Software mit bekannten Sicherheitslücken bei 87 Prozent der Unternehmen in Betrieb

Der „State of DevSecOps Report 2026“ mahnt: Sicherheitsrisiken entstehen zunehmend früher – und zwar dort, wo Software aus vielen Bausteinen und Zulieferungen zusammengesetzt wird

[datensicherheit.de, 01.03.2026] Der aktuelle Bericht „State of DevSecOps Report 2026“ von Datadog geht auf die Probleme moderner IT-Sicherheitsteams ein: Diese steckten förmlich zwischen veralteter Software mit bekannten Schwachstellen und zu schneller Automatisierung, welche die Gefahr berge, bösartige oder kompromittierte Software gleich mit zu installieren. Das Ergebnis sei eine wachsende Lücke zwischen dem Sicherheitsgefühl vieler Organisationen und dem realen bereits in der Produktion erwachsenden Risiko. Der Report thematisiert außerdem, warum viele IT-Security-Teams trotz wachsender „Alert“-Flut nicht schneller werden: Sie gingen im Rauschen „kritischer“ Meldungen geradezu unter, denn 82 Prozent der als „kritisch“ eingestuften Schwachstellen seien tatsächlich unkritisch, sobald reale Laufzeitkontexte berücksichtigt werden.

Risiko zunehmend durch Software-Lieferkette und zum Erstellen und Bereitstellen von Anwendungen verwendeten „Tools“ geprägt

Die Datadog Inc., Anbieter einer KI-gestützte „Observability“- und Sicherheitsplattform für „Cloud“-Anwendungen, hat am 26. Februar 2026 seinen aktuellen „State of DevSecOps Report“ veröffentlicht. Demnach haben nahezu neun von zehn Unternehmen (87%) mindestens eine bekannte, ausnutzbare Schwachstelle in bereitgestellten Services.

• Der Bericht verweist auf einen breiteren Wandel in der Branche, bei dem Sicherheitsrisiken entlang des gesamten „Software Delivery“-Lebenszyklus zunähmen.

Da sich die Entwicklung beschleunige, stärker automatisiert ablaufe und sich stärker auf Drittanbieter-Komponenten stütze, werde das Risiko zunehmend durch die Software-Lieferkette und die zum Erstellen und Bereitstellen von Anwendungen verwendeten „Tools“ geprägt – und eben nicht nur durch den in der Produktion laufenden Code.

Sicherheitsrisiko nimmt an beiden Enden des Software-Lebenszyklus zu

Einerseits altere Software schneller, als Teams sie aktuell halten könnten. „Die mediane Software-Abhängigkeit, also wie lange die verwendeten Software-Bausteine veraltet sind, liegt inzwischen bei 278 Tagen und damit 63 Tagen mehr als im vergangenen Jahr.“

• Gleichzeitig beschleunige Drittanbieter-Software die Entwicklung, bringe jedoch Risiken mit sich, „wenn ihr komplett vertraut wird“. Die Hälfte der Unternehmen (50%) übernähmen neue Bibliotheksversionen innerhalb von 24 Stunden nach Veröffentlichung und nur vier Prozent aller Unternehmen legten „GitHub-Actions“ mithilfe von „Commit-Hashes“ auf eine spezifische Version fest.

Infolgedessen seien „Build- und Deployment-Pipelines“ zunehmend stillen Änderungen in Drittanbieter-Code ausgesetzt, was CI/CD-Systeme zu einem kritischen Lieferketten-Risiko mache.

Veraltete Software mit bekannten Schwachstellen vs. Automatisierung mit ungeprüftem Code

„Die Art und Weise, wie Software gebaut wird, hat sich grundlegend verändert, aber Sicherheitspraktiken haben nicht Schritt gehalten“, erläutert Andrew Krug, „Head of Security Advocacy“ bei Datadog.

• Ergibt zu bedenken: „,DevSecOps’-Teams sitzen zwischen den Stühlen – zu langsam oder zu schnell. Wer langsam vorgeht, sammelt veraltete Software mit bekannten Schwachstellen an. Wer schnell vorgeht, kann durch Automatisierung ungeprüften Code einführen.“

Die eigentliche Herausforderung sei jedoch nicht nur die Geschwindigkeit, sondern Klarheit. „Da Umgebungen immer komplexer werden, helfen KI-gestützte Workflows dabei, sicherzustellen, dass die wichtigsten Prioritäten zuerst Aufmerksamkeit bekommen“, so Krug.

Software-Schwachstellen: Warnmeldungsvolumen verdeckt tatsächliches Risiko

Während die Zahl der Warnmeldungen zu Schwachstellen weiter steige, zeige der Bericht auch, dass die meisten kein unmittelbares Geschäftsrisiko darstellten. Nur 18 Prozent der als „kritisch“ eingestuften Schwachstellen blieben tatsächlich kritisch, „sobald Laufzeitkontext berücksichtigt wird“.

• „Wenn fast alles als ‚kritisch‘ gekennzeichnet ist, ist nichts mehr kritisch“, warnt Krug. Er kommentiert abschließend: „Teams sind mit einem Rauschen beschäftigt, während Bedrohungen, die ein echtes Risiko darstellen, durchrutschen. Ohne Kontext wird die Priorisierung schwieriger, was zu Burnout, langsameren Reaktionszeiten und angesammeltem Risiko führt. Teams brauchen bessere Transparenz darüber, was tatsächlich Maßnahmen erfordert.“

Datadog hat für den vorliegenden Bericht nach eigenen Angaben Telemetriedaten aus Zehntausenden von Anwendungen analysiert, um Sicherheitsrisiken in modernen Software-Umgebungen zu bewerten, sowie zusätzliche Datensätze, die für spezifische Ergebnisse genutzt wurden. Die Datenbasis sei global.

Weitere Informationen zum Thema:

DATADOG
AI-Powered Observability and Security / See inside any stack, any app, at any scale, anywhere.

DATADOG, Februar 2026
STATE OF DevSecOps

Andrew Krug
Hi, I’m Andrew Krug

datensicherheit.de, 24.11.2025
Software-Schwachstellen als Achillesferse moderner technischer Systeme / Statt Patchen „Security by Design“ der Software mit der richtigen Programmiersprache

datensicherheit.de, 10.11.2025
Erweiterte SBOM als Sicherheitheitspass: Software-Stücklisten zwischen Pflicht und Kür / Laut ONEKEY entwickeln sich erweiterte SBOMs zum Sicherheitspass mit integrierter Risikobewertung und allen regulatorisch konformen Nachweisen

datensicherheit.de, 23.10.2025
Wenn die Software-Lieferkette ins Visier gerät: Effektives Schwachstellen-Management vorhalten / Cyberangriffe gehören längst zur Normalität – besonders kritisch wird es indes, wenn Täter einzelne Komponenten der Software-Lieferkette attackieren

datensicherheit.de, 27.02.2025
Cyber Resilience Act – Absicherung der Software-Lieferkette / Cyberkriminelle nutzen zunehmend Schwachstellen in Entwicklungspipelines aus