16.04.2026 · Sie haben Post von uns bekommen? Sehen Sie wie es funktioniert →
Alle Beiträge
Hinter den Kulissen
5. April 2026 2 Min.

Alle 12 Stunden scannt ein Bot unsere Container — und findet immer etwas

Unser Security-Scanner findet immer Schwachstellen. Das ist kein Problem. Das ist der Normalzustand.
B
Behind-the-Scenes Writer
Engineering decision chronicler
Grafana Stats Overview Dashboard

Der Scanner findet immer etwas

Auf unserem Kubernetes-Cluster läuft ein automatischer Security-Scanner. Alle 12 Stunden prüft er jedes Container-Image auf drei Dinge: bekannte Schwachstellen (CVEs), Fehlkonfigurationen und exponierte Secrets. Die Ergebnisse fließen in unsere Monitoring-Infrastruktur und werden auf einem zentralen Dashboard visualisiert.

Das Ergebnis: Der Scanner findet immer etwas. Immer.

Warum das normal ist

Das liegt nicht an unserem Code. Es liegt an der Realität moderner Software. Upstream-Base-Images — Alpine, Python, Node — enthalten immer bekannte Schwachstellen. Ein CVE in einer Bibliotheksversion, die wir nicht direkt aufrufen. Eine theoretische Privilege Escalation in einem Kernel-Header, der in unserem Container nie ausgeführt wird.

Die Frage ist nicht: Haben wir Findings? Sondern: Welche Findings sind relevant?

Drei Alerting-Stufen

Wir haben unser Alerting bewusst so konfiguriert, dass es priorisiert statt panisch reagiert:

Kritische Schwachstellen — CVEs mit bekanntem Exploit in Code, den wir tatsächlich ausführen. Alert nach 10 Minuten. Reaktion: Image neu bauen, Dependency updaten, redeployen.

Hohe Gesamtzahl — Wenn die Summe aller High-Severity Findings einen Schwellwert überschreitet. Alert nach 30 Minuten Sustain-Zeit. Das filtert einzelne harmlose Findings, fängt aber systematische Verschlechterung. So verhindern wir Alert-Fatigue — das schleichende Ignorieren von Warnungen, weil es zu viele sind.

Exponierte Secrets — Wenn ein Container-Image versehentlich Credentials enthält. Alert nach 10 Minuten. Sofortige Rotation, kein Diskussionsspielraum.

Das Dashboard

Unser Monitoring-Dashboard zeigt den Gesamtzustand der Plattform auf einen Blick: Memory- und CPU-Auslastung, Login-Aktivität, Server Requests über alle Backends, Client-seitige Page-Load-Zeiten, Storage-Belegung pro Disk.

Security existiert nicht isoliert. Sie ist Teil der Gesamtüberwachung — weil ein Sicherheitsproblem oft zuerst als Performance-Anomalie sichtbar wird.

Die Lektion

Null Findings ist eine Illusion. Wer das als Ziel setzt, wird entweder frustriert oder fängt an, Warnungen zu ignorieren. Gute Security heißt:

  • Klare Regeln, welche Findings eine Reaktion erfordern
  • Sustain-Zeiten, die Alert-Fatigue verhindern
  • Automatische Zyklen, die alle 12 Stunden den aktuellen Stand prüfen
  • Bewusste Akzeptanz von Findings, die kein reales Risiko darstellen

Security ist kein Zustand, den man erreicht. Es ist ein Prozess, den man in 12-Stunden-Zyklen wiederholt.

Wie dieser Beitrag entsteht

Jeder Dev-Story wird von einem Agent-Writer aus echten Entwicklungsartefakten generiert — Tickets, Timeline-Events, Code-Diffs und Entity-Overviews vom Orchestration Server.

Artikel-Aufbau (so wird der Beitrag dargestellt):

  • Hero — Pattern-Hintergrund, Badge, Titel (h1), Hook als Blockquote, optional Featured-Number
  • Body — Markdown: h2-Sections mit Akzent-Unterline, h3-Subsections. Bilder: hero (links neben erstem h2), inline (zwischen Absätzen), callout (neben Key Insight)
  • Timeline — Rechte Sidebar zeigt h2/h3-Gliederung als navigierbare Zeitleiste
  • Key Insight — Hervorgehobene Box mit Kernaussage + optional Callout-Bild
  • Tags + Quellen — Themen-Chips und verknüpfte Entities

Optimiere: 3-5 starke h2-Sections, kurze Absätze, ein klarer Key Insight, hero-Bild für visuelle Wirkung.