DevOps & CI/CD 2026:
Software-Plattform für KMU

Kurz vorweg: CI/CD ist KMU-Standard 2026, nicht Konzern-Luxus. Plattformen: GitHub Actions (Default), GitLab CI (Single-Vendor), Azure DevOps (Microsoft-Stacks). Bausteine: Build, Test, Container, SAST/SCA, SBOM, Signatur, Deploy mit Rollback. Reife messen mit DORA-4 (Deployment Frequency, Lead Time, Change Failure Rate, MTTR). IaC mit Terraform/Pulumi/Bicep. Cloud-Targets via OIDC-Federation, keine Long-Lived-Credentials mehr.

• Terraform / OpenTofu: Marktstandard für Multi-Cloud-IaC, deklarativ, breiteste Provider-Auswahl. OpenTofu als Open-Source-Fork unter Linux-Foundation seit Terraform-Lizenz-Wechsel.
• Pulumi: IaC in echten Programmiersprachen (TypeScript, Python, Go, C#, Java). Vorteil: Schleifen, Funktionen, Tests in gewohnter Sprache – kein eigenes DSL.
• Azure Bicep: Azure-Native-DSL, schlanker als ARM-Templates, gute VS-Code-Integration. Pragmatik für Azure-only-Stacks.
• AWS CDK / CDKtf: Cloud-Development-Kit, generiert CloudFormation / Terraform aus TypeScript/Python. Kombination aus IaC und richtigem Code.
• Ansible: Configuration Management für Server-Konfiguration, nicht primär für Cloud-Resources. Sinnvoll für Bare-Metal/VM-Konfiguration.
• Helm + Kustomize: Kubernetes-Manifest-Verwaltung. Helm Charts für Distribution, Kustomize für Overlay/Patch ohne Templating.
• GitOps mit ArgoCD / Flux: Kubernetes-Deployments deklarativ aus Git-Repository – pull-basiert, Drift-Erkennung, automatische Reconciliation.
• State-Management: Terraform-State im Remote-Backend (S3 + DynamoDB, Azure Storage, GCS), Locking aktiv, niemals lokal.
• IaC-Tests: Terratest, Checkov, tfsec, Snyk IaC für Security- und Misconfig-Tests vor Apply.
• Empfehlung KMU: Terraform / OpenTofu als Standard, Pulumi wenn TS/Python-Team, Bicep nur bei Azure-only, GitOps mit ArgoCD wenn Kubernetes im Spiel.

• Deployment Frequency: Wie oft wird ausgeliefert? Elite: mehrmals täglich. High: täglich bis wöchentlich. Medium: wöchentlich bis monatlich. Low: <1x/Monat.
• Lead Time for Changes: Wie lange von Commit bis Production? Elite: <1 Stunde. High: <1 Tag. Medium: <1 Woche. Low: >6 Monate.
• Change Failure Rate: % der Releases mit Fehler/Rollback. Elite/High: 0–15%. Medium: 16–30%. Low: 46–60%.
• Mean Time to Restore: Wie schnell wieder grün nach Vorfall? Elite: <1 Stunde. High: <1 Tag. Low: >6 Monate.
• Ziel KMU: in 6–12 Monaten von Low/Medium auf High kommen – das ist realistisch und ergibt ROI.
• Messung pragmatisch: Deployment-Events aus CI/CD an Datadog/Grafana/Snowflake, Tickets/Issues aus Jira/GitHub Issues für Change Failures und Incident-Daten.
• Vier-DORA-Metriken sind nicht zu verwechseln mit dem EU DORA Act (Digital Operational Resilience Act, Finanzbranche – eigene Welt).
• „Zwei zusätzliche Metriken" im jüngeren DORA-Report: Reliability (SLO-Erfüllung) und Documentation Quality – ergänzen die vier Klassiker.
• Anti-Pattern: DORA als KPI-Stick statt Reflexions-Werkzeug nutzen – Teams gamen sonst die Zahlen (z. B. winzige Deployments triggern, um Frequency zu erhöhen).
• SPACE-Framework als Ergänzung: Satisfaction, Performance, Activity, Communication, Efficiency – breiter als DORA, weniger fokussiert.

• Long-Lived Credentials in Pipelines: AWS Access Keys oder Service-Principal-Geheimnisse als Pipeline-Secrets sind 2026 Anti-Pattern – OIDC-Federation für GitHub/GitLab/Azure DevOps zu Cloud-Providern.
• Keine Branch-Protection: Direkt-Pushes auf main, ohne Review, ohne Status-Checks – Hauptursache für „funktioniert nicht"-Releases. Branch-Protection mit Required Reviews + Status Checks Pflicht.
• Tests deaktiviert „weil flaky": einzelne flaky Tests werden zur Norm, dann ganzes Test-Set unzuverlässig. Stattdessen: flaky Tests gezielt fixen, in Quarantäne, nie still ignorieren.
• Manuelle Deployments „weil schneller": kurzfristig schneller, langfristig Drift, Audit-Nightmare, kein Rollback. Pipeline-only-Deploy, auch in Notfällen.
• Container-Images zu fett: 2-GB-Images mit Build-Tools im Runtime-Image – Multi-Stage-Builds zwingen, schlanke Base-Images (Distroless, Alpine, Chainguard).
• IaC ohne State-Lock: parallele Apply-Operationen korrumpieren State – Remote Backend mit Locking (S3+DynamoDB, Terraform Cloud, GitLab managed) Pflicht.
• Secrets im Git-Repo: einmal commited, immer im History – Pre-commit-Hooks, Secret Scanning Push Protection, regelmässige History-Audits.
• Security-Step erst am Ende: SAST/SCA als letzter Pipeline-Step, kein Fail-Fast – Security früh in Pull-Request-Workflow integrieren, sonst Findings im letzten Moment vor Release.
• Renovate/Dependabot ohne Review-Disziplin: Auto-Update-PRs stapeln sich, niemand merged – Renovate mit Auto-Merge für Patch-Updates, Reviewer-Rotation für minor/major.
• Observability als Afterthought: Logs/Metriken/Traces nach Live-Going einzubauen kostet 3x – ab Tag 1 OpenTelemetry instrumentieren, auch wenn Plattform-Wahl später kommt.