Security by Design

Security by Design bezeichnet das Prinzip, Sicherheitsanforderungen von Beginn an in das Design von IT-Systemen und Software zu integrieren, statt sie nachträglich hinzuzufügen; das Gegenteil ist ein "Bolt-on Security"-Ansatz, der teurer und weniger effektiv ist. Der Cyber Resilience Act (CRA) schreibt Security by Design als Pflicht für Hersteller vernetzter Produkte vor; auch ENISA und BSI empfehlen es als Grundprinzip für sichere IT-Entwicklung. In IT-Ausschreibungen für Software-Entwicklungsdienstleistungen sind Security-by-Design-Nachweise (Threat-Modeling-Dokumentation, Secure-SDLC-Prozess, Sicherheitsarchitekturreviews) als Eignungskriterien zu fordern.