Vier Sicherheitsfunktionen, die 2026 jede GitHub-Actions-Pipeline braucht
Die Sicherheits-Roadmap 2026 von GitHub bringt Dependency Locking, Egress-Firewalls, Policy Controls und CI/CD-Telemetrie. Was das für Ihre Pipelines bedeutet.
2.200 Skripte von Drittanbietern. Das ist der Durchschnitt, den Cloudflare auf einer einzigen Unternehmensdomain laufen sieht.
Die meisten Unternehmen können vielleicht fünf davon benennen. Google Analytics, klar. Vielleicht das Chat-Widget. Das Zahlungs-Gateway. Danach wird es unübersichtlich. Doch jedes einzelne dieser Skripte läuft im Browser Ihres Kunden mit denselben Rechten wie Ihr eigener Code. Sie können Formulare auslesen. Sie können Daten überallhin schicken. Und Ihr Server bekommt davon nichts mit, denn Ihr Server weiß nur, was auf dem Server passiert.
Angriffe im Magecart-Stil funktionieren seit Jahren nach demselben Muster. Ein Angreifer muss gar nicht in Ihre Website eindringen. Es reicht, eine Bibliothek zu kompromittieren, von der eines Ihrer Drittanbieter-Skripte abhängt (eine Abhängigkeit des Chat-Widgets, ein Analytics-SDK, ein Modul des Zahlungsformulars). Er fügt ein paar Zeilen JavaScript hinzu, die Daten aus dem Zahlungsformular unbemerkt auf einen externen Server kopieren.
Kein Ausfall. Keine Fehlerseiten. Der Kunde bezahlt ganz normal. Der einzige Unterschied ist, dass jetzt auch jemand anderes seine Kartennummer und den CVV kennt.
Dasselbe Prinzip gilt für den Diebstahl von Zugangsdaten (manipulierte Skripte lesen Login-Formulare aus), Session-Hijacking, das Umleiten ausgewählter Besucher auf Phishing-Seiten oder sogar Cryptojacking, bei dem der Browser des Besuchers Kryptowährung schürft. Die Website ist langsamer, aber sie „funktioniert".
In all diesen Fällen sieht die Website normal aus. Sie erfahren davon erst aus einer Betrugsmeldung Ihrer Bank. Oder Sie erfahren es überhaupt nicht.
Am 30. März 2026 hat Cloudflare seine Funktion Advanced Client-Side Security für alle Kunden freigegeben. Bisher war sie den Enterprise-Tarifen vorbehalten. Jetzt kann sie jeder aktivieren, dessen Domain über Cloudflare läuft.
Das System von Cloudflare analysiert täglich 3,5 Milliarden JavaScript-Skripte mit einer Kombination aus Graph Neural Networks (GNN) und großen Sprachmodellen (LLM). Das GNN bildet die Beziehungen zwischen Skripten ab und erkennt Verhaltensanomalien. Die LLM-Schicht bewertet anschließend, ob eine Meldung eine echte Bedrohung oder ein Fehlalarm ist.
Diese zweite Schicht ist das eigentlich Interessante. Sie senkte die Zahl der Fehlalarme gegenüber bisherigen Methoden um den Faktor 200, insgesamt von 0,3 % auf 0,1 % und bei einzigartigen Skripten von 1,39 % auf 0,007 %. Das ist der Unterschied zwischen einem Tool, das ständig Fehlalarm schlägt, und einem, das man tatsächlich dauerhaft aktiviert lassen kann.
Erkennungstools haben seit Jahren dasselbe Problem. Zu viele Fehlalarme, also lesen die Teams sie irgendwann nicht mehr und schalten sie ab. Wenn Cloudflares Zahlen im Produktivbetrieb Bestand haben (und bei täglich 3,5 Milliarden Stichproben ist der Datensatz groß genug, um aussagekräftig zu sein), verschiebt das die Kosten-Nutzen-Rechnung für Client-Side-Monitoring.
Auch ohne Cloudflare sollten zwei Dinge auf jeder Website vorhanden sein, die Logins oder Zahlungen verarbeitet:
Content Security Policy (CSP), ein HTTP-Header, der dem Browser mitteilt, welche Domains Skripte ausliefern dürfen. Lädt ein Skript aus einer nicht autorisierten Quelle, blockiert der Browser es. Der Haken ist, dass die meisten Websites überhaupt keine CSP haben. Und die, die eine haben, verwenden oft unsafe-inline oder unsafe-eval und heben damit den Schutz wieder auf. Eine CSP ist außerdem nichts, was man einmal einrichtet und dann vergisst, jedes neue Widget, jede Analytics-Änderung, jede Zahlungsintegration verändert sie.
Subresource Integrity (SRI), ein Hash, der an externe Script-Tags angehängt wird. Ändert sich der Inhalt des Skripts (etwa nach einer Kompromittierung des CDN), weigert sich der Browser, es auszuführen. Einfach und wirksam bei statischen Abhängigkeiten.
Öffnen Sie zunächst die DevTools in Ihrem Browser, wechseln Sie zum Tab Network und zählen Sie, wie viele externe Domains Ihre Website kontaktiert. Diese Zahl ist meist höher, als irgendjemand erwartet.
Zum größeren Bild der Cybersicherheit haben wir darüber geschrieben, wie KI Phishing- und Deepfake-Angriffe verändert, und über Phishing-Kampagnen, die derzeit slowakische Unternehmen ins Visier nehmen. Auf der Infrastrukturseite ist die Sicherheit von CI/CD-Pipelines ein verwandtes Thema.
Wenn Ihre Website Skripte von Drittanbietern lädt, und das tut sie, lohnt es sich zu wissen, was diese tun. Wir führen einen Sicherheitscheck durch und richten die CSP sauber ein.
Leiterin für Marketing und Inhalte bei Rise.sk. Sie arbeitet an B2B-Inhaltsstrategien und macht technische Themen für Entscheider und Umsetzungsteams verständlich.
Die Sicherheits-Roadmap 2026 von GitHub bringt Dependency Locking, Egress-Firewalls, Policy Controls und CI/CD-Telemetrie. Was das für Ihre Pipelines bedeutet.
MCP verbindet einen Agenten mit Werkzeugen und Daten. A2A verbindet unabhängige Agenten. Hier erfahren Sie, wo jedes Protokoll passt und welche Sicherheitskontrollen in Ihrer Verantwortung bleiben.
Container Queries in allen Browsern, CSS-Scroll-Animationen, Grid-Lanes für Masonry und Iterator.concat(). Ein praktischer Überblick über die Web-Platform-Neuerungen vom März 2026.
Ihr Kontext entscheidet