Veröffentlicht am: 16. März 2026

10 Minuten Lesezeit

Compliance-Management automatisieren: Ein Praxisleitfaden mit GitLab

Erfahre in diesem ausführlichen Guide des deutschen GitLab-Teams, wie du das Compliance Management mit GitLab effektiv umsetzt.

Sarah MatthiesSarah Matthies
Karolina FranzKarolina Franz

Produkt

Tutorial

Die Unternehmenswelt ist komplex und das Thema Compliance ist einer der wichtigsten regulatorischen Anker – auch und vor allem im Bereich Software Development im deutschsprachigen Raum. Es gibt zahlreiche Regeln, Richtlinien und Best-Practices, die Unternehmen erfüllen müssen, um gesetzliche, regulatorische, ethische und branchenspezifische Anforderungen zu erfüllen. Compliance-Standards reichen dabei von verbindlichen Gesetzen bis zu freiwilligen Rahmenwerken, um einen rechtmäßigen und verantwortungsvollen Betrieb zu gewährleisten sowie Daten, Kund(inn)en und den Ruf des Unternehmens zu schützen. 

Dieser Beitrag zeigt, wie kontinuierliche Compliance im Entwicklungsprozess sichergestellt werden kann – automatisiert, ohne Reibungsverluste und unterstützend statt bremsend. Videos aus einem deutschsprachigen GitLab-Webinar runden diesen Beitrag ab.

Sieh dir jetzt das gesamte Webinar "Compliance im Wandel - ein Wegweiser" kostenlos an.

Herausforderungen bei der Arbeit mit Compliance-Standards

Traditionelle Compliance-Ansätze erzeugen Reibung und bremsen Entwicklungsteams aus. Die administrativen Aufgaben nehmen zu, kosten Zeit und Nerven und führen oftmals dazu, dass das Thema Sicherheit als zusätzliche Belastung betrachtet und vernachlässigt wird. 

Compliance-Management automatisieren: Ein Praxisbeispiel

Ein junges, wachstumsstarkes B2B-Unternehmen im Sicherheitssektor möchte neue Kund(inn)en gewinnen. Das Marktumfeld sowie die Zielkund(inn)en verlangen die Einhaltung strenger Standards im Bereich Informationssicherheit (z. B. ISO 27001). 

Für das Bestehen einer solchen Zertifizierung ist eine enorme Anstrengung aufseiten der gesamten Organisation nötig. Entwicklerteams, Manager(innen) und Sicherheitsteams müssen Hand in Hand arbeiten, um die Zertifizierung trotz des Drucks des täglichen Geschäfts zu erlangen und dabei den Wachstumskurs nicht zu bremsen. 

12x kürzere Bereitstellungszeit: Dank GitLabs vollständiger Integration lebt Hilti Effizienz.

GitLab bringt vollständige Transparenz, eine umfassende Codeverwaltung und umfangreiche Sicherheitsscans mit, um Hilti neue Softwarefähigkeiten zu ermöglichen. Erfahre, wie Hilti seine Softwareentwicklung revolutioniert hat. Erfolgsstory lesen

Compliance im Unternehmen umsetzen

Für die Umsetzung der Compliance-Standards im Unternehmen ist ein strukturierter Prozess nötig. 

  1. Compliance-Prozesse definieren: Ableitung spezifischer Maßnahmen aus den Anforderungen der Auditoren
  2. Aktuelle Compliance-Situation verstehen: Definition der betroffenen Projekte
  3. Korrekturmaßnahmen umsetzen: Implementierung neuer Prozesse und Korrekturen in den Projekten 
  4. Compliance nachweisen: Reporting an das Management und die Auditoren 

Das größte Problem dabei ist der hohe manuelle Aufwand, um Informationen zu sammeln. Die Beteiligung unterschiedlicher Teams an diesem Prozess sorgt für hohen Abstimmungsaufwand und Unterbrechungen der täglichen Arbeit. 

Compliance-Management automatisieren mit GitLab: Eine Anleitung

Nicht alle Anforderungen einer Zertifizierung nach Compliance-Standards obliegen dem Bereich der Software-Entwicklung. Um den manuellen Aufwand der Zertifizierung für Entwicklerteams jedoch so gering wie möglich zu halten und Zeit zu sparen, hilft GitLab bei der Automatisierung des Compliance-Managements. 

Ziel ist es, dass die Mitarbeitenden einen Mehrwert liefern, statt bloß Checklisten auszufüllen. 

1. Arbeit mit dem Compliance-Center

GitLab bietet mit dem Compliance-Center ein zentrales Dashboard, in dem alle Informationen auf einen Blick ersichtlich sind. Über die zentrale Ansicht kann der Compliance-Status über alle betroffenen Projekte hinweg eingesehen werden. 

Um zum Compliance-Center zu gelangen, klicke in der linken Navigationsleiste deines GitLab-Accounts auf “Secure” > “Compliance Center”. 

Sieh dir jetzt das gesamte Webinar "Compliance im Wandel - ein Wegweiser" kostenlos an.

2. Framework erstellen

Für die Sicherstellung der jeweiligen Compliance-Standards ist die Arbeit mit entsprechenden Frameworks notwendig. Jedes Unternehmen verfügt dabei über einzigartige Compliance-Anforderungen, die auf Branchenstandards, regulatorischen Vorgaben oder internen Richtlinien basieren. Diese können im Reiter “Frameworks” mit GitLab so modelliert werden, dass sie automatisch überwacht und durchgesetzt werden. 

GitLab ermöglicht die Erstellung individueller Frameworks oder die Nutzung existierender Templates, die ebenfalls auf die eigenen Bedürfnisse angepasst werden können. 

In diesem Video (ausnahmsweise auf Englisch) führen wir dich Schritt für Schritt durch den Prozess zur Erstellung eines neuen Frameworks!

Um ein neues Framework zu erstellen, sind folgende Schritte nötig:

  • Name und Beschreibung vergeben: Kommuniziert den Zweck und die Wichtigkeit des Frameworks.
  • Farb-Batch auswählen: Dient als Identifier für projektübergreifende Frameworks.
  • optional: Framework als Standard festlegen: Stellt die Aufrechterhaltung der Compliance-Anforderungen von Anfang an sicher und setzt Leitplanken. 
  • Anforderungen hinzufügen: Repräsentieren die übergeordneten Compliance-Ziele
    • Name und Beschreibung hinzufügen: Kommuniziert den Zweck und die Wichtigkeit der Anforderung.
    • Controls festlegen: Repräsentieren die technischen Checks, die automatisch geprüft und verifiziert werden können.

Beispiel: Die Anforderung “Segregation of Duties” stellt die Durchführung von Code-Reviews sicher. Dazu sollen Genehmigungen eigener Merge Requests verhindert werden. Über die Erstellung der Controls “Author approved merge request is forbidden” und “At least one approval” wird sichergestellt, dass Codeänderungen durch mindestens eine weitere Person überprüft und genehmigt werden. 

Sieh dir jetzt das gesamte Webinar "Compliance im Wandel - ein Wegweiser" kostenlos an.

Nachdem die spezifischen Anforderungen für das neue Framework definiert wurden, kann das Framework erstellt werden. Compliance-Anforderungen werden mittels Frameworks in automatische Checks umgewandelt, sodass eine manuelle Verifizierung nicht mehr nötig ist. 

Diese Richtlinie kann nun auf Projekte angewendet werden. 

3. Framework zu Projekt hinzufügen

Das Framework muss anschließend den jeweiligen Projekten zugeordnet werden, um das Compliance-Monitoring zu beginnen. 

Dazu können im Reiter “Projects” alle Projekte und die angewendeten Frameworks angezeigt werden. Um einem einzelnen Projekt ein neues Framework hinzuzufügen, kann das Projekt in der Spalte “Action” bearbeitet und das entsprechende Framework hinzugefügt werden. 

Über die Bulk-Bearbeitung kann ein Framework allen Projekten hinzugefügt werden. 

  • Markiere alle Projekte 
  • Klicke auf die Option “Choose one bulk action” 
  • Klicke auf “Apply frameworks to selected projects
  • Klicke auf “Select framework” und wähle das entsprechende Framework aus
  • Klicke auf “Apply” 

Nachdem das jeweilige Framework einem Projekt hinzugefügt wurde, beginnt die Anwendung des Compliance-Monitorings, ohne die Entwicklerteams zu stören. Es gibt keinen separaten Onboarding-Prozess oder Formulare, die manuell ausgefüllt werden müssen.

4. Arbeit mit dem Compliance-Status-Report

Der Compliance-Status-Report gibt einen Überblick über die Projekte und die entsprechenden Anforderungen. Damit ist ersichtlich, welche Anforderungen erfolgreich bzw. nicht erfolgreich umgesetzt wurden. 

Im Reiter “Status” im Compliance-Center kann eine detaillierte Ansicht über die Einhaltung der Frameworks über alle Projekte hinweg aufgerufen werden. 

Die Filterfunktion ermöglicht eine einfache Navigation bei umfangreichen Organisationen mit zahlreichen Projekten. Damit kannst du das Reporting auf deine Bedürfnisse anpassen und genau die Berichte generieren, die für die jeweiligen Stakeholder relevant sind. 

Der Status-Report ermöglicht Transparenz, indem grüne bzw. rote Flaggen eine schnelle visuelle Bewertung der aktuellen Anforderungen bieten, spezifische Controls kommuniziert und Probleme schnell identifiziert werden können – ohne aufwändiges Audit. 

Damit erhältst du einen klaren Einblick in den Compliance-Status und Maßnahmen, die zu ergreifen sind. 

5. Compliance-Verstöße direkt lösen

Sollte im Status-Report eine fehlgeschlagene Anforderung angezeigt werden, kann diese direkt gelöst werden. Für jedes Projekt wird angezeigt, welche Controls fehlgeschlagen sind. Mit Klick auf den entsprechenden Fehler wird eine Dokumentation des Problems geöffnet. 

Neben der Dokumentation kannst du direkt zu den relevanten Projekteinstellungen geführt werden, um das Problem sofort zu beheben, anstatt lange in den entsprechenden Projekten suchen zu müssen. 

Sieh dir jetzt das gesamte Webinar "Compliance im Wandel - ein Wegweiser" kostenlos an.

6. Korrektur fehlerhafter Compliance-Anforderungen für mehrere Projekte

Solltest du Compliance-Anforderungen für mehrere Projekte definiert haben, kannst du relevante Korrekturen automatisiert durchführen, statt alles manuell zu prüfen. Dazu nutzt du Security Policies. Diese ermöglichen es, sicherheitsrelevante Controls auf Projekt-, Gruppen- oder Framework-Ebene als Teil des Standardworkflows zu erzwingen. 

Klicke dazu in der linken Navigationsleiste deines GitLab-Accounts auf “Secure” > “Policies”. 

Unter “New Policy” kannst du automatisierte Compliance-Anforderungen für mehrere Projekte aktivieren. Dabei kannst du wählen zwischen

Um beispielsweise im Bereich “Secret Detection” eine umfassende Sicherheitsmaßnahme anzulegen, gehe wie folgt vor. 

  • Klicke auf “New Policy
  • Wähle “Scan execution policy” aus
  • Definiere einen Namen 
  • Wähle aus, ob die Policy mit 
    • allen Projekten (“all projects in this group”),
    • spezifischen Projekten (“specific projects”) oder
    • einem Compliance-Framework (“projects with compliance framework” + relevantes Framework) verknüpft werden soll. 
  • Wähle unter “Configuration Type” aus, ob du ein Template für die Policy oder eine individuelle Einstellung nutzen willst
  • Speichere die neue Policy 

Einmal gespeichert, wird die Policy automatisch durchgesetzt. Jede Pipeline-Ausführung in diesem Projekt wird eine “Secret Detection” Anforderung enthalten. 

7. Reporting- und Audit-Unterstützung mit GitLab

Die Automatisierung des Compliance-Managements unterstützt nicht nur die tägliche Arbeit der Entwickler(innen), sondern erleichtert auch das Reporting an relevante Stakeholder. Mit dem Compliance-Center steht dir ein vollumfängliches Reportingtool zur Verfügung, das die Kommunikation gegenüber Aufsichtsbehörden, Kund(inn)en und sonstigen Stakeholdern erleichtert. 

Über das Compliance-Center erhältst du Einblicke in:

  • die Gesamtzahl der Projekte, die durch ein Compliance-Framework abgedeckt sind.
  • die Compliance-Rate, d. h., wie viele Projekte die Compliance-Anforderungen erfüllen.
  • aktive Frameworks für die gesamte Organisation.
  • kritische Verstöße, die Aufmerksamkeit erfordern.

GitLab erleichtert so die Statuserfassung, da der Informationsfluss automatisiert wird, manuelle Abstimmungstätigkeiten entfallen und Echtzeitdaten verarbeitet werden können. Zahlreiche Exportformate stellen sicher, dass du dein Reporting nach außen kommunizieren kannst.

Du hast Fragen zum Compliance-Prozess mit GitLab? Dann sprich jetzt mit uns und wir beantworten gerne alle Fragen!

Vorteile des automatisierten Compliance-Managements mit GitLab 

  • Single Source of Truth: Statt manueller Excel-Listen und Abstimmungsrunden bietet GitLab eine zentrale Anlaufstelle für das Compliance-Management. 
  • Integrierte Compliance: Integration von Compliance in den Entwicklungsprozess ohne zusätzlichen Prozessaufwand 
  • Höhere Effizienz: Compliance wird ohne zusätzliche manuelle Workflows umgesetzt
  • Direktes Eingreifen: GitLab automatisiert Compliance-Checks, sodass Verstöße direkt erfasst und Lösungen unkompliziert umgesetzt werden 
  • Mehr Fokus: Entwicklerteams können sich auf die tägliche Arbeit konzentrieren
  • Mehr Sicherheit: Compliance wird als zentrale Rahmenbedingung im Unternehmen etabliert
  • Stärkere Wahrnehmung: Compliance-Verantwortliche und Compliance-Maßnahmen erhalten mehr Sichtbarkeit im Unternehmen 
  • Einfacheres Reporting: Auditor(inn)en erhalten zeitnah alle relevanten Nachweise

"Dieser optimierte Ansatz transformiert Compliance von einem reaktiven, zeitaufwändigen Prozess in ein proaktives, effizientes System, das mit eurer Organisation skaliert." 

– Karolina Franz, Solutions Architect @GitLab

Sieh dir hier das Webinar "Compliance im Wandel" mit Karolina Franz kostenlos an.

Der Compliance-Prozess mit GitLab

Die Automatisierung des Compliance-Managements mit GitLab bietet dir zahlreiche Vorteile. Wie bereits am Anfang dieses Beitrags beschrieben, benötigt ein Unternehmen einen strukturierten Prozess zur Sicherstellung der Compliance-Standards. 

GitLab unterstützt den Aufbau eines solchen Prozesses wie folgt.

  • Compliance-Prozesse definieren: Mit individuellen Frameworks kannst du jeden Compliance-Standard modellieren und überwachen lassen. Dies sorgt dafür, dass Compliance ohne Engpässe im gesamten Unternehmen skaliert werden kann. 
  • Aktuelle Compliance-Situation verstehen: Das umfassende Monitoring erfasst alle relevanten Projekte sowie Anforderungen und kommuniziert Verstöße noch vor dem Audit, sodass ein schnelles Eingreifen möglich ist. 
  • Korrekturmaßnahmen umsetzen: Über die Nutzung von Policies können Compliance-Standards automatisiert über alle Projekte und Teams hinweg sichergestellt werden.
  • Compliance nachweisen: Für das Reporting steht das Compliance-Center zur Verfügung, das alle Projekte zentral darstellt, manuelle Statuserfassungen und Workflows eliminiert und sicherstellt, dass Nachweise korrekt bereitgestellt werden. 

Fazit

Compliance ist kein einmaliges Audit-Projekt, sondern ein kontinuierlicher Prozess, der direkt in die Softwareentwicklung integriert werden muss. Manuelle Prüfungen und isolierte Workflows stoßen dabei schnell an ihre Grenzen und bremsen Teams aus.

GitLab ermöglicht es, Compliance-Anforderungen in automatisierte, überprüfbare Standards zu übersetzen. Über Frameworks, Policies und zentrales Monitoring wird Compliance transparent, skalierbar und durchsetzbar – ohne zusätzlichen Aufwand für Entwickler(innen). So wird Compliance zu einer verlässlichen Grundlage für sichere Softwareentwicklung und nachhaltiges Wachstum.

Verankere regulatorische Anforderungen direkt im Entwicklungsprozess

Automatisiere dein Compliance-Management, stärke dabei deine Entwicklerteams und skaliere Compliance nachhaltig im Unternehmen!

Jetzt starten!

Wie du Compliance-Standards für dein Unternehmen in der DACH-Region identifizierst und einhältst, erfährst du in diesem Beitrag.

Weitere Inhalte

Alle Blogbeiträge anzeigen

Produkt

Repositories schneller navigieren – dank Dateibaum-Ansicht

Produkt

Neue GitLab-Metriken und Registry-Funktionen reduzieren CI/CD-Engpässe

Produkt

GitLab sichert 99,9 % Verfügbarkeit mit Service Credits für Ultimate-Kund(inn)en ab

Feedback erwünscht

Dieser Blogbeitrag hat gefallen oder es gibt Fragen oder Feedback? Ein neues Diskussionsthema im GitLab-Community-Forum erstellen und Eindrücke austauschen.

Feedback teilen

Beginne noch heute, schneller zu entwickeln

Entdecke, was dein Team mit der intelligenten Orchestrierungsplattform für DevSecOps erreichen kann.

Kostenlosen Test starten Vertrieb kontaktieren