Zum Inhalt springen
IT-Sicherheit und Compliance

Komplex und gefährdet: die Software-Lieferkette

Mit Software-Lösungen kommen Integration, Abhängigkeiten und Open Source ins Unternehmen. Wie lässt sich die Software-Lieferkette absichern? Vier Strategien und gesetzliche Vorgaben helfen dabei.

Autor: Volker Rippegather / Redaktion: Diana Künstler • 23.9.2025 • ca. 4:40 Min

Supply Chain
© tadamichi – shutterstock.com

Die Software-Landschaften in den Unternehmen sind komplexe, sich ständig verändernde Gebilde mit unzähligen Abhängigkeiten: Standard-Software-Lösungen werden mit Eigenentwicklungen angepasst, erweitert oder integriert. Manches basiert auf proprietären Ansätzen, manches auf Open-Source. Verschiedene Entwickler-Teams – interne Developer, Drittanbieter, Fachabteilungen mit Low- oder No-Code-Funktionen – bringen sich ein. So entsteht das digitale, individuell auf das jeweilige Business ausgerichtete Rückgrat des Unternehmens.

Die Software-Lieferkette als Ganzes hat unzählige Komponenten – alles was mit der Entwicklung, der Bereitstellung und der Wartung jeder dieser Komponenten zu tun hat, gehört dazu. Es genügt schon ein ungepatchter CVE (Common Vulnerabilities & Exposures) in der Bibliothek eines Drittanbieters, um IT-Systeme Angriffsversuchen auszusetzen oder gegen gesetzliche Vorgabe zu verstoßen. Die systematische Absicherung der Software-Lieferkette wird zum geschäftskritischen Bestandteil der IT-Sicherheit.

Risikofaktor Open-Source-Software (OSS)

Die Daten machen deutlich: Die digitale Infrastruktur der meisten Unternehmen ist von Open-Source-Software (OSS) abhängig. Laut einer Studie von Perforce Software, die als Anbieter von Lösungen für die Softwareentwicklung, Versionskontrolle und DevOps mit der Marke OpenLogic den Fokus auf Open-Source legt, nutzen 96 Prozent der Unternehmen mindestens eine Open-Source-Software.

OSS ist in der Regel kostengünstig oder sogar kostenlos und wird von einer großen Community unterstützt und weiterentwickelt. Dadurch wird OSS häufig zu einem Bestandteil von kommerzieller Software und landet so in den Software Stacks von Unternehmen, die sonst selbst keine OSS einsetzen. Die Herausforderung: OSS kann ein Motor für schnellere Innovationen sein, wenn allerdings die Unterstützung durch einen vertrauenswürdigen, kommerziellen Anbieter fehlt, kommt das Sicherheitsmanagement zu kurz. Das macht OSS-Packages anfällig für Schwachstellen. In jedem Open-Source-Software-Paket finden sich durchschnittlich 68 Schwachstellen, von denen gut die Hälfte ein hohes oder sogar kritisches Sicherheitsrisiko mit sich bringt. Das ist zumindest das Ergebnis einer Analyse von ReverseLabs, einem Anbieter einer Plattform für Cybersecurity.

Open-Source-Sicherheitslücken

Mehrere schwerwiegende Sicherheitsvorfälle verdeutlichen, wie weitreichend die Folgen sein können, wenn Software-Lieferkette nicht ausreichend abgesichert wurde:

  • SolarWinds (2020): Diese weitreichende Sicherheitsverletzung betraf aufgrund einer Kompromittierung bei einem Software-Update über 18.000 Organisationen, darunter Regierungsbehörden und Fortune-500-Unternehmen.
  • Log4j-Sicherheitslücke (2021): Dieser Exploit zeigte, wie eine weit verbreitete Open-Source-Bibliothek als Waffe eingesetzt werden kann, was Auswirkungen auf Anwendungen weltweit hatte und schnelle Patches erforderlich machte.
  • xz-Backdoor (2024): Diese Backdoor nutzte eine Schwachstelle in XZ Utils, einem beliebten Open-Source-Komprimierungstool, um unbefugten Benutzern den Fernzugriff und die Manipulation von Systemen zu ermöglichen, die dieses Tool verwendeten.
  • 3CX-Angriff auf die Lieferkette (2023): Die Kompromittierung des weit verbreiteten VoIP-Anbieters führte zur Offenlegung sensibler Geschäftskommunikation und Benutzerdaten.

Gesetzliche Vorschriften und Frameworks zur Orientierung

Regierungen und Aufsichtsbehörden weltweit haben auf diese wachsende Bedrohungslage mit der Einführung strengerer Rahmenbedingungen reagiert, die ausdrücklich eine verbesserte Sicherheit der Lieferkette fordern. Die wichtigsten Regelungen im Überblick:

  • CRA (Cyber Resilience Act): Die EU-Verordnung, die seit 2024 in Kraft ist in bis 2027 schrittweise umgesetzt werden muss, legt erstmals verbindliche Sicherheitsanforderungen für digitale Produkte fest: Software, Firmware und alle vernetzten Geräte, die in der EU verkauft oder verwendet werden, unterliegen dem CRA. Danach müssen Hersteller transparent dokumentieren, welche Sicherheitsmaßnahmen sie ergriffen haben und eine sogenannte SBOM (Software Bill of Materials) zur Verfügung stellen. In dieser strukturierten, maschinenlesbaren „Stückliste“ müssen dann alle Komponenten, Bibliotheken und Abhängigkeiten aufgelistet sein, die die Software enthält.
  • NIS2-Richtlinie: Mit der zweiten Version der Richtlinie über Netz- und Informationssicherheit (NIS2) hob die EU die Anforderungen an die Cybersicherheit noch einmal deutlich an und weitete den Geltungsbereich auf weitere Branchen und Arten von digitalen Dienstleistern aus. Die betroffenen Unternehmen müssen ein Cyber-Risikomanagement betreiben, Sicherheitsvorfälle melden und Maßnahmen treffen, die die Geschäftskontinuität und die schnelle Wiederherstellung im Schadenfall sicherstellen.
  • ISO 27001-Normen: Diese internationalen Normen für Informationssicherheit beinhalten die Sicherheit der Lieferkette als eine wichtige Compliance-Anforderung. Die Norm empfiehlt dafür eine Reihe von Maßnahmen, insbesondere die Risikobewertung von Lieferanten.
  • NIST Cybersecurity Framework: Das National Institute of Standards and Technology (NIST) ist eine US-amerikanisches Bundebehörde, die sich mit der Festlegung von technischen Standards beschäftigt. Das Cybersecurity Framework bietet einen systematischen Ansatz zur Bewertung und Steuerung von IT-Sicherheitsrisiken mit Best Pracitises, Strategien und Checklisten für wirkungsvolle Kontrollen.

Unternehmen sollten sich eingehend mit den geltenden Regelungen und Vorschriften beschäftigen. Verstöße gegen Compliance-Verpflichtungen können nicht nur Strafen durch die Aufsichtsbehörden nach sich ziehen, sondern auch Reputationsschäden und teure Betriebsausfälle.

Die Praxis: Tipps zur Absicherung der Software-Lieferkette

Wie können Unternehmen ihre Software-Lieferkette wirkungsvoll und gesetzeskonform schützen? Vier praktische Tipps:

Erste Schritte: sichere Builds aus vertrauenswürdigen Quellen
Die Absicherung der Software-Lieferkette beginnt mit der Auswahl vertrauenswürdiger und sicherer Quellen. Komponenten, die vor der Integration geprüft wurden und von zuverlässigen Anbietern stammen, tragen dazu bei, das Risiko von Schwachstellen deutlich zu verringern. Besonders wertvoll sind Partnerschaften mit Anbietern, die kontinuierliche Updates bereitstellen und einen verlässlichen Support bieten, um auf neue Bedrohungen zeitnah reagieren zu können.

Softwareversionen stets auf dem neuesten Stand halten
Unüberprüfte oder veraltete Softwareversionen stellen ein potenzielles und typisches Einfallstor für Angreifer dar. Unternehmen, die konsequent nur genehmigte und geprüfte Softwareversionen innerhalb der eigenen Systemlandschaft einsetzen, senken ihr Sicherheitsrisiko. Verschiedene Management-Systeme helfen dabei: Zentralisierte Tools für die Verwaltung von Richtlinien (Policy Management, GRC-Plattformen) gewährleisten beispielsweise, dass sämtliche eingesetzte Software den festgelegten Unternehmensstandards entspricht. Security Configuration Management Systems prüfen insbesondere vor Updates oder anderen wichtigen Änderungen, ob alle Konfigurationen den definierten Sicherheitsrichtlinien entsprechen.

Automatisches Patchen und Beheben von Schwachstellen
Wenn Schwachstellen auftreten, sind schnelle, zielführende Gegenmaßnahmen entscheidend. Die Automatisierung des Patch-Managements ermöglicht eine schnelle Reaktion auf Sicherheitslücken und verkürzt die Zeitspanne, in der Systeme potenziellen Bedrohungen ausgesetzt sind. Zudem kostet das Patchen auch im Regelbetrieb ohne Störfall sehr viel Zeit und Ressourcen. Sind diese so knapp bemessen, dass Patches verschoben werden müssen, entstehen Sicherheitsrisiken. Automatisiertes Patch-Management kann hier entgegenwirken.

Optimierung der Compliance-Berichterstattung
Die Einhaltung gesetzlicher Vorschriften erfordert häufig die Erstellung detaillierter Berichte, um die Umsetzung von Sicherheitsrichtlinien nachvollziehbar zu dokumentieren. Die Automatisierung der Compliance-Dokumentation trägt dazu bei, die Erstellung auditfähiger Berichte deutlich zu vereinfachen und Fehlerquellen zu minimieren. KI-basierte Technologien, die beispielsweise die Daten aus verschiedenen Systemen automatisch und kontextbezogen konsolidieren, helfen dabei, umfassende Unterlagen für interne Überprüfungen und externe Audits anzufertigen.

Fazit: Die Risiken sind zu groß, um sie zu ignorieren

Software-Lieferketten sind schon heute beinahe unüberschaubar – und sie werden künftig noch komplexer werden. Die Abkehr von großen Software-Paketen einzelner Hersteller hin zu individuellen Kombinationen aus Standard-, Spezial- und Eigenanwendungen, verteilt auf verschiedenen IT-Ressourcen, ergibt wirtschaftlich und unternehmensstrategisch Sinn, erhöht aber zugleich die Komplexität der IT-Infrastruktur. Nur mit einer konsequenten Absicherung der gesamten Software-Lieferkette können Unternehmen die Risiken einschränken.

Volker Rippegather ist Regional Director DACH & CEE bei Perforce Puppet.

Anbieter zum Thema

Hier könnte auch Ihr Logo stehen.
zu Matchmaker+
Das könnte Sie auch interessieren
Handshake_Bild_ProSto_shutterstock_2418465111.jpg
Cloudbasierte Lösung für Projektmanagement in AECO TD Synnex vertreibt Newforma-Software für Bauprojekte
Marionettenspieler, Strippenzieher, Fäden in der Hand halten
Kommentar Eine kleine Geschichte der digitalen Abhängigkeit
Open Source
Stellungnahme der OSBA Open Source bevorzugt behandeln?
Agentic AI
Antwort auf Deepseek OpenAIs neuestes KI-Modell läuft auf Notebooks
Jupus
Jupus Vollautomatisches KI-Sekretariat für Anwaltskanzleien
Bundeskanzleramt in Berlin
IT-Kosten in der Bundesverwaltung Bundesausgaben für Software steigen um über ein Viertel
HPE Morpheus Enterprise Software
Virtualisierung Morpheus-Software ins HPE-Portfolio integriert
ChatGPT_Bild_jackpress_shutterstock_2591156483.jpg
„Übertrieben schmeichelhaft" Zu unterwürfig: ChatGPT-Version zurückgezogen
Mehr passende Artikel
Cybersicherheit
Skalierbare Sicherheitslösungen für Unternehmen und Kommunen Telekom erweitert Cybersecurity-Angebot für Geschäftskunden
Hendrik Flierman, Swissbit
Vertriebsleitung für globale Security-Lösungen Swissbit ernennt Hendrik Flierman zum Sales Director
Thomas Krause Prianto
Thomas Krause startet Neuer Director für die Business Unit Security von Prianto
Stefan Hofschen, Swissbit
Führungswechsel angekündigt Swissbit: Stefan Hofschen wird CEO ab Januar 2026
Eset Small Business Security
Advertorial Rundum geschützt und mehr Zeit fürs Business
Weiter zur Startseite