Am 18. März 2026 hat der IT-Planungsrat (das zentrale politische Gremium bei der Digitalisierung der öffentlichen Verwaltung) den Deutschland-Stack beschlossen. Das föderale Rahmenwerk legt zehn Architekturprinzipien für die gesamte Verwaltungs-IT fest – von Bund über Länder bis zu Kommunen.
Eines dieser Prinzipien fällt durch seine Klarheit auf: „DevSecOps only“. Damit wird agile, sicherheitsintegrierte Softwareentwicklung erstmals als verbindlicher Entwicklungsstandard verankert. Konkrete Umsetzungsangebote für alle föderalen Ebenen sollen bis 2028 bereitstehen.
DevSecOps integriert Sicherheitsprüfungen direkt in die Entwicklungspipeline, statt sie ans Projektende zu verschieben. Security-Checks, automatisierte Tests und Infrastructure as Code gehören damit zum Entwicklungsalltag. Der Deutschland-Stack benennt OWASP (das Open Web Application Security Project) explizit als Handlungsleitfaden und Policy as Code als Standardprinzip.
Kurz: Sicherheit soll nicht mehr beim Abnahmetermin nachgewiesen, sondern von Anfang an eingebaut werden.
Das ist keine graduelle Anpassung. Behörden, die heute noch mit dem V-Modell XT oder klassischen Phasenmodellen arbeiten, stehen vor einer strukturellen Transformation ihrer Entwicklungs- und Abnahmeprozesse.
Der Beschluss schafft einen Standard. Die Umsetzung obliegt den Behörden. Und dort trifft die neue Anforderung auf eine herausfordernde Realität: Rund 78 Prozent der IT-Budgets in der öffentlichen Verwaltung fließen in Wartung und Betrieb bestehender Systeme. Für den Aufbau neuer Entwicklungsinfrastrukturen bleibt wenig Spielraum.
Gleichzeitig wächst der Druck von einer weiteren Seite: Das NIS-2-Umsetzungsgesetz, das seit dem 6. Dezember 2025 ohne Übergangsfrist in Kraft ist, fordert in § 30 BSIG-neu explizit Sicherheit in Entwicklung und Beschaffung von IT-Systemen. Wer DevSecOps nicht umsetzt, riskiert dort eine Compliance-Lücke, die sich bei nächsten Audits und Vergabeverfahren bemerkbar machen wird.
Hinzu kommt der Fachkräftemangel: In der öffentlichen Verwaltung fehlen heute rund 39.000 IT-Fachkräfte, Tendenz steigend. DevSecOps-Erfahrung gehört zu den am stärksten nachgefragten Kompetenzen am Markt und ist intern entsprechend schwer aufzubauen.
Die gute Nachricht: DevSecOps lässt sich schrittweise einführen. Erste Bundesländer zeigen, wie es geht. Niedersachsen setzt das Scaled Agile Framework (SAFe) mit Program Increment Planning für bis zu 125 Beteiligte ein. Das V-Modell XT Bund wurde so angepasst, dass vollständig auf Scrum-Basis gearbeitet werden kann. Der Weg funktioniert, aber er braucht Struktur, Erfahrung und verlässliche Nachweisartefakte.
Pragmatische Einstiegspunkte für Behörden:
Ein erster DevSecOps-Baustein ersetzt kein vollständiges Sicherheitskonzept. Er schafft aber die Entwicklungsgrundlage, auf der alle weiteren Maßnahmen aufbauen können. Bitkom fordert in seinem Positionspapier zum Deutschland-Stack genau das: „standardisierte Entwicklungs- und Testumgebungen, API-Kataloge, Referenzarchitekturen und automatisierte Prozesse“ als Voraussetzung für eine einheitliche Developer Experience.
Wenn Sie wissen möchten, wie ein erster DevSecOps-Baustein in Ihrer Behörde konkret aussehen kann, sprechen Sie gerne mit unserem Gov-IT-Team. Wir begleiten Sie von der Konzeption bis zur Umsetzung: vergabekonform und mit nachweisbarer Qualitätssicherung.
Der Deutschland-Stack legt zehn Architekturprinzipien fest, darunter „DevSecOps only“, Zero-Trust und API-First. OWASP ist als Handlungsleitfaden explizit benannt. Konkrete Umsetzungsangebote für alle föderalen Ebenen sollen bis 2028 bereitstehen.
Der Deutschland-Stack definiert einen mittelfristigen Zielrahmen. Da jedoch das NIS-2-Umsetzungsgesetz (in Kraft seit Dezember 2025) bereits jetzt Sicherheit in der Softwareentwicklung fordert, empfiehlt es sich, frühzeitig mit dem Aufbau entsprechender Prozesse zu beginnen.
Grundsätzlich ja. Agile Leistungserbringung lässt sich über funktionale Leistungsbeschreibungen, iterative Abnahmen und sorgfältige Dokumentation vergaberechtskonform gestalten. Erfahrung im Gov-IT-Vergabekontext ist dabei entscheidend.
Ein realistischer Einstieg beginnt mit automatisierten Security-Checks in der CI/CD-Pipeline und einer soliden Testautomatisierung für Regressionstests. Diese Bausteine erzeugen Nachweisartefakte und kürzere Release-Zyklen, ohne die gesamte IT-Organisation sofort umbauen zu müssen.
Externe Gov-IT-Dienstleister können fehlende DevSecOps-Kompetenz kurzfristig überbrücken und gleichzeitig Know-how aufbauen. Entscheidend ist, dass Leistungsumfang, Dokumentation und Abnahmekriterien vergaberechtlich sauber definiert sind.
Vorname:
Nachname:
E-Mail-Adresse:
Telefonnummer:
Betreff:
Ihre Nachricht:
Ja, ich bin einverstanden, dass meine personenbezogenen Daten elektronisch erhoben und gespeichert werden. Meine Daten werden nur zum Zweck der Beantwortung meiner Anfragen verwendet. Die Datenschutzhinweise habe ich zur Kenntnis genommen.
Sie sehen gerade einen Platzhalterinhalt von OpenStreetMap. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie müssen den Inhalt von hCaptcha laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Sie sehen gerade einen Platzhalterinhalt von Hubspot Meetings. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von Google Maps. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.