Security Evidence

OWASP-, SAST-, DAST- und Security-Nachweise pro Service

Sicherheitsnachweise werden als CMDB-Objekte servicebezogen geführt. Lücken dürfen existieren, müssen aber dokumentiert sein.

Scanner hat Finding erzeugt, noch keine manuelle Bewertung.

SLA: < 24h Triage

Severity / Exploitability validiert, Owner zugewiesen.

SLA: < 48h

Team arbeitet an Fix, Ticket im Backlog referenziert.

SLA: SLA-abhängig

Behebung implementiert, Re-Scan bestätigt das Verschwinden.

SLA: -

Risiko akzeptiert durch CISO-Freigabe, befristet dokumentiert.

SLA: Review < 90d

Finding dauerhaft geschlossen, Audit-Eintrag unveränderbar.

SLA: -

SAST (SonarCloud)

96%118 / 123

Dependency-Check

91%112 / 123

DAST (ZAP)

78%42 / 54 Web-APIs

SBOM / SCA

88%108 / 123

Container Scan (Trivy)

82%67 / 82 Images

Secret Scanning

100%123 / 123

CVSS-Verteilung

Klick filtert

Angriffsvektoren

Klicken expandiert

#	Service	Team	Crit	High	Med	Risk-Score	Trend
1	fis-invoice-api	fis-platform	2	4	7	92	+3
2	tnt-orders-api	tnt-core	1	3	9	78	-2
3	fis-portal-web	fis-frontend	1	2	5	64	-5
4	shared-auth-lib	platform	0	3	4	58	0
5	dso-audit-svc	dso	1	1	3	47	-1

Feld	Quelle	Darstellung
OWASP Dependency-Check	CI/CD Pipeline	Report-Link, Status, Datum, offene CVEs
OWASP ZAP / DAST	Test-/Security-Pipeline	Scan-Ergebnis, Risiko, Bericht
SAST	SonarCloud oder separates Tool	Issues, Security Hotspots, Qualitätsstatus
SBOM / SCA	Pipeline oder Security Tool	Komponenten, Schwachstellen, Lizenzen
Security-Konzept	TechDocs	Servicebezogene Dokumentation
Risikoakzeptanz	AccessHub / Governance Registry	Dokumentierte Ausnahme mit Gültigkeit

Triage	Fix-SLA	Re-Scan SLA	Eskalation
4 h	7 d	14 d	CISO + Service Owner
24 h	30 d	45 d	Service Owner
72 h	90 d	120 d	Team Lead
7 d	180 d	-	Backlog

Feld	Beschreibung
findingId	Eindeutige Kennung des Befunds
source	SonarCloud, Dependency-Check, ZAP, manuell, Audit
serviceRef	Backstage-Entity, auf die sich der Befund bezieht
severity	kritisch, hoch, mittel, niedrig
owner	Verantwortliches Team oder Service Owner
acceptedUntil	Ablaufdatum einer Risikoakzeptanz
mitigation	Technische oder organisatorische Maßnahme
evidenceLink	Link auf Bericht, Ticket oder TechDocs

Typ	Ø Aufwand	Offen	Automatisierung
Dependency-Upgrade (Patch)	0.5 h	18	Renovate / Dependabot PRs
Dependency-Upgrade (Major)	4 - 16 h	7	Halbautomatisch
Code-Fix (SAST)	2 - 8 h	12	Sonar Quick-Fix + Review
Konfigurations-Härtung	1 - 4 h	6	IaC Template Update
Architekturänderung	2 - 10 d	2	Manuell, ADR erforderlich
Risk Acceptance	1 - 2 h	2	Workflow AccessHub

Artefakt	Aufbewahrung	Storage	Rechtsgrundlage
Dependency-Check Report (JSON)	3 Jahre	Blob Cold	ISO 27001 A.8.8
ZAP-Scan HTML	2 Jahre	Blob Cool	OWASP SAMM
SonarCloud Snapshot	rolling 12M	API	-
SBOM (CycloneDX)	5 Jahre	Blob Archive	EU CRA Art. 13
Risk Acceptance Record	10 Jahre	AccessHub DB	NIS2, ISO 27001
Pen-Test Report (PDF)	7 Jahre	Blob Archive	NIS2 Art. 21

Kontrolle	ISO 27001	NIS2	BSI IT-Grundschutz	EU CRA
Schwachstellenmanagement	A.8.8	Art. 21(2)(e)	OPS.1.1.3	Annex I §1(3)(c)
Sichere Softwarelieferkette / SBOM	A.8.28	Art. 21(2)(d)	CON.8.A22	Art. 13
Pen-Test / Sicherheitsprüfung	A.8.29	Art. 21(2)(f)	ORP.4.A28	Annex I §1(3)(a)
Risikoakzeptanz-Dokumentation	6.1.3	Art. 21(1)	ISMS.1.A9	-
Logging & Nachweisbarkeit	A.8.15	Art. 21(2)(c)	OPS.1.1.5	Annex I §1(3)(e)
Incident Reporting	A.5.24	Art. 23	DER.2.1	Art. 14

ID	CVE	CVSS	EPSS	KEV	Owner	Age	SLA
DC-2026-014	CVE-2025-48219	9.8	94%	KEV	fis-platform-team	3d	3 d
ZAP-2026-033	-	7.4	12%	-	fis-frontend	12d	18 d
SON-2026-121	-	5.6	2%	-	tnt-core	41d	49 d
SBOM-2026-007	CVE-2026-00421	3.1	1%	-	platform	88d	92 d
TRV-2026-044	CVE-2025-60188	8.6	47%	-	dso	2d	28 d
DC-2026-018	CVE-2025-55901	9.1	82%	KEV	tnt-core	1d	6 d

Security Evidence

Findings-Trend (6 Monate)

Finding-Lifecycle

Scanner-Coverage pro Disziplin

CVSS-Verteilung

Angriffsvektoren

Top-5 Services mit Risiko-Score

Evidence types

SLA-Matrix nach Severity

Finding fields

Backstage cards

Remediation-Aufwand

Risk-Acceptance-Workflow

Evidence Retention Matrix

Compliance-Mapping

Open findings (erweitert)