BSI startet Zertifizierung für sichere Software-Entwicklung
01.02.2026 - 05:22:12
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt ein neues Gütesiegel für Software-Hersteller ein. Ab sofort können Unternehmen ihre Entwicklungsprozesse nach der Technischen Richtlinie TR-03185 „Sicherer Software-Lebenszyklus“ prüfen und zertifizieren lassen. Ziel ist es, Sicherheitslücken schon bei der Entstehung zu verhindern.
Vom Konzept bis zur Wartung: Sicherheit von Anfang an
Die neue Richtlinie definiert, wie Informationssicherheit in jeder Phase der Software-Entwicklung verankert werden muss. Der Ansatz „Security by Design“ soll verhindern, dass Schwachstellen überhaupt entstehen – anstatt sie später mühsam zu patchen. Die TR-03185 bündelt bewährte Praktiken aus Standards wie dem BSI IT-Grundschutz.
Die Richtlinie besteht aus zwei Teilen: Einer für proprietäre Software und ein spezieller Teil (TR-03185-2) für die Besonderheiten von Open-Source-Software. Angesichts der täglich neuen Sicherheitslücken setzt das BSI damit auf Prävention.
Viele Unternehmen unterschätzen, wie schnell eine Sicherheitslücke ganze Entwicklungs‑ und Lieferketten gefährden kann. Gerade mit neuen EU‑Vorgaben wie dem Cyber Resilience Act und NIS2 steigt der Druck, Sicherheitsmaßnahmen bereits im Software‑Lebenszyklus zu verankern. Ein kostenloses E‑Book erklärt aktuelle Cyber‑Security‑Trends, praxisnahe Schutzmaßnahmen und wie Sie Ihre Entwicklungsprozesse nach modernen Standards stärken — ideal für Entscheider und Entwickler, die Zertifizierungsaufwand reduzieren wollen. Jetzt kostenloses Cyber‑Security‑E‑Book herunterladen
So funktioniert das neue Zertifikat
Hersteller können nun ihre internen Abläufe von zugelassenen Auditoren prüfen lassen. Ein erteiltes Zertifikat gilt für drei Jahre. Zur Kontrolle finden jährliche Überwachungs-Audits statt.
Der Prüfprozess ist zweistufig: Zuerst wird die Dokumentation der Prozesse begutachtet. In einer zweiten, intensiven Phase überprüfen die Auditoren dann die tatsächliche Umsetzung in der Praxis – auch durch direkte Mitarbeitergespräche. Das BSI wird in Kürze eine Liste der zugelassenen Prüfer veröffentlichen.
Wettbewerbsvorteil für vorausschauende Unternehmen
Für Software-Hersteller bringt die Zertifizierung erhebliche Erleichterungen. Besonders profitieren Unternehmen, deren Produkte bereits anderen BSI-Prüfungen unterliegen, wie der TR-03161 für mobile Apps.
Mit der Prozesszertifizierung entfallen aufwendige Einzelprüfungen für jedes neue Release oder Update. Das beschleunigt die Markteinführung und reduziert den administrativen Aufwand. Für öffentliche Auftraggeber und Unternehmen schafft das Siegel zudem Transparenz und dient als vertrauenswürdiger Nachweis bei der Beschaffung.
Deutsche Antwort auf europäische Cyber-Vorschriften
Der Start des Programms kommt zum richtigen Zeitpunkt. Europäische Regulierungen wie der EU Cyber Resilience Act (CRA) und die NIS2-Richtlinie erhöhen den Druck auf Hersteller, für Sicherheit im gesamten Produktlebenszyklus zu garantieren.
Die TR-03185 kann als nationaler Fahrplan verstanden werden, um sich auf diese strengeren Anforderungen vorzubereiten. Unternehmen, die früh zertifizieren, reduzieren Haftungsrisiken und sichern sich einen Wettbewerbsvorteil. In einem Markt, in dem Vertrauen zum entscheidenden Kriterium wird, positionieren sie sich als verlässliche Partner.
Pilotprojekte und Branchenstandard in Sicht
Software-Hersteller können nun den Anmeldeprozess starten. Das BSI wird die ersten zwei bis drei Zertifizierungen als Pilotprojekte eng begleiten, um den Ablauf zu optimieren.
Langfristig hat das Zertifikat das Potenzial, sich als De-facto-Standard zu etablieren – besonders bei öffentlichen Ausschreibungen und in kritischen Infrastrukturen. Die Initiative stärkt die Resilienz des digitalen Wirtschaftsstandorts Deutschland und legt den Grundstein für eine robustere digitale Zukunft.
PS: Sie wollen sich gezielt auf die neuen Vorschriften vorbereiten und Haftungsrisiken minimieren? Der Gratis‑Leitfaden „Cyber Security Awareness Trends“ fasst relevante Gesetze (CRA, NIS2), typische Angriffsvektoren und sofort umsetzbare Maßnahmen zusammen — für schnelle Verbesserungen ohne große Investitionen. Holen Sie sich das Gratis‑E‑Book und sichern Sie Ihre Software‑Prozesse ganz praktisch. Gratis‑E‑Book jetzt anfordern
