Kommentar von Arne Jacobson, Aqua Security Stücklisten statt Stückwerk

Ein Gastkommentar von Arne Jacobsen *

Anfang November hat das EU-Parlament eine neue Richtlinie für ein „hohes gemeinsames Cyber-Sicherheitsniveau“ verabschiedet. Die Sicherheit von Software-Lieferketten ist darin ausdrücklich erwähnt, aber was bedeutet das für Unternehmen?

Die Dokumentation von Software-Komponenten über die ganze Lieferkette hinweg wird künftig zur Compliance-Anforderung.
Die Dokumentation von Software-Komponenten über die ganze Lieferkette hinweg wird künftig zur Compliance-Anforderung.

Als Teil der Initiative zur Reform der bestehenden Regeln zur Netz- und Informationssicherheit (NIS) hat das EU-Parlament vor wenigen Tagen eine neue Richtlinie für ein „hohes gemeinsames Cyber-Sicherheitsniveau“ verabschiedet. Die Gesetzgebung sieht strengere Verpflichtungen für Risikomanagement, Meldepflichten und Informationsaustausch vor.

Neben Aspekten wie der Reaktion auf Sicherheitsvorfälle, Verschlüsselung und der Offenlegung von Sicherheitslücken betreffen die Anforderungen auch explizit die Sicherheit der Supply-Chain. Bevor die neuen Regeln in Kraft treten, müssen die einzelnen Mitgliedstaaten noch endgültig zustimmen – was als reine Formsache gilt. Danach folgt, ähnlich wie bei der 2018 endgültig in Kraft getretenen Datenschutzgrundverordnung (DS-GVO), eine Übergangsfrist von 21 Monaten, um die Regeln in nationales Recht umzuwandeln.

Die neue Gesetzgebung zielt darauf ab, Unternehmen, Regierungen und die Gesellschaft als Ganzes widerstandsfähiger gegen Cyberattacken zu machen. Ein wichtiger Aspekt davon ist die Absicherung der Software-Supply-Chain, die immer häufiger in den Fokus von Cyberkriminellen gerät. Die Angreifer haben es dabei auf den Quellcode und seine Abhängigkeiten abgesehen, um Sicherheitslücken und Hintertüren in Anwendungen einzuschleusen.

Derartige Angriffe auf die Software-Lieferkette nehmen stark zu: Allein von 2020 auf 2021 registrierten unsere Forscher von Team Nautilus einen Anstieg der Angriffe um 300 Prozent.

Die Gefahren gehen von Entwicklungs-Tools anderer Hersteller, Abhängigkeiten durch Open-Source sowie von Kriminellen aus, die es auf Toolsets und komplette Entwicklungsumgebungen abgesehen haben.

Für Hersteller von Software-Lösungen jeder Art ist es daher wichtig, Fehler in ihren Lösungen so früh wie möglich zu erkennen und zu beheben. Hierfür benötigen sie die richtigen Tools, um vor Risiken in der Supply-Chain zu schützen, und das sowohl in der Anwendung als auch der zugrunde liegenden Infrastruktur.

Notwendig: Sicherheit entlang der gesamten Code- und Build-Phase

Viele Security-Tools lassen dabei einen Teil der Gleichung aus. Einige konzentrieren sich beispielsweise nur auf die Erstellung, andere auf den Code und die Erstellung. Idealerweise sollte eine Lösung, die die komplette Software-Supply-Chain absichert, proaktive Sicherheitsmaßnahmen über Code, Erstellung, Bereitstellung und Runtime hinweg bieten.

Nur so können Entwickler und Sicherheitsteams das nötige Vertrauen haben, um die Entwicklung neuer Cloud-nativer Anwendungen voranzutreiben, Angriffe auf die Lieferkette zu verhindern und die Qualität neuer Software-Releases sicherzustellen. Eine solche Supply-Chain-Security muss aktive Warnungen und gesicherte Projektabschnitte entlang der gesamten Code- und Build-Phase bieten, um Risiken so früh wie möglich im Entwicklungszyklus zu reduzieren.

Gesucht: Lösungen, die den kompletten Prozess der Software-Erstellung schützen können

Die neue Richtlinie ist ein Schritt in die richtige Richtung, um Software sicherer zu machen. Es gibt zwar eine Übergangsphase von 21 Monaten, bis die Richtlinie in allen EU-Ländern ratifiziert wird, doch Unternehmen jeder Art sollten sich bereits jetzt auf deren Umsetzung vorbereiten.

Für Unternehmen, die selbst an der Erstellung von Software beteiligt sind, bedeutet dies, dass sie jetzt in entsprechende Lösungen investieren müssen, die ihnen dabei helfen, den kompletten Prozess der Software-Erstellung zu schützen.

Unternehmen, die Software nutzen – was de facto jede Organisation betrifft – sollten ab sofort darauf achten, dass Lieferanten von Software die Richtlinien umsetzen, entsprechende Tools zur Absicherung ihres gesamten Entwicklungsprozesses einsetzen und die Herkunft und Sicherheit aller Bestandteile ihrer Software über eine komplette „Software Bill of Materials“ (kurz „SBOM“) garantieren können. Für diesen Zweck eignen sich moderne CNAPP-Plattformen, die entsprechende Funktionen für Supply-Chain-Security integriert haben.

* Arne Jacobsen ist Director of Sales EMEA bei Aqua Security.

(ID:48764622)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung