Secure by Design (Security by Design / Sicherheit durch Konstruktion)

Secure by Design bezeichnet das Prinzip, Sicherheitsanforderungen bereits in der Planungs- und Architekturphase von IT-Systemen zu verankern, anstatt Sicherheitsmaßnahmen nachträglich anzufügen, was typischerweise teurer und weniger wirksam ist. CISA und ENISA propagieren das Konzept als grundlegende Gestaltungsphilosophie für Software- und Systemhersteller; der EU Cyber Resilience Act macht Secure by Design für vernetzte Produkte zur regulatorischen Anforderung. In IT-Vergaben sollten Auftraggeber fordern, dass Bieter Secure-by-Design-Prinzipien im Rahmen ihres Software Development Life Cycle (SDLC) nachweisen und durch Threat Modeling, Code Reviews und automatisierte Sicherheitstests belegen können.