Telefon – PSW GROUP

Support & Beratung
+49 661 480 276 10

IT Security made in Germany – PSW GROUPTrusted Shop – PSW GROUPEHI-Siegel – PSW GROUP

SignPath: Zero-Trust-Plattform

für sichere Software-Auslieferung

Moderne Software-Sicherheit entsteht entlang des gesamten Software Development Lifecycle. SignPath bietet dafür eine modulare Zero-Trust-Plattform, die entwickelt wurde, um den Einsatz von Code Signing-Zertifikaten kontrolliert, nachvollziehbar und prozesssicher umzusetzen.

Als Partner von SignPath unterstützen wir Sie dabei, die passende Lösung für Ihren Software Development Lifecycle zu etablieren – von der umfassenden Plattform DevSec360 bis zu ergänzenden Lösungen wie DeepSign, MacroSign und dem Code Signing Gateway. Auf Basis Ihrer Anforderungen setzen wir gemeinsam eine zukunftsorientierte Software-Entwicklung entlang des gesamten Build- und Release-Prozesses um.

Damit stellen Sie sicher, dass Ihr Code Signing nur dann erfolgt, wenn

  • der Source-Code aus definierten und genehmigten Repositories stammt, 
  • die CI/CD-Pipeline eindeutig identifiziert und vertrauenswürdig ist, 
  • definierte Tests und Freigaben erfolgreich abgeschlossen wurden und
  • das zu signierende Artefakt vorab geprüft und nicht manipuliert wurde.

Ihre Risiken beim „einfachen“ Code Signing

Wird Code Signing lediglich als letzter Schritt am Ende der Pipeline betrachtet, bleiben trotz gültiger Signaturen zentrale Risiken bestehen. Diese betreffen nicht nur die technische Sicherheit, sondern auch Nachvollziehbarkeit, Compliance und Vertrauen in den gesamten Software-Auslieferungsprozess.

Gerade im Kontext von Supply Chain Security, regulatorischen Anforderungen wie NIS2 oder dem Cyber Resilience Act sowie bei internen und externen Audits gewinnen diese Risiken zunehmend an Bedeutung.

Symbol eines Containers mit Pfeil nach oben und roten Fragezeichen, steht für unklare oder nicht nachvollziehbare Herkunft eines Builds.

Unklare Build-Herkunft

Wenn nicht eindeutig nachvollziehbar ist, aus welcher Quelle Code stammt und unter welchen Bedingungen er gebaut wurde, kann auch eine gültige Signatur kein verlässliches Vertrauen herstellen.

Symbol eines durchgestrichenen Dokuments mit rotem Kreuz, steht für ungeprüftes Zertifikat.

Blind Signing

Ohne technische Kopplung an Tests, Freigaben und Artefaktprüfung besteht das Risiko, dass Software signiert wird, deren Inhalt nicht vollständig überprüft wurde.

Symbol einer roten Lupe und abgebrochenen Verbindung mit „X“, steht für fehlende Nachvollziehbarkeit in einem Prozess.

Fehlende Nachvollziehbarkeit

Fehlen durchgängige Nachweise von Commit bis Release, lassen sich Signaturen im Nachhinein nur schwer erklären – insbesondere im Audit- oder Incident-Fall.

Wo stehen Sie heute?

Viele Unternehmen nutzen Code Signing, aber entscheidend ist jedoch, ob Ihre Software damit auch nachweisbar Vertrauen schafft – bei Kunden, Partnern, Auditoren und Plattformbetreibern. Denn nur wenn Sicherheit und Herkunft nachvollziehbar sind, wird Software langfristig akzeptiert, eingesetzt und weiterverbreitet.

Code Signing-Prozess verbessern

Code Signing weiterdenken

vom technischen Schritt zum Vertrauensprozess

Die Anforderungen an sichere Software-Auslieferung haben sich verändert. CI/CD-Pipelines sind komplexer, Release-Zyklen schneller und Angriffsflächen größer.

Code Signing-Zertifikate sind weiterhin die Grundlage für Vertrauen. Ihre tatsächliche Wirkung entfalten sie jedoch nur dann, wenn sie in einen kontrollierten, nachvollziehbaren Prozess eingebettet sind – also klar ist, was, wann und unter welchen Bedingungen signiert wird.

Vergleichsgrafik zweier Entwicklungsprozesse: Oben Prozess ohne SignPath mit impliziten Annahmen, unten mit SignPath und technischen Prüfungen. Dargestellt sind Phasen von „Source Control“ bis „Release“ mit zugehörigen Attributen wie Verifizierung, Autorisierung und Nachvollziehbarkeit.

Die Grafik zeigt die Vorgehensweisen beim Code Signing mit und ohne SignPath als Bestandteil des Software Development Lifecycle.

Das leistet SignPath für Ihre Software-Sicherheit

SignPath verbindet Code Signing, Pipeline Integrity und Governance zu einem durchgängigen Sicherheitskonzept über den gesamten Software Development Lifecycle hinweg.

Dabei geht es nicht um einzelne Funktionen, sondern um ein kontrolliertes Zusammenspiel aus Technik, Regeln und Nachvollziehbarkeit.

Symbolische Prüflogik für Code: Verzweigung mit positivem Pfad zu einem Schutzschild (vertrauenswürdig) und negativem Pfad zu einem Verbotssymbol (nicht vertrauenswürdig).

Code Signing im richtigen Kontext

Signaturen werden nur dann ausgelöst, wenn definierte Bedingungen entlang des Entwicklungs- und Build-Prozesses erfüllt sind.

Symbol einer durchgängigen Pipeline mit Prüfsymbol und Zertifikat, steht für verifizierte Pipeline Integrity anstelle von implizitem Vertrauen.

Pipeline Integrity statt implizitem Vertrauen

Nur eindeutig identifizierte und autorisierte CI/CD-Pipelines dürfen Code signieren.

Symbol eines Schutzschilds mit Schloss über verbundenen Prozessschritten, steht für zentrale Governance und durchgängige Nachvollziehbarkeit in einer sicheren Prozesskette.

Zentrale Governance & Nachvollziehbarkeit

Regeln, Freigaben und Nachweise werden zentral durchgesetzt und dokumentiert – unabhängig von einzelnen Build-Umgebungen.

Symbol einer digitalen Signatur für Code und lrechts daneben eine Cloud mit Schloss, steht für „Certificate as a Service“ (CaaS) zur sicheren Zertifikatsverwaltung in der Cloud.

Code Signing as a Service (CaaS)

SignPath wird als Service bereitgestellt und lässt sich flexibel in bestehende Entwicklungsumgebungen integrieren – als CaaS oder Hybrid-Lösung.

Symbol eines geöffneten Containers mit Aufwärtspfeilen und durchgestrichenem Sicherheitstoken, steht für build-Prozess ohne verpflichtende Token-Nutzung.

Kein Token-Zwang im Build-Prozess

Code Signing-Schlüssel werden zentral eingesetzt. CI/CD-Systeme benötigen keinen direkten Zugriff auf physische USB-Tokens oder private Schlüssel.

Sind Sie bereit für modernes Code Signing?

In einem kurzen Erstgespräch klären wir, wie Code Signing heute bei Ihnen eingesetzt wird und wo Optimierungspotenzial besteht.
Unverbindlich und lösungsneutral.

Ihre Daten, die Sie im Rahmen der Anfrage angeben, behandeln wir vertraulich und verwenden sie ausschließlich zur Bearbeitung Ihrer Anfrage. Sofern dies zur Beantwortung Ihrer Anfrage erforderlich ist, können Ihre Angaben an unseren Partner SignPath weitergegeben werden. Nähere Informationen zur Datenverarbeitung finden Sie in unserer Datenschutzerklärung.

Noch Fragen offen oder entstanden?

Kurz und knapp gesagt, für jeden der mit Code arbeitet – egal ob Produktsoftware oder interne Anwendungen.

Besonders interessant ist es aber für:

  1. Softwarehersteller & ISVs
  2. Unternehmen mit eigener Softwareentwicklung
  3. DevOps- und Security-Teams
  4. Organisationen mit regulatorischen Anforderungen
  5. Unternehmen, die Software nachweislich sicher ausliefern möchten

SignPath wird als Code Signing as a Service (CaaS) bereitgestellt.

Je nach Auswahl sowie Sicherheits-, Compliance- und Infrastruktur-Anforderungen stehen unterschiedliche Betriebsmodelle zur Verfügung:

  • CaaS – vollständig als Service betrieben
  • Hybrid – Kombination aus Service und eigener Infrastruktur
  • On-Premises – Betrieb vollständig in der eigenen Umgebung

Welche Variante sinnvoll ist, hängt von dem gewählten SignPath-Produkt, Ihren regulatorischen Vorgaben, internen Richtlinien und dem gewünschten Kontrollgrad ab.

SignPath ist ein europäischer Anbieter für Zero-Trust Software Integrity. Wir bieten die Lösung als integrierten Bestandteil unseres Portfolios an.

Ihre Ansprechpartner bleiben bei uns. Keine Ablösung bestehender Tools oder Zertifikate

Unterstützung bei:

  • Beratung
  • Integration
  • Betrieb & Weiterentwicklung

Kurz gesagt: Sie bekommen eine Lösung – nicht nur ein Tool.

Ja. Ihre bestehenden CodeSigning-Zertifikate bleiben unverändert nutzbar. Sie entscheiden nach wie vor auch, bei wem Sie ihre Zertifiakte beziehen. SignPath sorgt dafür, dass sie kontrolliert, nachvollziehbar und nur im richtigen Kontext eingesetzt werden.

Im täglichen Build- und Release-Prozess in der Regel nicht. Mit SignPath werden Code-Signing-Schlüssel zentral und kontrolliert eingesetzt, sodass CI/CD-Pipelines und Entwicklerumgebungen keinen direkten Zugriff auf physische USB-Tokens oder private Schlüssel benötigen.

Bestehende Code-Signing-Zertifikate können weiterhin genutzt werden. Der Unterschied liegt im sicheren, kontrollierten Einsatz – nicht im Zertifikat selbst.

Sie erwerben eine Lizenz für die Nutzung der SignPath-Plattform – modular und passend zu Ihrem Bedarf.

Typische Bestandteile sind:

  • kontrolliertes Code Signing (CodeSigning Gateway)
  • erweiterte Artefaktprüfung (DeepSign)
  • Pipeline Integrity & Policy Enforcement (DevSec360)
  • optionale Module wie MacroSign

Die Lösung ist verfügbar als:

  • Cloud-Service (SaaS)
  • oder in einer Self-Hosted-Variante

Wir unterstützen Sie bei der Auswahl der passenden Module und bei der Integration in Ihre bestehende Umgebung.

Grundsätzlich nein – SignPath lässt sich schrittweise in bestehende Entwicklungs-
und Release-Prozesse integrieren und ersetzt keine vorhandenen Tools.

Typische Ausgangssituationen sind:

  1. bestehende CI/CD-Pipelines (z. B. GitHub, GitLab, Azure DevOps, Jenkins)
  2. vorhandene CodeSigning-Zertifikate
  3. etablierte Build- und Testprozesse

Je nach Betriebsmodell gelten jedoch unterschiedliche Voraussetzungen:

  • Cloud (SaaS):
    Keine zusätzliche Infrastruktur erforderlich. Betrieb, Updates und Skalierung
    erfolgen durch SignPath.
  • Hybrid oder On-Premises:
    Hier sollte eine geeignete Infrastruktur vorhanden sein, z. B. für:
    • den Betrieb der SignPath-Komponenten
    • die Anbindung an CI/CD-Systeme
    • optional die Nutzung eigener HSMs oder interner Sicherheitsrichtlinien

In diesen Szenarien unterstützen wir Sie bei:

  • der Architektur-Einordnung
  • der Planung der benötigten Infrastruktur
  • der schrittweisen Einführung

Ein Einstieg mit einzelnen Projekten oder Pipelines ist jederzeit möglich.

SignPath schafft durchgängige Nachvollziehbarkeit entlang des gesamten Software Development Lifecycle – vom Commit über den Build bis zum signierten Release.

Das erleichtert:

  • interne und externe Audits
  • Compliance-Nachweise
  • die Erfüllung regulatorischer Anforderungen, z. B. im Kontext von NIS2 oder dem Cyber Resilience Act

Signaturen sind nicht nur technisch korrekt, sondern auch inhaltlich erklärbar und belegbar.