4. August 2025

Sourcecode schützen: So sichern Sie Quellcode sinnvoll ab

Author Image

Von Joachim Reinke

August 4, 2025

ISO 27001, Sourcecode
Share 0
Share 0
Post 0

Quellcode gehört zu den sensibelsten Assets eines Softwareunternehmens. Wer unkontrollierten Zugriff auf Sourcecode hat, kann nicht nur Geschäftsgeheimnisse auslesen, sondern auch Schwachstellen einbauen, Backdoors platzieren oder Änderungen vorbereiten, die später kaum noch sauber nachvollziehbar sind. Genau deshalb behandelt ISO 27001 das Thema ausdrücklich in Anhang A.8.4 "Zugriff auf Quellcode". Der Kern dahinter ist einfach: Zugriff auf Quellcode, Entwicklungstools und zugehörige Bibliotheken soll angemessen gesteuert, überwacht und geschützt werden.

Die kurze Antwort

Wenn Sie Sourcecode sinnvoll schützen wollen, brauchen Sie mehr als ein Git-Repository.

Ein belastbarer Ansatz kombiniert in der Praxis:

  • zentrale und kontrollierte Ablage;
  • klare Rollen und Rechte;
  • Trennung von Lesen, Schreiben und Freigeben;
  • Review- und Freigabeprozesse;
  • Schutz von Secrets und Build-Pipelines;
  • Protokollierung und Nachvollziehbarkeit;
  • ergänzende Sicherheitsprüfungen im Entwicklungsprozess.

Genau darin liegt der Unterschied zwischen "Code liegt irgendwo in Git" und "Quellcode ist wirklich kontrolliert". Anhang A.8.4 zielt genau auf diese Kombination aus Zugriffskontrolle, Audit Trails und Änderungsmanagement. Ergänzend betont OWASP, dass sichere Code Reviews und statische Codeanalyse wichtige Bausteine im Entwicklungsalltag sind.

Zentrale Verwaltung statt verteilter Kopien

Der Grundgedanke im bestehenden Artikel ist richtig: Sourcecode gehört nicht auf verstreute Laufwerke, lokale Schattenkopien oder irgendwelche halbprivaten Ablageorte. Eine zentrale Repository-Struktur ist der sinnvolle Ausgangspunkt, weil dort Berechtigungen, Branches, Freigaben und Protokolle sauber gesteuert werden können. Genau das nennt auch die aktuelle Auslegung zu Anhang A.8.4 als Kernpunkt: kontrollierter Zugriff auf Quellcode statt unübersichtlicher Verteilung.

Lesen, schreiben, freigeben: nicht alles gehört in dieselbe Hand

Ein häufiger Fehler ist, Zugriff auf Sourcecode nur binär zu denken: drin oder nicht drin.

Sinnvoller ist eine sauberere Trennung:

  • Wer darf den Code nur lesen?
  • Wer darf aktiv ändern?
  • Wer darf in sensible Branches mergen?
  • Wer darf Releases oder produktive Freigaben auslösen?

Gerade in größeren oder sicherheitskritischeren Umgebungen ist es klug, Schreibrechte klein zu halten und Freigaben noch restriktiver zu behandeln als Lesezugriffe. Genau diese Trennung zwischen verschiedenen Zugriffsebenen passt sehr gut zur Logik von A.8.4.

Pull Requests sind gut - aber allein noch kein Schutzkonzept

Der bestehende Artikel nennt Pull Requests zu Recht als wichtigen Baustein. Das ist sinnvoll, weil Änderungen dadurch nicht still und heimlich direkt auf zentrale Branches gehen.

Trotzdem reicht der bloße Pull Request noch nicht. Wirklich stark wird das Thema erst durch saubere Regeln, zum Beispiel:

  • Pflicht zu Reviews vor dem Merge;
  • Branch Protection auf kritischen Branches;
  • keine Direkt-Commits auf Main oder Release-Branches;
  • nachvollziehbare Freigaben;
  • klare Regeln für Ausnahmen.

OWASP empfiehlt sichere Code Reviews ausdrücklich als Teil eines belastbaren Entwicklungsprozesses. Das passt hier sehr gut: Nicht jeder Review ist automatisch ein Security Review, aber ohne Review wird Sourcecode-Schutz schnell zur Behauptung.

CI/CD und Build-Pipelines gehören mit dazu

Wenn jemand Zugriff auf Build-Server, CI/CD-Plattformen, Deployments oder Automatisierungspipelines hat, kann er Code indirekt manipulieren oder ungewollte Artefakte ausrollen. Genau deshalb ist es richtig, hier auch an Compiler, CI/CD-Plattformen und Testumgebungen mit zu denken. Anhang A.8.4 bezieht sich ausdrücklich nicht nur auf den Code selbst, sondern auch auf Entwicklungstools und Softwarebibliotheken.

Secrets gehören nicht in den Quellcode

Zugangsdaten, API-Keys, Zertifikate, Tokens oder produktive Konfigurationswerte sollten nicht im Code landen. Wenn sie dort landen, wird aus einem Repository schnell ein direkter Sicherheitsvorfall mit Folgeschäden für Systeme, Daten und Lieferketten.

Sourcecode-Schutz heißt deshalb immer auch:

  • Secret Scanning;
  • saubere Trennung von Code und Geheimnissen;
  • kontrollierter Umgang mit Konfigurationswerten;
  • sichere Ablage sensibler Werte außerhalb des Repositories.

Das ist keine Spezialästhetik, sondern Basishygiene für jeden ernsthaften Entwicklungsprozess. Diese Empfehlung ist eine praktische Schlussfolgerung aus der Schutzlogik von A.8.4 und gängigen sicheren Entwicklungspraktiken.

Logging und Nachvollziehbarkeit sind Pflichtgefühl (minus Romantik)

Ohne Audit Trails wird aus Versionshistorie schnell Nebel. Gute Repository- und DevOps-Umgebungen können das in der Regel längst - man muss die Funktionen nur ernsthaft nutzen und nicht als optionales Extra behandeln. Genau diese Audit-Trails nennt auch die Auslegung zu A.8.4 ausdrücklich als wichtigen Bestandteil.

Sourcecode schützen heißt auch: Schwachstellen früh erkennen

Sourcecode-Schutz endet nicht beim Zugriff.

Wenn Sie verhindern wollen, dass unsicherer Code in Produktion geht, gehören auch Prüfungen in den Entwicklungsprozess. Dazu zählen je nach Umgebung etwa:

  • manuelle Security Reviews;
  • statische Codeanalyse;
  • Dependency-Checks;
  • Scans auf bekannte Schwachstellen;
  • Prüfungen vor Release oder Merge.

OWASP beschreibt sichere Code Reviews und Source Code Analysis Tools genau in dieser Richtung: nicht als Ersatz für saubere Entwicklung, aber als wichtiger Teil, um Sicherheitsprobleme früh zu erkennen, bevor sie teuer werden.

Der häufigste Fehler: Repo-Sicherheit mit Sourcecode-Schutz verwechseln

Viele Unternehmen denken bei dem Thema zuerst an GitHub, GitLab oder Bitbucket-Rechte. Das ist ein guter Start, aber noch nicht das ganze Bild.

Ein wirklich belastbarer Schutz für Sourcecode umfasst auch:

  • Rollenmodell;
  • Review-Logik;
  • Branch Protection;
  • Schutz der Build-Kette;
  • sicheren Umgang mit Secrets;
  • Logging;
  • Nachvollziehbarkeit;
  • ergänzende Sicherheitsprüfungen im SDLC.

Wenn Sie nur das Repository absichern, aber den Rest offenlassen, schützen Sie nicht den Entwicklungsprozess, sondern nur einen Teil davon.

Was will der Auditor sehen?

Im Audit reicht es nicht, zu sagen: "Unser Code liegt in Git."

Der Auditor will erkennen, dass der Zugriff auf Sourcecode und die dazugehörigen Werkzeuge tatsächlich gesteuert wird. Überzeugend ist dabei vor allem, wenn Sie zeigen können, dass Rechte klar geregelt sind, sensible Branches geschützt werden, Änderungen nachvollziehbar freigegeben werden, Protokolle vorhanden sind und auch CI/CD, Build-Pipelines und ergänzende Prüfungen in die Sicherheitslogik einbezogen werden. Ein schlanker, gelebter Entwicklungsprozess ist auch hier stärker als eine lange Policy, die niemand ernsthaft nutzt. Diese Erwartung passt direkt zur Schutzlogik von A.8.4: kontrollieren, überwachen, nachverfolgen.

FAQ

Was verlangt ISO 27001 beim Thema Sourcecode?

Im Kern, dass Zugriff auf Quellcode, Entwicklungstools und zugehörige Bibliotheken angemessen gesteuert und geschützt wird. Ziel ist, unbefugte Änderungen, Missbrauch und Sicherheitsrisiken im Entwicklungsprozess zu verhindern.

Reicht ein zentrales Git-Repository aus?

Nein. Ein zentrales Repository ist ein guter Start, aber noch kein vollständiges Schutzkonzept. Erst Rollen, Rechte, Freigaben, Logging, Branch Protection und sichere DevOps-Prozesse machen daraus einen belastbaren Ansatz.

Sind Pull Requests schon genug?

Nicht allein. Pull Requests sind sinnvoll, werden aber erst durch Review-Pflicht, Schutz zentraler Branches und nachvollziehbare Freigaben wirklich stark. OWASP empfiehlt sichere Code Reviews ausdrücklich als Teil eines wirksamen Entwicklungsprozesses.

Gehören CI/CD und Build-Server zum Sourcecode-Schutz dazu?

Ja. Wer die Build- oder Deployment-Kette manipulieren kann, kann Sourcecode-Schutz indirekt aushebeln. Deshalb sollten auch diese Werkzeuge abgesichert und überwacht werden.

Sollte man Secrets im Repository speichern?

Besser nicht. Zugangsdaten, Tokens und andere Geheimnisse sollten getrennt vom Code verwaltet werden. Das ist ein grundlegender Teil eines sauberen Entwicklungs- und Sicherheitsprozesses.

Was ist der häufigste Fehler?

Zu glauben, dass Repository-Rechte allein schon Sourcecode-Schutz bedeuten. In der Praxis gehören immer auch Review, Logging, Build-Pipeline-Schutz und sichere Entwicklungsprozesse dazu.

Unser Tipp

Sourcecode schützen heißt nicht nur, ein Repository zu besitzen und ein paar Rechte zu setzen. Wirklich sicher wird das Thema erst dann, wenn Zugriff, Freigaben, Branches, Build-Kette, Secrets, Logging und Sicherheitsprüfungen zusammenspielen. Genau dann schützen Sie nicht nur einzelne Dateien, sondern den gesamten Entwicklungsprozess - und damit einen der wertvollsten Teile Ihres Unternehmens.

Interesse geweckt?

Wenn Sie prüfen wollen, ob Ihre aktuelle Quellcode-Verwaltung wirklich sicher und auditfähig ist oder ob sie nur halbwegs ordentlich aussieht, sprechen Sie mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!

Share 0
Share 0
Post 0
Author Image
Share0

Über den Autor

Joachim Reinke

Joachim Reinke unterstützt seit 2017 Unternehmen beim Aufbau praxistauglicher Managementsysteme für Informationssicherheit und Qualität. In dieser Zeit hat er bereits mehr als 100 Unternehmen begleitet. Er ist zertifizierter Lead Auditor und als Dozent für Informationssicherheit und Qualitätsmanagement bei Zertifizierern und Trainingsanbietern tätig. Kunden schätzen besonders seine klare, praxisnahe und verständliche Vermittlung auch anspruchsvoller Inhalte.

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}