie wirklich von dir stammen und nicht von jemandem, der sich als dich ausgibt. Stell dir eine digitale Signatur wie einen einzigartigen Stempel vor, den nur du erstellen kannst. Wenn du deinen öffentlichen GPG-Schlüssel in GitLab hochlädst, kann dieser Stempel überprüft werden. Wenn der Stempel übereinstimmt, markiert GitLab deinen Commit als `Verified`. Du kannst dann Regeln einrichten, um nicht signierte Commits abzulehnen oder alle Commits von Benutzer(innen) zu blockieren, die ihre Identität nicht verifiziert haben.\n\n![Commit mit verifizierter Signatur](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750099597/Blog/Content%20Images/Blog/Content%20Images/signed_commit_aHR0cHM6_1750099596929.png)\n\n\u003Ccenter>\u003Ci>Commit mit verifizierter Signatur\u003C/i>\u003C/center>\u003Cbr>\n\nCommits können mit folgenden Signaturen versehen werden:\n\n* SSH-Schlüssel\n\n* GPG-Schlüssel\n\n* Persönliches x.509-Zertifikat\n\n> ##### Weitere Informationen zu verifizierten Commits findest du in unserer [Dokumentation zu signierten Commits (nur in englischer Sprache verfügbar)](https://docs.gitlab.com/ee/user/project/repository/signed_commits/).\n\n## Einrichtung von Systemen zur Erkennung und Behebung von Sicherheitsvorfällen\n\nUm eine robuste Sicherheitslage beizubehalten, ist es unerlässlich, Systeme einzurichten, die Sicherheitsvorfälle erkennen und beheben. So stellst du die Einhaltung von Vorschriften sicher, minimierst potenzielle Schäden und ermöglichst es deinem Unternehmen, effektiv auf die kontinuierliche Weiterentwicklung der Bedrohungslandschaft zu reagieren.\n\nGitLab bietet Sicherheitsscans und Sicherheitslückenverwaltung für den gesamten Anwendungslebenszyklus. Wir werden uns kurz folgende Aspekte ansehen:\n\n* [Sicherheitsscans und Sicherheitslückenverwaltung](#security-scanning-and-vulnerability-management)\n\n* [Software-Stückliste](#software-bill-of-materials)\n\n* [System-Audits und Reviews der Sicherheitslage](#system-auditing-and-security-posture-review)\n\n* [Übersicht über Compliance und Sicherheitslage](#compliance-and-security-posture-oversight)\n\n### Sicherheitsscans und Verwaltung von Sicherheitslücken\n\nGitLab bietet zahlreiche verschiedene Sicherheitsscanner für den gesamten Lebenszyklus deiner Anwendung:\n\n* Statische Anwendungssicherheitstests (SAST)\n\n* Dynamische Anwendungssicherheitstests (DAST)\n\n* Container-Scans\n\n* Abhängigkeitssuche\n\n* IaC-Scans (Infrastructure as Code)\n\n* Abdeckungsgesteuertes Fuzzing\n\n* Web-API-Fuzzing\n\n  Diese Scanner können über Vorlagen zu deiner Pipeline hinzugefügt werden. Um beispielsweise SAST- und Abhängigkeitssuche-Jobs in der Testphase auszuführen, kannst du einfach den folgenden Code in deine .gitlab-ci.yml-Datei einfügen:\n\n```yaml\nstages:   - test\n\ninclude:   \n  - template: Jobs/Dependency-Scanning.gitlab-ci.yml   \n  - template: Jobs/SAST.gitlab-ci.yml   \n```\n\nDiese Jobs können über Umgegungsvariablen und mit der GitLab-Job-Syntax vollständig angepasst werden. Sobald eine Pipeline gestartet wird, werden die Sicherheitsscanner ausgeführt und erkennen Sicherheitslücken im Diff zwischen dem aktuellen Branch und dem Zielbranch. Die Sicherheitslücke kann in einem Merge Request (MR) angezeigt werden, der eine detaillierte Übersicht bietet, bevor der Code mit dem Zielbranch zusammengeführt wird. Der MR zeigt die folgenden Informationen zur Sicherheitslücke an:\n\n* Beschreibung\n\n* Status\n\n* Schweregrad\n\n* Evidenz\n\n* Identifikatoren\n\n* URL (falls zutreffend)\n\n* Anfrage/Antwort (falls zutreffend)\n\n* Reproduktions-Asset (falls zutreffend)\n\n* Schulung (falls zutreffend)\n\n* Code-Flow (bei erweiterten SAST)\n\n![MR-Ansicht der eingeführten Sicherheitslücke](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750099597/Blog/Content%20Images/Blog/Content%20Images/no_sql_injection_vulnerability_mr_view_aHR0cHM6_1750099596931.png)\n\n\u003Ccenter>\u003Ci>MR-Ansicht der eingeführten Sicherheitslücke\u003C/i>\u003C/center>\u003Cbr>\n\nEntwickler(innen) können diese Daten verwenden, um Sicherheitslücken zu beheben, ohne die Workflows des Sicherheitsteams zu verlangsamen. Sie können Sicherheitslücken mit einer Begründung auch verwerfen, um den Überprüfungsprozess zu beschleunigen, oder ein vertrauliches Ticket erstellen, um die Sicherheitslücke zu verfolgen.\n\nWenn der Code in einem MR mit dem Standard-Branch (normalerweise auf Produktionsebene) zusammengeführt wird, wird der Sicherheitslückenbericht mit den Ergebnissen des Sicherheitsscans gefüllt. Diese Ergebnisse können von Sicherheitsteams verwendet werden, um die in der Produktion gefundenen Sicherheitslücken zu verwalten und zu kategorisieren.\n\n![Sicherheitslückenbericht mit Batch-Status-Einstellung](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750099597/Blog/Content%20Images/Blog/Content%20Images/vulnerability_report_aHR0cHM6_1750099596936.png)\n\n\u003Ccenter>\u003Ci>Sicherheitslückenbericht mit Batch-Status-Einstellung\u003C/i>\u003C/center>\u003Cbr>\n\nWenn du im Sicherheitslückenbericht auf eine Sicherheitslückenbeschreibung klickst, wird dir die Sicherheitslückenseite angezeigt, die die gleichen Sicherheitslückendaten wie der MR enthält, sodass bei der Bewertung der Auswirkungen und der Behebung der Sicherheitslücke nur eine einzige Quelle der Wahrheit gilt. Auf der Seite der Sicherheitslücke kannst du die KI-Funktionen von [GitLab Duo](https://about.gitlab.com/de-de/gitlab-duo-agent-platform/) nutzen, um dir die Sicherheitslücke erklären zu lassen und einen MR zur Behebung zu erstellen, wodurch die Zeit bis zur Lösung verkürzt wird.\n\n> ##### Weitere Informationen zu den in GitLab enthaltenen Sicherheitsscans und zum Umgang mit Sicherheitslücken findest du in unserer [Dokumentation zur Anwendungssicherheit (nur in englischer Sprache verfügbar)](https://docs.gitlab.com/ee/user/application_security/).\n\n### Software-Stückliste\n\nGitLab kann eine detaillierte Liste von allen Komponenten erstellen, die deine Software verwendet – sozusagen eine „Zutatenliste“ für deinen Code. Diese Liste, die als Software-Stückliste ([SBOM](https://about.gitlab.com/de-de/blog/the-ultimate-guide-to-sboms/)) bezeichnet wird, zeigt dir den gesamten externen Code, von dem dein Projekt abhängig ist, einschließlich der Teile, die du direkt verwendest, und deren eigener Abhängigkeiten. Für jedes Element kannst du sehen, welche Version du verwendest, welche Lizenz es hat und ob es bekannte Sicherheitsprobleme gibt. So kannst du den Überblick über den Inhalt deiner Software behalten und potenzielle Risiken erkennen.\n\n![Liste der Abhängigkeiten auf Gruppenebene (SBOM)](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750099597/Blog/Content%20Images/Blog/Content%20Images/sbom_aHR0cHM6_1750099596937.png)\n\n\u003Ccenter>\u003Ci>Liste der Abhängigkeiten auf Gruppenebene (SBOM)\u003C/i>\u003C/center>\n\n> ##### Erfahre in unserer [Dokumentation zur Liste der Abhängigkeiten (nur in englischer Sprache verfügbar)](https://docs.gitlab.com/ee/user/application_security/dependency_list/), wie du auf die Liste der Abhängigkeiten zugreifen und sie verwenden kannst.\n\n### System-Audits und Überprüfung der Sicherheitslage\n\nGitLab verfolgt alles, was in deinem System passiert, z. B. wer wann welche Änderungen vorgenommen hat. Stell dir das wie eine Überwachungskamera für deinen Code vor. Diese Aufzeichnungen helfen dir:\n\n* verdächtige Aktivitäten zu erkennen\n\n* den regulatorischen Behörden zu zeigen, dass du die Regeln befolgst\n\n* zu erkennen, was passiert ist, wenn etwas schiefgelaufen ist\n\n* zu sehen, wie deine Teams GitLab verwenden\n\nAll diese Informationen werden an einem Ort gespeichert und können dadurch bei Bedarf einfach überprüft und angesehen werden. Du kannst zum Beispiel Audit Events verwenden, um Folgendes zu verfolgen:\n\n* Wer hat die Berechtigungsstufe bestimmter Benutzer(innen) für ein GitLab-Projekt geändert und wann?\n\n* Wer hat neue Benutzer(innen) hinzugefügt oder Benutzer(innen) entfernt und wann?\n\n![Audit Events auf Projektebene](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750099597/Blog/Content%20Images/Blog/Content%20Images/audit_events_aHR0cHM6_1750099596938.png)\n\n\u003Ccenter>\u003Ci>Audit Events auf Projektebene\u003C/i>\u003C/center>\n\n> ##### Weitere Informationen zu Audit Events findest du in der [Dokumentation zu Audit Events (nur in englischer Sprache verfügbar)](https://docs.gitlab.com/ee/user/compliance/audit_events.html).\n\n## Compliance und Überwachung der Sicherheitslage\n\nDas Sicherheits-Dashboard von GitLab fungiert als Kontrollraum, an dem alle deine Sicherheitsrisiken an einem Ort anzeigt werden. Anstatt verschiedene Sicherheitstools einzeln zu überprüfen, kannst du alle Ergebnisse zusammen auf einem Bildschirm sehen. So kannst du Sicherheitsprobleme in all deinen Projekten leicht erkennen und beheben.\n\n![Sicherheits-Dashboard auf Gruppenebene](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750099597/Blog/Content%20Images/Blog/Content%20Images/security_dashboard_aHR0cHM6_1750099596939.png)\n\n\u003Ccenter>\u003Ci>Sicherheits-Dashboard auf Gruppenebene\u003C/i>\u003C/center>\n\n> ##### Weitere Informationen zu Sicherheits-Dashboards findest du in unserer [Dokumentation zum Sicherheits-Dashboard (nur in englischer Sprache verfügbar)](https://docs.gitlab.com/ee/user/application_security/security_dashboard/).\n\n## Einführung von Verfahren zur Identifizierung und Minderung von Risiken\n\nSicherheitslücken durchlaufen einen bestimmten Lebenszyklus. Ein Teil des Prozesses kann beispielsweise darin bestehen, dass für jeden anfälligen Code, der mit geschützten Branches zusammengeführt werden soll, mittels der Sicherheitsrichtlinien festgelegt wird, dass ein Approval erforderlich ist. Dann kann festgelegt werden, dass in der Produktion entdeckter anfälliger Code priorisiert, bewertet, behoben und anschließend validiert werden muss:\n\n* Die Kriterien für die Priorisierung können sich nach dem Schweregrad der Sicherheitslücke richten, der von den GitLab-Scannern erkannt wird.\n\n* Die Bewertung kann anhand der von GitLab Duo Vulnerability Explanation bereitgestellten Details zur Ausnutzung erfolgen.\n\n* Sobald die Sicherheitslücke behoben ist, kann sie mit den integrierten Regressionstests und Scannern von GitLab validiert werden.\n\nAuch wenn die Anforderungen jedes Unternehmens unterschiedlich sind, können mit GitLab als Plattform Risiken schnell identifiziert und mit geringerem Risiko behoben werden, als bei der Nutzung unterschiedlicher Tools der Fall wäre.\n\n### Best Practices für die SOC-2-Compliance\n\n* Etabliere eine starke Sicherheitskultur: Fördere Sicherheitsbewusstsein und Verantwortlichkeit in deinem gesamten Unternehmen.\n\n* Dokumentiere alles: Führe eine gründliche Dokumentation der Richtlinien, Verfahren und Kontrollen.\n\n* Automatisiere, wo möglich: Verwende Automatisierungstools, um Compliance-Prozesse zu optimieren und Fehler zu reduzieren.\n\n* Kommuniziere effektiv: Halte die Stakeholder(innen) über deine Compliance-Bemühungen auf dem Laufenden.\n\n* Hol dir fachkundige Beratung: Überlege, mit qualifizierten Berater(inne)n zusammenzuarbeiten, die dich auf deinem Weg zur SOC-2-Konformität unterstützen.\n\nEs ist ein bedeutendes Vorhaben, SOC-2-Compliance zu erreichen, aber die Vorteile sind unbestreitbar. Indem du dein Engagement für Anwendungssicherheit und betriebliche Exzellenz zeigst, fassen deine Kund(inn)en Vertrauen zu dir, verbesserst du deinen Ruf und behältst einen Wettbewerbsvorteil auf dem Markt.\n\n## Weiterlesen\n\nSieh dir die folgenden Ressourcen an, um mehr über GitLab und darüber zu erfahren, wie wir dich auf deinem Weg zur SOCv2-Compliance unterstützen:\n\n* [GitLab Ultimate](https://about.gitlab.com/de-de/pricing/ultimate/)\n\n* [Sicherheits- und Compliance-Lösungen von GitLab](https://about.gitlab.com/de-de/solutions/application-security-testing/)\n\n* [Dokumentation zur Anwendungssicherheit mit GitLab](https://docs.gitlab.com/ee/user/application_security/)\n\n* [Tutorial-Projekt für DevSecOps mit GitLab (nur in englischer Sprache verfügbar)](https://gitlab.com/gitlab-da/tutorials/security-and-governance/devsecops/simply-vulnerable-notes)",[23,9,24,25,26],"tutorial","DevSecOps platform","features","product","yml",{},"/de-de/blog/guide-to-fulfilling-soc-2-security-requirements-with-gitlab",{"ogTitle":15,"ogImage":19,"ogDescription":16,"ogSiteName":31,"noIndex":32,"ogType":33,"ogUrl":34,"title":15,"canonicalUrls":34,"description":16},"https://about.gitlab.com",false,"Artikel","https://about.gitlab.com/blog/guide-to-fulfilling-soc-2-security-requirements-with-gitlab","de-de/blog/guide-to-fulfilling-soc-2-security-requirements-with-gitlab",[23,9,37,25,26],"devsecops-platform","aLGKwXaGJ54sCyub-IdvfaFPC33jRw5eljCDZpdaqfI",{"data":40},{"logo":41,"freeTrial":46,"sales":51,"login":56,"items":61,"search":370,"minimal":405,"duo":423,"pricingDeployment":432},{"config":42},{"href":43,"dataGaName":44,"dataGaLocation":45},"/de-de/","gitlab logo","header",{"text":47,"config":48},"Kostenlose Testversion anfordern",{"href":49,"dataGaName":50,"dataGaLocation":45},"https://gitlab.com/-/trial_registrations/new?glm_source=about.gitlab.com/de-de&glm_content=default-saas-trial/","free trial",{"text":52,"config":53},"Vertrieb kontaktieren",{"href":54,"dataGaName":55,"dataGaLocation":45},"/de-de/sales/","sales",{"text":57,"config":58},"Anmelden",{"href":59,"dataGaName":60,"dataGaLocation":45},"https://gitlab.com/users/sign_in/","sign in",[62,89,185,190,291,351],{"text":63,"config":64,"cards":66},"Plattform",{"dataNavLevelOne":65},"platform",[67,73,81],{"title":63,"description":68,"link":69},"Die intelligente Orchestrierungsplattform für DevSecOps",{"text":70,"config":71},"Erkunde unsere Plattform",{"href":72,"dataGaName":65,"dataGaLocation":45},"/de-de/platform/",{"title":74,"description":75,"link":76},"GitLab Duo Agent Platform","Agentische KI für den gesamten Softwareentwicklungszyklus",{"text":77,"config":78},"Lerne GitLab Duo kennen",{"href":79,"dataGaName":80,"dataGaLocation":45},"/de-de/gitlab-duo-agent-platform/","gitlab duo agent platform",{"title":82,"description":83,"link":84},"Gründe, die für GitLab sprechen","Erfahre, warum Unternehmen auf GitLab setzen",{"text":85,"config":86},"Mehr erfahren",{"href":87,"dataGaName":88,"dataGaLocation":45},"/de-de/why-gitlab/","why gitlab",{"text":90,"left":12,"config":91,"link":93,"lists":97,"footer":167},"Produkt",{"dataNavLevelOne":92},"solutions",{"text":94,"config":95},"Alle Lösungen anzeigen",{"href":96,"dataGaName":92,"dataGaLocation":45},"/de-de/solutions/",[98,123,145],{"title":99,"description":100,"link":101,"items":106},"Automatisierung","CI/CD und Automatisierung zur Beschleunigung der Bereitstellung",{"config":102},{"icon":103,"href":104,"dataGaName":105,"dataGaLocation":45},"AutomatedCodeAlt","/de-de/solutions/delivery-automation/","automated software delivery",[107,111,114,119],{"text":108,"config":109},"CI/CD",{"href":110,"dataGaLocation":45,"dataGaName":108},"/de-de/solutions/continuous-integration/",{"text":74,"config":112},{"href":79,"dataGaLocation":45,"dataGaName":113},"gitlab duo agent platform - product menu",{"text":115,"config":116},"Quellcodeverwaltung",{"href":117,"dataGaLocation":45,"dataGaName":118},"/de-de/solutions/source-code-management/","Source Code Management",{"text":120,"config":121},"Automatisierte Softwarebereitstellung",{"href":104,"dataGaLocation":45,"dataGaName":122},"Automated software delivery",{"title":124,"description":125,"link":126,"items":131},"Sicherheit","Entwickle schneller, ohne die Sicherheit zu gefährden",{"config":127},{"href":128,"dataGaName":129,"dataGaLocation":45,"icon":130},"/de-de/solutions/application-security-testing/","security and compliance","ShieldCheckLight",[132,136,141],{"text":133,"config":134},"Application Security Testing",{"href":128,"dataGaName":135,"dataGaLocation":45},"Application security testing",{"text":137,"config":138},"Schutz der Software-Lieferkette",{"href":139,"dataGaLocation":45,"dataGaName":140},"/de-de/solutions/supply-chain/","Software supply chain security",{"text":142,"config":143},"Software Compliance",{"href":144,"dataGaName":142,"dataGaLocation":45},"/de-de/solutions/software-compliance/",{"title":146,"link":147,"items":152},"Bewertung",{"config":148},{"icon":149,"href":150,"dataGaName":151,"dataGaLocation":45},"DigitalTransformation","/de-de/solutions/visibility-measurement/","visibility and measurement",[153,157,162],{"text":154,"config":155},"Sichtbarkeit und Bewertung",{"href":150,"dataGaLocation":45,"dataGaName":156},"Visibility and Measurement",{"text":158,"config":159},"Wertstrommanagement",{"href":160,"dataGaLocation":45,"dataGaName":161},"/de-de/solutions/value-stream-management/","Value Stream Management",{"text":163,"config":164},"Analysen und Einblicke",{"href":165,"dataGaLocation":45,"dataGaName":166},"/de-de/solutions/analytics-and-insights/","Analytics and insights",{"title":168,"items":169},"GitLab für",[170,175,180],{"text":171,"config":172},"Enterprise",{"href":173,"dataGaLocation":45,"dataGaName":174},"/de-de/enterprise/","enterprise",{"text":176,"config":177},"Kleinunternehmen",{"href":178,"dataGaLocation":45,"dataGaName":179},"/de-de/small-business/","small business",{"text":181,"config":182},"den öffentlichen Sektor",{"href":183,"dataGaLocation":45,"dataGaName":184},"/de-de/solutions/public-sector/","public sector",{"text":186,"config":187},"Preise",{"href":188,"dataGaName":189,"dataGaLocation":45,"dataNavLevelOne":189},"/de-de/pricing/","pricing",{"text":191,"config":192,"link":194,"lists":198,"feature":278},"Ressourcen",{"dataNavLevelOne":193},"resources",{"text":195,"config":196},"Alle Ressourcen anzeigen",{"href":197,"dataGaName":193,"dataGaLocation":45},"/de-de/resources/",[199,232,250],{"title":200,"items":201},"Erste Schritte",[202,207,212,217,222,227],{"text":203,"config":204},"Installieren",{"href":205,"dataGaName":206,"dataGaLocation":45},"/de-de/install/","install",{"text":208,"config":209},"Kurzanleitungen",{"href":210,"dataGaName":211,"dataGaLocation":45},"/de-de/get-started/","quick setup checklists",{"text":213,"config":214},"Lernen",{"href":215,"dataGaLocation":45,"dataGaName":216},"https://university.gitlab.com/","learn",{"text":218,"config":219},"Produktdokumentation",{"href":220,"dataGaName":221,"dataGaLocation":45},"https://docs.gitlab.com/","product documentation",{"text":223,"config":224},"Best-Practice-Videos",{"href":225,"dataGaName":226,"dataGaLocation":45},"/de-de/getting-started-videos/","best practice videos",{"text":228,"config":229},"Integrationen",{"href":230,"dataGaName":231,"dataGaLocation":45},"/de-de/integrations/","integrations",{"title":233,"items":234},"Entdecken",[235,240,245],{"text":236,"config":237},"Kundenerfolge",{"href":238,"dataGaName":239,"dataGaLocation":45},"/de-de/customers/","customer success stories",{"text":241,"config":242},"Blog",{"href":243,"dataGaName":244,"dataGaLocation":45},"/de-de/blog/","blog",{"text":246,"config":247},"Remote",{"href":248,"dataGaName":249,"dataGaLocation":45},"https://handbook.gitlab.com/handbook/company/culture/all-remote/","remote",{"title":251,"items":252},"Vernetzen",[253,258,263,268,273],{"text":254,"config":255},"GitLab-Services",{"href":256,"dataGaName":257,"dataGaLocation":45},"/de-de/services/","services",{"text":259,"config":260},"Community",{"href":261,"dataGaName":262,"dataGaLocation":45},"/community/","community",{"text":264,"config":265},"Forum",{"href":266,"dataGaName":267,"dataGaLocation":45},"https://forum.gitlab.com/","forum",{"text":269,"config":270},"Veranstaltungen",{"href":271,"dataGaName":272,"dataGaLocation":45},"/events/","events",{"text":274,"config":275},"Partner",{"href":276,"dataGaName":277,"dataGaLocation":45},"/de-de/partners/","partners",{"backgroundColor":279,"textColor":280,"text":281,"image":282,"link":286},"#2f2a6b","#fff","Perspektiven für die Softwareentwicklung der Zukunft",{"altText":283,"config":284},"the source promo card",{"src":285},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1758208064/dzl0dbift9xdizyelkk4.svg",{"text":287,"config":288},"Lies die News",{"href":289,"dataGaName":290,"dataGaLocation":45},"/de-de/the-source/","the source",{"text":292,"config":293,"lists":295},"Unternehmen",{"dataNavLevelOne":294},"company",[296],{"items":297},[298,303,309,311,316,321,326,331,336,341,346],{"text":299,"config":300},"Über",{"href":301,"dataGaName":302,"dataGaLocation":45},"/de-de/company/","about",{"text":304,"config":305,"footerGa":308},"Karriere",{"href":306,"dataGaName":307,"dataGaLocation":45},"/jobs/","jobs",{"dataGaName":307},{"text":269,"config":310},{"href":271,"dataGaName":272,"dataGaLocation":45},{"text":312,"config":313},"Geschäftsführung",{"href":314,"dataGaName":315,"dataGaLocation":45},"/company/team/e-group/","leadership",{"text":317,"config":318},"Team",{"href":319,"dataGaName":320,"dataGaLocation":45},"/company/team/","team",{"text":322,"config":323},"Handbuch",{"href":324,"dataGaName":325,"dataGaLocation":45},"https://handbook.gitlab.com/","handbook",{"text":327,"config":328},"Investor Relations",{"href":329,"dataGaName":330,"dataGaLocation":45},"https://ir.gitlab.com/","investor relations",{"text":332,"config":333},"Trust Center",{"href":334,"dataGaName":335,"dataGaLocation":45},"/de-de/security/","trust center",{"text":337,"config":338},"AI Transparency Center",{"href":339,"dataGaName":340,"dataGaLocation":45},"/de-de/ai-transparency-center/","ai transparency center",{"text":342,"config":343},"Newsletter",{"href":344,"dataGaName":345,"dataGaLocation":45},"/company/contact/#contact-forms","newsletter",{"text":347,"config":348},"Presse",{"href":349,"dataGaName":350,"dataGaLocation":45},"/press/","press",{"text":352,"config":353,"lists":354},"Kontakt",{"dataNavLevelOne":294},[355],{"items":356},[357,360,365],{"text":52,"config":358},{"href":54,"dataGaName":359,"dataGaLocation":45},"talk to sales",{"text":361,"config":362},"Support-Portal",{"href":363,"dataGaName":364,"dataGaLocation":45},"https://support.gitlab.com","support portal",{"text":366,"config":367},"Kundenportal",{"href":368,"dataGaName":369,"dataGaLocation":45},"https://customers.gitlab.com/customers/sign_in/","customer portal",{"close":371,"login":372,"suggestions":379},"Schließen",{"text":373,"link":374},"Um Repositories und Projekte zu durchsuchen, melde dich an bei",{"text":375,"config":376},"gitlab.com",{"href":59,"dataGaName":377,"dataGaLocation":378},"search login","search",{"text":380,"default":381},"Vorschläge",[382,384,389,391,396,401],{"text":74,"config":383},{"href":79,"dataGaName":74,"dataGaLocation":378},{"text":385,"config":386},"Code Suggestions (KI)",{"href":387,"dataGaName":388,"dataGaLocation":378},"/de-de/solutions/code-suggestions/","Code Suggestions (AI)",{"text":108,"config":390},{"href":110,"dataGaName":108,"dataGaLocation":378},{"text":392,"config":393},"GitLab auf AWS",{"href":394,"dataGaName":395,"dataGaLocation":378},"/de-de/partners/technology-partners/aws/","GitLab on AWS",{"text":397,"config":398},"GitLab auf Google Cloud",{"href":399,"dataGaName":400,"dataGaLocation":378},"/de-de/partners/technology-partners/google-cloud-platform/","GitLab on Google Cloud",{"text":402,"config":403},"Warum GitLab?",{"href":87,"dataGaName":404,"dataGaLocation":378},"Why GitLab?",{"freeTrial":406,"mobileIcon":411,"desktopIcon":416,"secondaryButton":419},{"text":407,"config":408},"Kostenlos testen",{"href":409,"dataGaName":50,"dataGaLocation":410},"https://gitlab.com/-/trials/new/","nav",{"altText":412,"config":413},"GitLab-Symbol",{"src":414,"dataGaName":415,"dataGaLocation":410},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1758203874/jypbw1jx72aexsoohd7x.svg","gitlab icon",{"altText":412,"config":417},{"src":418,"dataGaName":415,"dataGaLocation":410},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1758203875/gs4c8p8opsgvflgkswz9.svg",{"text":200,"config":420},{"href":421,"dataGaName":422,"dataGaLocation":410},"https://gitlab.com/-/trial_registrations/new?glm_source=about.gitlab.com/de-de/get-started/","get started",{"freeTrial":424,"mobileIcon":428,"desktopIcon":430},{"text":425,"config":426},"Erfahre mehr über GitLab Duo",{"href":79,"dataGaName":427,"dataGaLocation":410},"gitlab duo",{"altText":412,"config":429},{"src":414,"dataGaName":415,"dataGaLocation":410},{"altText":412,"config":431},{"src":418,"dataGaName":415,"dataGaLocation":410},{"freeTrial":433,"mobileIcon":438,"desktopIcon":440},{"text":434,"config":435},"Zurück zur Preisübersicht",{"href":188,"dataGaName":436,"dataGaLocation":410,"icon":437},"back to pricing","GoBack",{"altText":412,"config":439},{"src":414,"dataGaName":415,"dataGaLocation":410},{"altText":412,"config":441},{"src":418,"dataGaName":415,"dataGaLocation":410},{"title":443,"button":444,"config":449},"Sieh dir an, wie agentische KI die Softwarebereitstellung transformiert",{"text":445,"config":446},"GitLab Transcend jetzt ansehen",{"href":447,"dataGaName":448,"dataGaLocation":45},"/de-de/events/transcend/virtual/","transcend event",{"layout":450,"icon":451,"disabled":12},"release","AiStar",{"data":453},{"text":454,"source":455,"edit":461,"contribute":466,"config":471,"items":476,"minimal":649},"Git ist eine Marke von Software Freedom Conservancy und unsere Verwendung von „GitLab“ erfolgt unter Lizenz.",{"text":456,"config":457},"Quelltext der Seite anzeigen",{"href":458,"dataGaName":459,"dataGaLocation":460},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/","page source","footer",{"text":462,"config":463},"Diese Seite bearbeiten",{"href":464,"dataGaName":465,"dataGaLocation":460},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/-/blob/main/content/","web ide",{"text":467,"config":468},"Beteilige dich",{"href":469,"dataGaName":470,"dataGaLocation":460},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/-/blob/main/CONTRIBUTING.md/","please contribute",{"twitter":472,"facebook":473,"youtube":474,"linkedin":475},"https://x.com/gitlab","https://www.facebook.com/gitlab","https://www.youtube.com/channel/UCnMGQ8QHMAnVIsI3xJrihhg","https://www.linkedin.com/company/gitlab-com",[477,500,555,582,616],{"title":63,"links":478,"subMenu":483},[479],{"text":480,"config":481},"DevSecOps-Plattform",{"href":72,"dataGaName":482,"dataGaLocation":460},"devsecops platform",[484],{"title":186,"links":485},[486,490,495],{"text":487,"config":488},"Tarife anzeigen",{"href":188,"dataGaName":489,"dataGaLocation":460},"view plans",{"text":491,"config":492},"Vorteile von Premium",{"href":493,"dataGaName":494,"dataGaLocation":460},"/de-de/pricing/premium/","why premium",{"text":496,"config":497},"Vorteile von Ultimate",{"href":498,"dataGaName":499,"dataGaLocation":460},"/de-de/pricing/ultimate/","why ultimate",{"title":501,"links":502},"Lösungen",[503,508,511,513,518,523,527,530,533,538,540,542,545,550],{"text":504,"config":505},"Digitale Transformation",{"href":506,"dataGaName":507,"dataGaLocation":460},"/de-de/topics/digital-transformation/","digital transformation",{"text":509,"config":510},"Sicherheit und Compliance",{"href":128,"dataGaName":135,"dataGaLocation":460},{"text":120,"config":512},{"href":104,"dataGaName":105,"dataGaLocation":460},{"text":514,"config":515},"Agile Entwicklung",{"href":516,"dataGaName":517,"dataGaLocation":460},"/de-de/solutions/agile-delivery/","agile delivery",{"text":519,"config":520},"Cloud-Transformation",{"href":521,"dataGaName":522,"dataGaLocation":460},"/de-de/topics/cloud-native/","cloud transformation",{"text":524,"config":525},"SCM",{"href":117,"dataGaName":526,"dataGaLocation":460},"source code management",{"text":108,"config":528},{"href":110,"dataGaName":529,"dataGaLocation":460},"continuous integration & delivery",{"text":158,"config":531},{"href":160,"dataGaName":532,"dataGaLocation":460},"value stream management",{"text":534,"config":535},"GitOps",{"href":536,"dataGaName":537,"dataGaLocation":460},"/de-de/solutions/gitops/","gitops",{"text":171,"config":539},{"href":173,"dataGaName":174,"dataGaLocation":460},{"text":176,"config":541},{"href":178,"dataGaName":179,"dataGaLocation":460},{"text":543,"config":544},"Öffentlicher Sektor",{"href":183,"dataGaName":184,"dataGaLocation":460},{"text":546,"config":547},"Bildungswesen",{"href":548,"dataGaName":549,"dataGaLocation":460},"/de-de/solutions/education/","education",{"text":551,"config":552},"Finanzdienstleistungen",{"href":553,"dataGaName":554,"dataGaLocation":460},"/de-de/solutions/finance/","financial services",{"title":191,"links":556},[557,559,561,563,566,568,570,572,574,576,578,580],{"text":203,"config":558},{"href":205,"dataGaName":206,"dataGaLocation":460},{"text":208,"config":560},{"href":210,"dataGaName":211,"dataGaLocation":460},{"text":213,"config":562},{"href":215,"dataGaName":216,"dataGaLocation":460},{"text":218,"config":564},{"href":220,"dataGaName":565,"dataGaLocation":460},"docs",{"text":241,"config":567},{"href":243,"dataGaName":244,"dataGaLocation":460},{"text":236,"config":569},{"href":238,"dataGaName":239,"dataGaLocation":460},{"text":246,"config":571},{"href":248,"dataGaName":249,"dataGaLocation":460},{"text":254,"config":573},{"href":256,"dataGaName":257,"dataGaLocation":460},{"text":259,"config":575},{"href":261,"dataGaName":262,"dataGaLocation":460},{"text":264,"config":577},{"href":266,"dataGaName":267,"dataGaLocation":460},{"text":269,"config":579},{"href":271,"dataGaName":272,"dataGaLocation":460},{"text":274,"config":581},{"href":276,"dataGaName":277,"dataGaLocation":460},{"title":292,"links":583},[584,586,588,590,592,594,596,600,605,607,609,611],{"text":299,"config":585},{"href":301,"dataGaName":294,"dataGaLocation":460},{"text":304,"config":587},{"href":306,"dataGaName":307,"dataGaLocation":460},{"text":312,"config":589},{"href":314,"dataGaName":315,"dataGaLocation":460},{"text":317,"config":591},{"href":319,"dataGaName":320,"dataGaLocation":460},{"text":322,"config":593},{"href":324,"dataGaName":325,"dataGaLocation":460},{"text":327,"config":595},{"href":329,"dataGaName":330,"dataGaLocation":460},{"text":597,"config":598},"Sustainability",{"href":599,"dataGaName":597,"dataGaLocation":460},"/sustainability/",{"text":601,"config":602},"Vielfalt, Inklusion und Zugehörigkeit",{"href":603,"dataGaName":604,"dataGaLocation":460},"/de-de/diversity-inclusion-belonging/","Diversity, inclusion and belonging",{"text":332,"config":606},{"href":334,"dataGaName":335,"dataGaLocation":460},{"text":342,"config":608},{"href":344,"dataGaName":345,"dataGaLocation":460},{"text":347,"config":610},{"href":349,"dataGaName":350,"dataGaLocation":460},{"text":612,"config":613},"Transparenzerklärung zu moderner Sklaverei",{"href":614,"dataGaName":615,"dataGaLocation":460},"https://handbook.gitlab.com/handbook/legal/modern-slavery-act-transparency-statement/","modern slavery transparency statement",{"title":617,"links":618},"Nimm Kontakt auf",[619,622,627,629,634,639,644],{"text":620,"config":621},"Sprich mit einem Experten/einer Expertin",{"href":54,"dataGaName":55,"dataGaLocation":460},{"text":623,"config":624},"Support",{"href":625,"dataGaName":626,"dataGaLocation":460},"https://support.gitlab.com/hc/en-us/articles/11626483177756-GitLab-Support","get help",{"text":366,"config":628},{"href":368,"dataGaName":369,"dataGaLocation":460},{"text":630,"config":631},"Status",{"href":632,"dataGaName":633,"dataGaLocation":460},"https://status.gitlab.com/","status",{"text":635,"config":636},"Nutzungsbedingungen",{"href":637,"dataGaName":638,"dataGaLocation":460},"/terms/","terms of use",{"text":640,"config":641},"Datenschutzerklärung",{"href":642,"dataGaName":643,"dataGaLocation":460},"/de-de/privacy/","privacy statement",{"text":645,"config":646},"Cookie-Einstellungen",{"dataGaName":647,"dataGaLocation":460,"id":648,"isOneTrustButton":12},"cookie preferences","ot-sdk-btn",{"items":650},[651,653,655],{"text":635,"config":652},{"href":637,"dataGaName":638,"dataGaLocation":460},{"text":640,"config":654},{"href":642,"dataGaName":643,"dataGaLocation":460},{"text":645,"config":656},{"dataGaName":647,"dataGaLocation":460,"id":648,"isOneTrustButton":12},[658],{"id":659,"title":18,"body":8,"config":660,"content":662,"description":8,"extension":27,"meta":666,"navigation":12,"path":667,"seo":668,"stem":669,"__hash__":670},"blogAuthors/en-us/blog/authors/fernando-diaz.yml",{"template":661},"BlogAuthor",{"name":18,"config":663},{"headshot":664,"ctfId":665},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1749659556/Blog/Author%20Headshots/fern_diaz.png","fjdiaz",{},"/en-us/blog/authors/fernando-diaz",{},"en-us/blog/authors/fernando-diaz","lxRJIOydP4_yzYZvsPcuQevP9AYAKREF7i8QmmdnOWc",[672,684,698],{"content":673,"config":682},{"title":674,"description":675,"authors":676,"heroImage":678,"date":679,"body":680,"category":9,"tags":681},"GitLab 18.10 bringt KI-native Triage und Behebung","Erfahre mehr über die Funktionen von GitLab Duo Agent Platform, die Rauschen reduzieren, echte Schwachstellen identifizieren und Ergebnisse in Lösungsvorschläge umwandeln.",[677],"Alisa Ho","https://res.cloudinary.com/about-gitlab-com/image/upload/v1773843921/rm35fx4gylrsu9alf2fx.png","2026-03-19","GitLab 18.10 führt neue KI-basierte Sicherheitsfunktionen ein, die auf die Verbesserung der Qualität und Geschwindigkeit des Schwachstellenmanagements ausgerichtet sind. Zusammen tragen diese Funktionen dazu bei, den Zeitaufwand für die Untersuchung von False Positives zu reduzieren und automatisierte Abhilfe direkt in den Workflow zu integrieren – so lassen sich Schwachstellen auch ohne tiefgreifende Sicherheitsexpertise beheben.\n\nDas ist neu:\n\n* [**Erkennung von False Positives bei statischen Anwendungssicherheitstests (SAST)**](https://docs.gitlab.com/user/application_security/vulnerabilities/false_positive_detection/) **ist jetzt allgemein verfügbar.** Dieser Flow nutzt ein LLM für agentisches Reasoning, um die Wahrscheinlichkeit zu bestimmen, ob eine Schwachstelle ein False Positive ist oder nicht. So können sich Sicherheits- und Entwicklungsteams zuerst auf die Behebung kritischer Schwachstellen konzentrieren.\n* [**Agentische SAST-Schwachstellenbehebung**](https://docs.gitlab.com/user/application_security/vulnerabilities/agentic_vulnerability_resolution/) **ist jetzt als Beta verfügbar.** Die agentische SAST-Schwachstellenbehebung erstellt automatisch einen Merge Request mit einem Lösungsvorschlag für verifizierte SAST-Schwachstellen. Das verkürzt die Zeit bis zur Behebung und reduziert den Bedarf an tiefgreifender Sicherheitsexpertise.\n* [**Erkennung von False Positives bei Geheimnissen**](https://docs.gitlab.com/user/application_security/vulnerabilities/secret_false_positive_detection/) **ist jetzt als Beta verfügbar.** Dieser Flow bringt die gleiche KI-basierte Rauschreduzierung in die Erkennung von Geheimnissen und kennzeichnet Dummy- und Test-Geheimnisse, um den Prüfaufwand zu verringern.\n\nDiese Flows stehen Kund(inn)en von GitLab Ultimate zur Verfügung, die GitLab Duo Agent Platform nutzen.\n\n## Triage-Zeit mit SAST-False-Positive-Erkennung verkürzen\n\nHerkömmliche SAST-Scanner kennzeichnen jedes verdächtige Codemuster, das sie finden – unabhängig davon, ob Codepfade erreichbar sind oder Frameworks das Risiko bereits abfangen. Ohne Laufzeitkontext können sie eine echte Schwachstelle nicht von sicherem Code unterscheiden, der lediglich gefährlich aussieht.\n\nDas bedeutet, dass Entwickler(innen) möglicherweise Stunden damit verbringen, Ergebnisse zu untersuchen, die sich als False Positives herausstellen. Mit der Zeit kann das das Vertrauen in den Bericht untergraben und die Teams verlangsamen, die für die Behebung echter Risiken verantwortlich sind.\n\nNach jedem SAST-Scan analysiert GitLab Duo Agent Platform automatisch neue kritische und hochgradig schwerwiegende Ergebnisse und fügt Folgendes hinzu:\n\n* Einen Konfidenzwert, der angibt, wie wahrscheinlich es ist, dass das Ergebnis ein False Positive ist\n* Eine KI-generierte Erklärung mit der Begründung\n* Ein visuelles Badge, das „Wahrscheinlich False Positive“ und „Wahrscheinlich echt“ in der UI leicht erkennbar macht\n\nDiese Ergebnisse erscheinen im [Sicherheitslückenbericht](https://docs.gitlab.com/user/application_security/vulnerability_report/), wie unten dargestellt. Der Bericht lässt sich filtern, um sich auf Ergebnisse zu konzentrieren, die als „Kein False Positive“ markiert sind. So können Teams ihre Zeit für die Behebung echter Schwachstellen nutzen, anstatt Rauschen zu sichten.\n\n![Sicherheitslückenbericht](https://res.cloudinary.com/about-gitlab-com/image/upload/v1773844787/i0eod01p7gawflllkgsr.png)\n\n\nDie Bewertung von GitLab Duo Agent Platform ist eine Empfehlung. Die Kontrolle über jedes False Positive bleibt erhalten, und die Begründung des Agenten kann jederzeit überprüft werden, um Vertrauen in das Modell aufzubauen.\n\n\n## Schwachstellen in automatisierte Fixes umwandeln\n\nZu wissen, dass eine Schwachstelle echt ist, ist nur die halbe Arbeit. Die Behebung erfordert weiterhin das Verständnis des Codepfads, das Schreiben eines sicheren Patches und die Sicherstellung, dass nichts anderes beeinträchtigt wird.\n\nWenn die Schwachstelle durch den SAST-False-Positive-Erkennungsflow als wahrscheinlich kein False Positive identifiziert wird, führt der agentische SAST-Schwachstellenbehebungsflow automatisch folgende Schritte aus:\n\n1. Liest den anfälligen Code und den umgebenden Kontext aus dem Repository\n2. Generiert hochwertige Lösungsvorschläge\n3. Validiert die Fixes durch automatisierte Tests\n4. Öffnet einen Merge Request mit einem Lösungsvorschlag, der Folgendes enthält:\n   * Konkrete Codeänderungen\n   * Einen Konfidenzwert\n   * Eine Erklärung, was geändert wurde und warum\n\nIn dieser Demo siehst du, wie GitLab eine SAST-Schwachstelle automatisch vom Erkennen bis hin zu einem prüfbereiten Merge Request verarbeiten kann. Beobachte, wie der Agent den Code liest, einen Fix generiert und validiert und einen MR mit klaren, nachvollziehbaren Änderungen öffnet – damit Entwickler(innen) schneller beheben können, ohne Sicherheitsexpert(inn)en sein zu müssen.\n\n\u003Ciframe src=\"https://player.vimeo.com/video/1174573325?badge=0&amp;autopause=0&amp;player_id=0&amp;app_id=58479\" frameborder=\"0\" allow=\"autoplay; fullscreen; picture-in-picture; clipboard-write; encrypted-media; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" style=\"position:absolute;top:0;left:0;width:100%;height:100%;\" title=\"GitLab 18.10 AI SAST False Positive Auto Remediation\">\u003C/iframe>\u003Cscript src=\"https://player.vimeo.com/api/player.js\">\u003C/script>\n\nWie bei jedem KI-generierten Vorschlag sollte der vorgeschlagene Merge Request vor dem Zusammenführen sorgfältig geprüft werden.\n\n## Echte Geheimnisse identifizieren\n\nDie Erkennung von Geheimnissen ist nur dann nützlich, wenn Teams den Ergebnissen vertrauen. Wenn Berichte voller Test-Zugangsdaten, Platzhalterwerte und Beispiel-Token sind, verschwenden Entwickler(innen) möglicherweise Zeit mit der Überprüfung von Rauschen, anstatt echte Sicherheitslücken zu beheben. Das kann die Behebung verlangsamen und das Vertrauen in den Scan verringern.\n\nDie False-Positive-Erkennung bei Geheimnissen hilft Teams, sich auf die relevanten Geheimnisse zu konzentrieren und Risiken schneller zu reduzieren. Bei der Ausführung auf dem Standard-Branch werden automatisch folgende Schritte durchgeführt:\n\n1. Jedes Ergebnis wird analysiert, um wahrscheinliche Test-Zugangsdaten, Beispielwerte und Dummy-Geheimnisse zu identifizieren\n2. Ein Konfidenzwert wird zugewiesen, ob das Ergebnis ein echtes Risiko oder wahrscheinlich ein False Positive ist\n3. Eine Erklärung wird generiert, warum das Geheimnis als echt oder als Rauschen eingestuft wird\n4. Ein Badge wird im Sicherheitslückenbericht hinzugefügt, damit Entwickler(innen) den Status auf einen Blick erkennen können\n\nEntwickler(innen) können diese Analyse auch manuell über den Sicherheitslückenbericht auslösen, indem sie bei einem Ergebnis der Geheimniserkennung **„Auf False Positive prüfen“** auswählen. So lassen sich Ergebnisse ohne Risiko aussortieren und echte Geheimnisse schneller adressieren.\n\n## KI-basierte Sicherheit jetzt testen\n\nGitLab 18.10 führt Funktionen ein, die den gesamten Schwachstellen-Workflow abdecken – von der Reduzierung von False-Positive-Rauschen bei SAST und der Erkennung von Geheimnissen bis hin zur automatischen Generierung von Merge Requests mit Lösungsvorschlägen.\n\nUm zu erfahren, wie KI-basierte Sicherheit die Prüfzeit verkürzen und Ergebnisse in zusammenführbare Fixes umwandeln kann, [starte jetzt eine kostenlose Testversion von GitLab Duo Agent Platform](https://about.gitlab.com/de-de/gitlab-duo-agent-platform/).",[26,9,25],{"featured":32,"template":13,"slug":683},"gitlab-18-10-brings-ai-native-triage-and-remediation",{"content":685,"config":696},{"title":686,"description":687,"authors":688,"heroImage":690,"date":691,"body":692,"category":9,"tags":693},"SSO und SCIM mit Azure Entra ID – Zentralisiertes Identity-Management","Single Sign-On und SCIM-Benutzerbereitstellung einrichten – SAML-Konfiguration für GitLab mit Azure Entra ID.",[689],"Rob Jackson","https://res.cloudinary.com/about-gitlab-com/image/upload/v1750098047/Blog/Hero%20Images/Blog/Hero%20Images/AdobeStock_1097303277_6gTk7M1DNx0tFuovupVFB1_1750098046895.jpg","2026-03-16","Mit wachsender Unternehmensgröße wird es zunehmend schwierig und kritisch, sicherzustellen, dass die richtigen Teammitglieder Zugriff auf die richtigen Gruppen und Projekte haben. GitLab bietet leistungsstarke Methoden zur Zugriffsverwaltung, insbesondere mit [Custom Roles](https://about.gitlab.com/blog/how-to-tailor-gitlab-access-with-custom-roles/). Die manuelle Verwaltung über eine Benutzeroberfläche kann jedoch bei großem Umfang frustrierend sein. Security Assertion Markup Language (SAML) und System for Cross-domain Identity Management (SCIM) bieten eine Lösung.\n\n\n## Was SSO und SCIM bieten\n\n\n**Single Sign-On (SSO) mit SAML** ermöglicht Benutzern, sich einmal bei einem zentralen Identity Provider – wie Azure Entra ID – zu authentifizieren und dann auf mehrere verbundene Anwendungen zuzugreifen, ohne erneute Anmeldung. **SCIM** automatisiert die Benutzerverwaltung: Wenn Benutzer im Identity Provider erstellt, Gruppen zugewiesen oder deaktiviert werden, synchronisiert SCIM diese Änderungen automatisch mit GitLab – einschließlich Berechtigungen basierend auf Gruppenmitgliedschaften.\n\n\n### Vorteile für Unternehmen\n\n\n**Sicherheit:** Zentralisierte Authentifizierung reduziert Passwort-Müdigkeit und Credential-Stuffing-Risiken. Multi-Faktor-Authentifizierung lässt sich auf Identity-Provider-Ebene erzwingen und gilt automatisch für alle verbundenen Anwendungen. Wenn ein Benutzer das Unternehmen verlässt, entfernt die Deaktivierung im Identity Provider sofort den Zugriff auf alle Systeme.\n\n\n**Effizienz:** Automatisierte Benutzerbereitstellung reduziert Onboarding-Zeit von Stunden auf Minuten. Gruppenmitgliedschaften in Azure Entra ID synchronisieren automatisch mit GitLab-Berechtigungen. Identitäten werden einmal im Identity Provider verwaltet und propagieren automatisch – kein manuelles Erstellen, Aktualisieren oder Löschen von Konten in jeder Anwendung erforderlich.\n\n\n## Implementierung\n\n\nDie Konfiguration von GitLab Single Sign-On mit SAML und SCIM erfordert:\n\n- Azure Entra ID Tenant mit Administrator-Zugriff\n- GitLab Premium oder Ultimate mit Top-Level-Gruppe\n- Konfiguration auf beiden Plattformen (Parameter-Austausch, Attribut-Mappings, SCIM-Token)\n\n\n**Vollständige Schritt-für-Schritt-Anleitung:**\n\n→ [How-to: GitLab Single Sign-on with SAML, SCIM and Azure's Entra ID](https://about.gitlab.com/blog/how-to-gitlab-single-sign-on-with-saml-scim-and-azures-entra-id/)\n\n\nDie englische Anleitung bietet:\n\n- 15 detaillierte UI-Screenshots für Azure Entra ID und GitLab\n- Vollständige Attribut-Mapping-Tabellen (SAML Claims, SCIM Provisioning)\n- Parameter-Austausch zwischen Plattformen (Identifier, Reply URL, Certificate, SCIM Token)\n- Fehlerbehebung für häufige Probleme (Email-Attribut-Fehler, NameID-Mismatch)\n\n\n**Kostenlose Testversionen:** [Azure Entra ID](https://azure.microsoft.com/de-de/free/) | [GitLab](https://about.gitlab.com/free-trial/devsecops/)\n\n\n## Weiterführende Informationen\n\n- [The ultimate guide to enabling SAML and SSO on GitLab.com](https://about.gitlab.com/blog/the-ultimate-guide-to-enabling-saml/)\n- [SAML SSO for GitLab.com groups documentation](https://docs.gitlab.com/ee/user/group/saml_sso/)\n",[23,9,24,694,695],"DevSecOps","solutions architecture",{"slug":697,"featured":32,"template":13},"how-to-gitlab-single-sign-on-with-saml-scim-and-azures-entra-id",{"content":699,"config":706},{"authors":700,"date":691,"title":702,"description":703,"category":9,"body":704,"heroImage":705},[701],"GitLab Germany Team","Compliance-Standards: Wie du sie identifizierst und einhältst","Was Compliance-Standards genau sind, welche zentralen Standards unvermeidbar sind und wie du Anforderungen direkt in GitLab abbildest.","In vielen Entwicklerteams steigt heute der Druck, schneller zu liefern, während gleichzeitig regulatorische Anforderungen immer weiter zunehmen. Spätestens bei Audits oder Sicherheitsvorfällen wird deutlich, dass ohne klare Regeln für Verantwortlichkeiten, Freigaben und Nachweise Reibungsverluste entstehen können. Compliance-Standards schaffen hier eine gemeinsame Grundlage, um Sicherheit, Datenschutz und Kontrolle konsistent in Entwicklungs- und Betriebsprozessen zu verankern.\n\nIn diesem Beitrag betrachten wir die wichtigsten Standards im IT-Umfeld und zeigen, wie Organisationen sie strukturieren und operationalisieren können. Außerdem zeigen wir dir, wie GitLab als integrierte DevSecOps-Plattform Standards nicht nur abbildet, sondern ihre Umsetzung aktiv unterstützt.\n\n## Was sind Compliance-Standards?\n\nCompliance-Standards sind verbindlich definierte Anforderungen, mit denen Organisationen oft international oder branchenweit sicherstellen, dass ihre Prozesse, Systeme und Datenverarbeitungspraktiken bestimmten Vorgaben entsprechen. Sie entstehen aus rechtlichen Rahmenwerken, regulatorischen Verpflichtungen oder Best-Practice-Katalogen und dienen als gemeinsame Leitlinie für Sicherheit, Datenschutz sowie Qualitäts- und Risikomanagement.\n\nIm IT- und Softwarebereich betreffen diese Standards typischerweise Bereiche wie Zugriffskontrollen, Änderungs- und Release-Prozesse, Protokollierungen, Fehlerbehebungen oder die fortlaufende Überwachung von Systemen.\n\nIn diesem Beitrag verwenden wir „Compliance‑Standards“ als Oberbegriff für Normen, Frameworks und gesetzliche bzw. regulatorische Vorgaben – also etwa ISO‑Standards, Branchenframeworks wie das NIST Cybersecurity Framework sowie Gesetze und Verordnungen wie DSGVO, NIS2 oder HIPAA.\n\n> Wie du dein gesamtes [Compliance-Management automatisieren](https://about.gitlab.com/de-de/blog/automated-compliance-management/) und Ressourcen einsparen kannst, erfährst du in diesem weiterführenden Beitrag mit vielen deutschen Videos!\n\n### Welchen Stellenwert haben Compliance-Standards?\n\nCompliance-Standards sind weit mehr als nur Checklisten. In erster Linie helfen sie, Risiken zu begrenzen und rechtliche bzw. finanzielle Konsequenzen bei Nichteinhaltung zu vermeiden. Zudem erzeugen sie Vertrauen durch eine nachweisbare Einhaltung und werden in vielen Unternehmen auch als Input für Controls, Policies und Prüfprozesse genutzt. Wichtig sind dabei vor allem folgende Ebenen:\n\n* **Gesetze und Verordnungen:** Compliance-Standards wie ISO/IEC 27001 werden oft herangezogen, um die Einhaltung von Gesetzen wie der DSGVO oder Finanzrechten zu strukturieren und nachweisbar zu machen.\n* **Frameworks:** Ausgearbeitete Leitliniensammlungen helfen dabei, Standards, Best Practices und Kontrollziele zu bündeln. Ein Framework kann mehrere Standards integrieren und in konkrete Maßnahmen überführen.\n* **Controls:** Technische oder organisatorische Maßnahmen machen schließlich einzelne Anforderungen eines Standards operationalisierbar und überprüfbar. Controls sind dafür die Umsetzungselemente im täglichen Betrieb.\n\nEine klare Definition von Compliance-Standards ist wichtig, weil Unternehmen sonst Gefahr laufen, Anforderungen fragmentiert, reaktiv oder getrennt von ihren operativen Prozessen umzusetzen. Solche Standards funktionieren nur, wenn sie nicht als isolierte Dokumente in Schubladen liegen, sondern in die täglichen Arbeitsabläufe und Verantwortlichkeiten eingebettet sind.\n\n## Warum Standards im Compliance-Management zentral sind\n\n[Compliance-Management](https://about.gitlab.com/de-de/blog/compliance-management/) soll sicherstellen, dass Anforderungen nicht nur definiert, sondern im Alltag auch eingehalten werden. Compliance-Standards sind dafür die zentrale Grundlage. Sie übersetzen rechtliche und regulatorische Vorgaben in klare Erwartungen, an denen sich Organisationen orientieren können. Ohne diesen gemeinsamen Referenzrahmen bleibt Compliance oft reaktiv und wird erst relevant, wenn Prüfungen oder Vorfälle auftreten.\n\nDie wichtigsten Aufgaben von Compliance-Standards sind daher:\n\n* **Stabilität:** In der Softwareentwicklung ändern sich Code, Infrastruktur und Prozesse laufend. Compliance-Standards schaffen hier Verlässlichkeit, weil sie unabhängig von einzelnen Projekten festlegen, welche Mindestanforderungen gelten.\n* **Risikobewertung:** Die Nichteinhaltung von Compliance-Standards kann zu Imageschäden, aber auch zu rechtlichen Sanktionen wie Geldstrafen führen. Eine Standardisierung erleichtert es, [Compliance-Risiken](https://about.gitlab.com/de-de/blog/compliance-risks/) einzuordnen und darauf aufbauend Verantwortlichkeiten festzulegen und konsistente Entscheidungen zu treffen.\n* **Skalierung:** Mit zunehmender Anzahl von Teams und Services lassen sich Compliance-Anforderungen häufig schwerer über Absprachen oder manuelle Kontrollen steuern. Klar definierte Standards machen Anforderungen wiederholbar, indem neue Projekte sich einfach daran orientieren können. So bleibt Compliance auch im Wachstum handhabbar.\n* **Nachvollziehbarkeit:** Compliance-Richtlinien definieren, welche Prozesse dokumentiert, welche Änderungen protokolliert und welche Freigaben nachvollziehbar sein müssen. Das ist nicht nur für Audits relevant, sondern sorgt intern auch für mehr Transparenz und ermöglicht kontinuierliche Verbesserungen.\n\nIhren größten Nutzen entfalten Compliance-Standards, wenn sie direkt in operative Abläufe eingebunden sind. Durch die Integration in Entwicklungs-, Sicherheits- und Deployment-Prozesse sinkt der Abstimmungsaufwand maßgeblich und die Einhaltung wird verlässlicher. Eine integrierte[ DevSecOps-Plattform wie GitLab ermöglicht benutzerdefinierte Compliance-Frameworks](https://about.gitlab.com/de-de/blog/how-to-use-gitlabs-custom-compliance-frameworks-in-your-devsecops/) und bindet die Standards somit als festen Bestandteil in tägliche Workflows ein.\n\n## Die wichtigsten IT-Compliance-Standards im Überblick\n\n![](https://res.cloudinary.com/about-gitlab-com/image/upload/v1773847401/aubulrjf0az8lmqjjt0g.png \"Was deutsche Compliance-Fachleute uns gesagt haben.\")\n\nWie eine [Studie von GitLab und The Harris Poll zur DevSecOps-Landschaft 2026](https://learn.gitlab.com/de-developer-survey/report-de-de-de-devsecops-report-practitioner) zeigt, gehören Compliance-Standards und deren Einhaltung für Unternehmen zu den größten Herausforderungen in der Softwareentwicklung. Die wichtigsten Standards im europäischen Raum sind dabei folgende:\n\n1. ISO/IEC 27001\n2. DSGVO\n3. NIST CSF\n4. SOC 2\n5. Branchenspezifische und sektorale Standards\n\n### 1. ISO/IEC 27001\n\nDie ISO/IEC 27001 ist eine international weitverbreitete Norm in der Informationstechnik. Als Norm ist sie zwar nicht gesetzlich verpflichtend, gilt allerdings als zentrale Referenz für IT-Compliance – insbesondere dann, wenn Organisationen Sicherheit, Datenschutz und Risikomanagement systematisch und auditierbar aufstellen müssen. Anders als gesetzliche Vorgaben beschreibt sie nicht nur Ziele, sondern auch klare Anforderungen an Prozesse, Verantwortlichkeiten und kontinuierliche Verbesserung.\n\nIm Mittelpunkt dieses Standards steht der Aufbau und Betrieb eines Informationssicherheits-Managementsystems (ISMS). Dieses umfasst unter anderem die systematische Bewertung von Risiken, die Definition von Sicherheitszielen sowie die Auswahl und Umsetzung geeigneter Maßnahmen. Der zugehörige Annex A liefert einen strukturierten Katalog von Controls, etwa für Zugriffskontrollen, Kryptografie, Change Management, Logging oder Lieferantenbeziehungen. Damit bietet ISO 27001 eine Brücke zwischen abstrakten Sicherheitszielen und konkreten organisatorischen und technischen Maßnahmen.\n\nFür Software- und Plattform-Teams ist ISO 27001 besonders relevant, weil viele Anforderungen direkt in Entwicklungs- und Betriebsprozesse hineinwirken. Sichere Code-Änderungen, nachvollziehbare Freigaben, Trennung von Zuständigkeiten oder die lückenlose Protokollierung sicherheitsrelevanter Ereignisse lassen sich nicht losgelöst von Toolchains und Workflows umsetzen. Die Norm verlangt zudem, dass diese Maßnahmen nicht nur definiert, sondern auch regelmäßig überprüft und angepasst werden. [ISO-27001-Compliance](https://about.gitlab.com/de-de/blog/how-gitlab-can-support-your-iso-compliance-journey/) ermöglicht es damit, unterschiedliche regulatorische Anforderungen wie die DSGVO oder branchenspezifische Vorgaben in ein konsistentes Managementsystem zu integrieren.\n\n> **8x schnellere Software-Updates & 40x schnellere Projekteinrichtung: Mit GitLabs Automatisierung revolutioniert Thales das Inflight-Entertainment**\n>\n> Erfahre, wie Thales Sicherheits- und Compliance-Standards in der Luftfahrt etabliert hat und mit GitLab Ultimate für deutlich schnellere und günstigere Builds sorgt.\n>\n> **[Erfolgsstory lesen](https://about.gitlab.com/de-de/customers/thales/)**\n\n### 2. DSGVO\n\nDie Datenschutz-Grundverordnung ist eine verbindliche gesetzliche Grundlage für den Umgang mit personenbezogenen Daten in der Europäischen Union. Sie betrifft nahezu jede Organisation, die Daten von EU-Bürgern verarbeitet – unabhängig davon, ob es sich um ein Softwareunternehmen, einen internen IT-Dienstleister oder einen SaaS-Anbieter handelt. Damit ist die DSGVO einer der wichtigsten Treiber für Compliance-Management im europäischen IT-Umfeld.\n\nIm Gegensatz zu Normen wie ISO 27001 beschreibt die DSGVO vorwiegend Schutzziele und Prinzipien. Dazu gehören unter anderem Rechtmäßigkeit der Verarbeitung, Zweckbindung, Datenminimierung, Integrität, Vertraulichkeit und Rechenschaftspflicht. Wie diese Anforderungen technisch und organisatorisch umzusetzen sind, bleibt bewusst offen. In der Praxis bildet die DSGVO deshalb häufig den Rahmen für Richtlinien und Verfahren. Sie wird somit nicht isoliert umgesetzt, sondern mit auditierbaren Standards wie ISO/IEC 27001 kombiniert, um daraus strukturierte Kontrollziele und Managementprozesse ableiten zu können.\n\nFür die Softwareentwicklung hat die DSGVO besonders relevante Implikationen. Themen wie Zugriffskontrolle, Rollen- und Berechtigungskonzepte, Protokollierung von Änderungen, vor allem aber sichere Deployments oder der kontrollierte Umgang mit Daten sind die zentrale Grundlage, um Datenschutzanforderungen praktisch umsetzen zu können. Hinzu kommt die Pflicht, Nachweise über getroffene Maßnahmen zu erbringen, etwa im Rahmen von behördlichen Prüfungen oder Auskunftsersuchen.\n\n### 3. NIST CSF\n\nDas NIST Cybersecurity Framework ist kein Gesetz oder klassischer Compliance-Standard im engeren Sinn. Es ist also weder regulatorisch verpflichtend, noch gehört es zu den Audit-Standards wie ISO 27001 oder SOC 2. Trotzdem dient es für Unternehmen im IT-Bereich als Orientierung für Sicherheitsmaßnahmen oder als Ergänzung zu ISO-basierten [Compliance-Management-Systemen](https://about.gitlab.com/de-de/blog/compliance-management-system/).\n\nDer Kern des Frameworks besteht aus sechs Funktionen: \n\n* Verwalten *(Govern)*\n* Identifizieren *(Identify)*\n* Schützen *(Protect)*\n* Erkennen *(Detect)*\n* Reagieren *(Respond)*\n* Wiederherstellen *(Recover)*\n\nDiese unterteilen sich in 22 Kategorien, welche wiederum selbst in 106 Subkategorien unterteilt sind. So deckt das NIST-Cybersecurity-Framework ein breites Spektrum an Compliance-Bezügen ab und bietet damit vielfältige Möglichkeiten als Strukturierungs- und Reifegradmodell.\n\n![](https://res.cloudinary.com/about-gitlab-com/image/upload/v1773847490/gliu4v6txat5vwlarf2g.png \"Das NIST Cybersecurity Framework\")\n\n### 4. SOC 2\n\nSOC 2 ist ein Compliance-Standard, der speziell für serviceorientierte Unternehmen entwickelt wurde, insbesondere für SaaS-, Cloud- und Plattformanbieter. Er wurde in den USA entwickelt und ist rechtlich nicht verpflichtend, spielt aber speziell bei Kund(inn)en mit internationalem Geschäft oder US-Bezug eine wichtige Rolle, wenn es um Vertrauen, Transparenz und Nachweisbarkeit von internen Kontrollen geht.\n\nDer SOC-2-Standard besteht aus fünf sog. Trust Services Criteria: \n\n* Sicherheit *(Security)*\n* Verfügbarkeit *(Availability)*\n* Verarbeitungsintegrität *(Processing Integrity)*\n* Vertraulichkeit *(Confidentiality)*\n* Datenschutz *(Privacy)*. \n\nAllerdings ist nur der Aspekt Sicherheit verpflichtend – die anderen vier Kriterien können je nach Geschäftsmodell ergänzt werden. Um operative Prozesse und deren Anwendung nachvollziehbar darzustellen, unterscheidet SOC 2 zudem zwischen zwei Typen: \n\n* Type I bewertet die Gestaltung von Kontrollen.\n* Type II prüft deren Wirksamkeit über einen festgelegten Zeitraum.\n\n![](https://res.cloudinary.com/about-gitlab-com/image/upload/v1773847544/xwoqmhpf058xl8vxddoe.png \"SOC 2 Compliance\")\n\n### 5. Branchenspezifische und sektorale Standards\n\nNeben branchenübergreifenden Standards gibt es im Compliance-Management auch Richtlinien, die sich gezielt an bestimmte Branchen richten. Sie spielen primär dann eine Rolle, wenn Software direkt in regulierten Kontexten eingesetzt wird:\n\n* **PCI DSS** betrifft Organisationen, die Kreditkartendaten verarbeiten, speichern oder übertragen. Der Standard definiert konkrete technische und organisatorische Sicherheitsanforderungen zu Belangen rund um Netzwerksegmentierung, Umgang mit Zugangsdaten oder Überwachung von Systemen. PCI DSS ist stark technisch geprägt und auch wenn es kein Gesetz darstellt, ist die Einhaltung meist vertraglich geregelt und beim Umgang mit sensiblen Kreditkartendaten faktisch verpflichtend.\n* **NIS2** ist eine europäische Richtlinie, die von den Mitgliedstaaten in nationales Recht umgesetzt wird und sich hinsichtlich Management‑ und Governance‑Verantwortung ausdrücklich an die Unternehmensführung richtet. Betroffen sind verschiedene Sektoren wie Energie, Verkehr und Gesundheitswesen sowie bestimmte Unternehmen ab einer definierten Größe. Auch wenn sie keinen klassischen Compliance-Standard bilden, ziehen [NIS2-Anforderungen](https://about.gitlab.com/de-de/blog/how-gitlab-helps-meet-nis2-requirements/) in der operativen Umsetzung Implikationen für IT- und Softwareprozesse z. B. in den Bereichen Cybersecurity, Risikomanagement und Meldepflichten nach sich.\n* **HIPAA** (Health Insurance Portability and Accountability Act) ist ein US-Gesetz und richtet sich insbesondere in Form der HIPAA Security und Privacy Rule an Organisationen, die mit Gesundheitsdaten in den USA arbeiten. Sie legt strenge Anforderungen an den Schutz sensibler Informationen fest, vor allem in Bezug auf Zugriffsbeschränkungen, Protokollierung und den sicheren Betrieb von IT‑Systemen. Für europäische Unternehmen ist HIPAA dann relevant, wenn Produkte oder Services für den US‑Gesundheitsmarkt entwickelt oder dort betrieben werden.\n\n## Wie GitLab Compliance-Standards in DevSecOps-Prozesse integriert\n\nCompliance-Standards entfalten ihren Nutzen erst dann vollständig, wenn sie nicht neben der täglichen Arbeit existieren, sondern Teil der Entwicklungs- und Betriebsprozesse sind. Genau hier setzt eine integrierte DevSecOps-Plattform wie GitLab an. Anstatt Compliance als separaten Prüfprozess zu behandeln, kannst du Anforderungen dort abbilden, wo Code entsteht, geprüft und ausgeliefert wird.\n\nDas integrierte [Compliance Center von GitLab](https://about.gitlab.com/de-de/solutions/software-compliance/) bietet eine zentrale Steuerungsebene für Compliance-relevante Informationen. Verantwortliche erhalten einen konsolidierten Überblick darüber, welche Projekte welchen Standards unterliegen, welche Richtlinien aktiv sind und wo Abweichungen auftreten:\n\n* Ordne Standards Projekten und Teams zu und übersetze die Anforderungen aus Standards wie ISO 27001, SOC 2 oder NIS2 in definierte Vorgaben für Projekte. Dadurch wird klar, welche Repositories im Geltungsbereich bestimmter Compliance-Anforderungen liegen und welche zusätzlichen Kontrollen dort greifen müssen.\n* Freigaben, Sicherheitsprüfungen oder verpflichtende Pipeline-Schritte werden nicht manuell eingefordert, sondern einfach technisch hinterlegt. So entsteht eine konsistente Umsetzung von Compliance-Anforderungen, die unabhängig von einzelnen Personen oder Teams funktioniert und direkt mit Entwicklungs- und CI/CD-Prozessen verknüpft ist.\n* Änderungen an Code, Konfigurationen oder Zugriffsrechten werden automatisch protokolliert und sind revisionssicher nachvollziehbar. Auditnachweise entstehen als Nebenprodukt der täglichen Arbeit, sodass du sie nicht nachträglich zusammensuchen musst.\n\n![](https://res.cloudinary.com/about-gitlab-com/image/upload/v1773847602/jq0trqx4hqkjmtrheex8.png \"Compliance Center in GitLab\")\n\nCompliance-Standards sollten nie als statische Vorgaben behandelt, sondern als lebendiger Bestandteil von DevSecOps-Prozessen verstanden werden. Mit dem notwendigen Verständnis und dem richtigen Tool werden sie hingegen strukturierbar, umsetzbar und überprüfbar – genau dort, wo moderne Software entsteht.\n\n> **Verankere regulatorische Anforderungen direkt im Entwicklungsprozess**\n>\n> Automatisiere dein Compliance-Management, stärke dabei deine Entwicklerteams und skaliere Compliance nachhaltig im Unternehmen!\n>\n> **[Jetzt starten!](https://about.gitlab.com/de-de/free-trial/)**\n\n## Häufig gestellte Fragen zu Compliance-Standards\n\n### Was kann bei Nichteinhaltung von Compliance-Standards passieren?\n\nBei Nichteinhaltung von Compliance-Standards drohen rechtliche, finanzielle und operative Konsequenzen. Dazu zählen hohe Geldstrafen und rechtliche Schritte durch Aufsichtsbehörden, Schadensersatzforderungen, Vertragskündigungen sowie der Verlust von Zertifizierungen. Zusätzlich können Reputationsschäden entstehen, die das Vertrauen von Kundinnen und Kunden bzw. Geschäftspartnerinnen und Geschäftspartnern einträchtigen. Intern führen Verstöße häufig zu Betriebsunterbrechungen, erhöhtem Kontrollaufwand und persönlichen Haftungsrisiken für Verantwortliche.\n\n### Welche Compliance-Standards sind noch wichtig?\n\nWelche Compliance-Standards für ein Unternehmen gelten, hängt von Branche, Markt, Unternehmensgröße und regulatorischem Umfeld ab. So sind im Finanzwesen noch die Standards ISO 22301 (Business Continuity), BAIT und MaRisk wichtig, während für Industrie und Automobil TISAX und IEC 62443 eine Rolle spielen. Im Gesundheitswesen und Life Sciences zählen hingegen ISO 13485 sowie GxP-Richtlinien, und Energie und kritische Infrastruktur müssen ISO 27019 und KRITIS-Anforderungen berücksichtigen.\n\n### Was ist der Unterschied zwischen ISO 27000 und ISO 27001?\n\nISO 27000 ist eine Normenfamilie, die Begriffe, Grundlagen und einen Überblick zum Informationssicherheitsmanagement liefert. ISO 27001 ist Teil dieser Familie und definiert konkrete Anforderungen an ein Informationssicherheits-Managementsystem (ISMS). Während ISO 27000 erklärend und einordnend wirkt, ist ISO 27001 die prüf- und zertifizierbare Norm, nach der Organisationen ihre Informationssicherheit offiziell nachweisen können.","https://res.cloudinary.com/about-gitlab-com/image/upload/v1773845541/kilohgeyn6zih92gpbx9.png",{"featured":32,"template":13,"slug":707},"compliance-standards",{"promotions":709},[710,724,736,747],{"id":711,"categories":712,"header":714,"text":715,"button":716,"image":721},"ai-modernization",[713],"ai-ml","Is AI achieving its promise at scale?","Quiz will take 5 minutes or less",{"text":717,"config":718},"Get your AI maturity score",{"href":719,"dataGaName":720,"dataGaLocation":244},"/assessments/ai-modernization-assessment/","modernization assessment",{"config":722},{"src":723},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1772138786/qix0m7kwnd8x2fh1zq49.png",{"id":725,"categories":726,"header":728,"text":715,"button":729,"image":733},"devops-modernization",[26,727],"devsecops","Are you just managing tools or shipping innovation?",{"text":730,"config":731},"Get your DevOps maturity score",{"href":732,"dataGaName":720,"dataGaLocation":244},"/assessments/devops-modernization-assessment/",{"config":734},{"src":735},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1772138785/eg818fmakweyuznttgid.png",{"id":737,"categories":738,"header":739,"text":715,"button":740,"image":744},"security-modernization",[9],"Are you trading speed for security?",{"text":741,"config":742},"Get your security maturity score",{"href":743,"dataGaName":720,"dataGaLocation":244},"/assessments/security-modernization-assessment/",{"config":745},{"src":746},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1772138786/p4pbqd9nnjejg5ds6mdk.png",{"id":748,"paths":749,"header":752,"text":753,"button":754,"image":759},"github-azure-migration",[750,751],"migration-from-azure-devops-to-gitlab","integrating-azure-devops-scm-and-gitlab","Is your team ready for GitHub's Azure move?","GitHub is already rebuilding around Azure. Find out what it means for you.",{"text":755,"config":756},"See how GitLab compares to GitHub",{"href":757,"dataGaName":758,"dataGaLocation":244},"/compare/gitlab-vs-github/github-azure-migration/","github azure migration",{"config":760},{"src":735},{"header":762,"blurb":763,"button":764,"secondaryButton":769},"Beginne noch heute, schneller zu entwickeln","Entdecke, was dein Team mit der intelligenten Orchestrierungsplattform für DevSecOps erreichen kann.\n",{"text":765,"config":766},"Kostenlosen Test starten",{"href":767,"dataGaName":50,"dataGaLocation":768},"https://gitlab.com/-/trial_registrations/new?glm_content=default-saas-trial&glm_source=about.gitlab.com/de-de/","feature",{"text":52,"config":770},{"href":54,"dataGaName":55,"dataGaLocation":768},1776449919175]