Kein Backlog ohne Cyber Security

agilophil Podcast Folge 190: Kein Backlog ohne Cyber Security! – Arwid Zang

Shownotes – Kein Backlog ohne Cyber Security – Interview mit Arwid Zang

Cyber Security ist eines dieser Themen, das wir alle kennen, vor denen wir uns alle fürchten und die wir trotzdem viel zu oft ausblenden. Gerade in der agilen Produktentwicklung liegt der Fokus häufig auf Features, Time-to-Market und Mehrwert für die Nutzer:innen. Sicherheit? Kommt später. Oder gar nicht.

In dieser Folge spreche ich mit Arwid Zang, CEO von greenhats® und Experte für Cybersecurity sowie ethisches Hacking, darüber, warum genau das ein gefährlicher Denkfehler ist und wie wir es besser machen können.

Warum Cybersecurity in jedes Backlog gehört

Wenn wir ehrlich sind, tauchen Security-Themen in vielen Product Backlogs kaum auf. Stattdessen dominieren funktionale Anforderungen, neue Features oder technische Verbesserungen. Dabei ist Sicherheit keine optionale Ergänzung, sondern eine Grundvoraussetzung für jedes digitale Produkt.

Arwid macht im Gespräch klar: Es gibt kein System ohne Schwachstellen. In über zehn Jahren hat sein Team kein einziges System gesehen, das vollständig sicher war. Das bedeutet: Die Frage ist nicht, ob ein Produkt angreifbar ist, sondern wann und wie.

Gerade in der agilen Entwicklung ist das relevant. Wer Security nicht aktiv einplant, entwickelt sie auch nicht mit.

Was ethische Hacker wirklich tun

Ein spannender Teil des Gesprächs dreht sich um die Arbeit von sogenannten „White Hackern“. Anders als klassische Penetration Tests, die oft stark standardisiert ablaufen, simulieren sie reale Angriffe – technisch, aber auch physisch.

Das reicht von Code-Analysen über Netzwerkangriffe bis hin zu tatsächlichen Einbruchsversuchen in Gebäude. Ziel ist immer: Schwachstellen aufdecken, bevor echte Angreifer sie finden.

Wichtig dabei: Diese Angriffe passieren nicht zufällig, sondern im klar definierten Rahmen: mit Zustimmung, Scope und Zielsetzung. Und vor allem in enger Zusammenarbeit mit den Teams.

Die größten Schwachstellen entstehen im Alltag

Ein zentrales Learning aus dem Gespräch: Die gefährlichsten Sicherheitslücken entstehen selten durch hochkomplexe Hackerangriffe, sondern durch ganz alltägliche Entscheidungen.

Zum Beispiel:

  • Schnell implementierte Features ohne Sicherheitsprüfung
  • Vergessene Testzugänge oder Default-Passwörter
  • Eigenentwickelte Authentifizierungsmechanismen
  • Fehlende Updates oder veraltete Sicherheitsstandards

Ein besonders eindrückliches Beispiel aus dem Interview: Ein einfacher Zugang – wahrscheinlich bei der Entwicklung zu Testzwecken angelegt – mit Benutzername und Passwort „SEPA“ ermöglichte im Produktivsystem den Zugriff bis hin zu Überweisungen und blieb jahrelang unentdeckt.

Das zeigt: Security ist kein einmaliges Thema, sondern ein kontinuierlicher Prozess.

Security by Design statt nachträglichem Flickwerk

Der wichtigste Ansatz ist für Arwid klar: Security by Design.

Das bedeutet:

  • Sicherheit von Anfang an mitdenken
  • Entwickler entsprechend schulen
  • Sicherheitsanforderungen in die Architektur integrieren
  • Regelmäßige Tests und Reviews einplanen
  • Security auch nach Go-Live kontinuierlich überwachen

Gerade in agilen Prozessen heißt das: Security gehört in jeden Sprint und gleichzeitig auf die Meta-Ebene des gesamten Produkts.

Denn Sicherheitsstandards verändern sich ständig. Was heute sicher ist, kann morgen bereits veraltet und leicht zu knacken sein.

KI und Vibe Coding – Chance und Risiko zugleich

Ein aktuelles Thema im Gespräch ist der Einsatz von KI in der Softwareentwicklung. Die Möglichkeiten sind beeindruckend aber aus Security-Sicht hochriskant.

Der Grund: KI generiert Code auf Basis bestehender Daten. Und ein großer Teil des öffentlich verfügbaren Codes ist unsicher.

Das Ergebnis: Schnell erzeugter Code ist oft auch schnell angreifbar.

Mein Fazit aus diesem Teil: KI kann unterstützen, aber sie ersetzt keine Sicherheitsprüfung. Wer KI nutzt, muss Security bewusst mitdenken – oder riskiert massive Schwachstellen.

Kontinuierliches Monitoring statt einmaliger Tests

Ein besonders wichtiger Punkt: Ein einmaliger Security-Test reicht nicht aus.

Angriffe entwickeln sich ständig weiter – oft automatisiert und KI-gestützt. Deshalb braucht es kontinuierliches Monitoring:

  • Neue Schwachstellen erkennen
  • Veränderungen in der Angriffsfläche analysieren
  • Informationen aus dem Darknet berücksichtigen
  • Risiken frühzeitig adressieren

Security ist damit kein Projekt, sondern eine dauerhafte Fähigkeit eines Unternehmens.

Der wichtigste Hack für Product Owner

Zum Abschluss gibt Arwid einen einfachen, aber wirkungsvollen Tipp:

Stell dir die Frage:
Gibt es in deinem System eine einzige Person, die alles lahmlegen kann?

Wenn die Antwort „ja“ ist, hast du ein ernstes Problem.

Denn genau diese Abhängigkeiten sind nicht nur organisatorisch riskant, sondern auch sicherheitskritisch. Wer hier ansetzt, kann mit einfachen Mitteln das Sicherheitsniveau deutlich erhöhen.

Fazit

Cybersecurity wirkt auf den ersten Blick wie ein notwendiges Übel, vergleichbar mit einem Zahnarztbesuch. Aber richtig gedacht, ist sie ein echter Wettbewerbsvorteil.

Unternehmen, die Sicherheit ernst nehmen, gewinnen Vertrauen. Und Vertrauen ist am Ende oft entscheidend für den Auftrag.

Deshalb mein Appell:
Bringt Security aktiv in euer Backlog. Nicht später. Jetzt!

Weiterführende Links

Dein agilophiler

Frank

Weitere Episoden des agilophil Podcasts findest du auf der Übersichtsseite Podcast.

Höre den agilophil Podcast überall wo es Podcasts gibt:

Neu: Der Scrum Einführung Onlinekurs zum Sonderpreis!

Kurs sichern!
Onlinekurs Einführung in Scrum
Datenschutz-Übersicht

Diese Website verwendet Cookies, damit wir dir die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in deinem Browser gespeichert und führen Funktionen aus, wie das Wiedererkennen von dir, wenn du auf unsere Website zurückkehrst, und hilft unserem Team zu verstehen, welche Abschnitte der Website für dich am interessantesten und nützlichsten sind.