Heute kommen fast täglich neue Sicherheits-Herausforderungen auf Unternehmen zu. Hier den Überblick über die wirklich kritischen Baustellen zu behalten, ist entscheidend, um die eigene Organisation zukunftssicher aufzustellen. Doch Software Supply Chain Security hat oftmals noch nicht den Status „kritisch“ erreicht. Dabei kann sich bereits ein versteckter Schadcode in Software Dritter zum Supergau für Anwenderfirmen entwickeln, während ähnlich fatale Auswirkungen für Softwareanbieter durch „vergessene Credentials“ oder Benutzerdaten in öffentlichen Repositories entstehen. Die größte Hürde derzeit: Angebotene Maßnahmen, um die eigene Softwarelieferkette zu beleuchten, scheinen teuer, zeitaufwendig und lassen sich angesichts fehlender interner Ressourcen schlichtweg nicht umsetzen. Doch Abhilfe ist nah – dank unserer Managed Services. 

Bislang haben die meisten Anwenderunternehmen ihren Softwarelieferanten ein nahezu uneingeschränktes Vertrauen geschenkt – eine Einstellung, die das Risiko, als Opfer eines Angriffs über die Software Supply Chain zu enden, erheblich erhöht. Denn letztlich ist jede ungeprüfte Abhängigkeit von Drittanbietern, Updates oder versteckten Open-Source-Komponenten gleichzusetzen mit einer potenziellen Angriffsfläche. Was Cyberkriminelle nur zu gut wissen und weshalb sie immer häufiger genau dort für eine erfolgreiche Attacke ansetzen. Das zeigen mittlerweile zahlreiche Beispiele wie etwa SolarWinds oder MOVEit – bei Letzterem wird sogar vom größten Hack des Jahres 2023 gesprochen.  

Schwachstellen lauern auf technischer Seite einige. Manipulierte Updates oder kompromittierte Build-Prozesse können dazu führen, dass Schadcode direkt über vertrauenswürdige Kanäle in Unternehmensnetzwerke gelangt. Auch unzureichend geprüfte bzw. vom Anbieter nicht ausgewiesene Open-Source-Bibliotheken bergen Bedrohungen – gerade, weil sie in nahezu jeder modernen Software Einsatz finden. Hinzu kommen falsch konfigurierte Abhängigkeiten oder fehlende Signaturprüfungen, die es Angreifern erleichtern, schädliche Komponenten einzuschleusen. Selbst Standardsoftware bringt eine Gefahr mit sich, wenn Organisationen Sicherheitslücken erst spät erkennen oder patchen.

Das Bewusstsein für Software Supply Chain Security als Feld mit Handlungsbedarf ist zwar gestiegen, der reine Gedanke „Hier müssen wir etwas tun!“ reicht nicht aus. Selbst mit dem festen Vorhaben in passende Lösungen zu investieren, ist ein sicherer Zustand vielerorts nicht einmal in greifbarer Nähe. Der Grund: Es fehlen Ressourcen, um das Thema effizient und strukturiert anzugehen. Interne Security-Teams kämpfen bereits mit Überlastung und der Ausbau des notwendigen Spezialwissens ist weder zeitlich noch budgetär umsetzbar. Hastig und ohne Plan eingekaufte Werkzeuge tragen dann eher zum Tool-Wildwuchs bei, als dass sie bei der Etablierung eines wirksamen Schutzes helfen.  

Fehlendes internes Know-how und eine über die Jahre und Vielzahl von Lösungen hinweg verloren gegangene Sichtbarkeit über verschiedenste Softwarebausteine im Unternehmen machen es nahezu unmöglich, die eigenen Softwarelieferketten ausreichend zu schützen. Risiken werden schlicht übersehen oder die Verantwortlichen erkennen sie erst, wenn die Schwachstellen bereits im Unternehmen etabliert sind.   

Pflichten und Software Supply Chain Security – ein Auszug

Wussten Sie, dass Software Supply Chain Security kein Nice-to-have, sondern häufig gesetzlich vorgeschrieben ist?  

• NIS2-Richtlinie: Unternehmen müssen die Sicherheitspraktiken externer Dienstleister regelmäßig überprüfen. Meldepflichten bei Vorfällen bestehen innerhalb von 24 bis 72 Stunden. 

• KRITIS-Dachgesetz: Für Betreiber kritischer Infrastrukturen gilt eine Resilienzpflicht. IT-Komponenten und Softwareprodukte müssen jederzeit nachvollziehbar sicher sein. Nachweise und Audits sind dafür verpflichtend. 

• Cyber Resilience Act (CRA): Der CRA fordert eine Software Bill of Materials (SBOM), regelmäßige Sicherheitsupdates sowie Konformitätsprüfungen. Diese Pflichten betreffen nicht nur Hersteller, sondern auch viele Anwenderunternehmen – und lassen sich technisch-unterstützt umsetzen. 

Aus eigenen Kräften lässt sich diese Herausforderung oftmals nicht meistern. Ressourcen einfach aufzustocken, ist meist nicht denkbar und höhere Personalkosten sind selten einkalkuliert. Das Thema jetzt auf der Agenda wieder nach hinten zu schieben, wäre aber voreilig – und kann sogar noch höhere Kosten bei erfolgreichem Angriff nach sich ziehen.  

Managed Services bieten hier eine pragmatische Lösung: Unternehmen lagern die aufwendigen Prüfungen, kontinuierlichen Kontrollen und Analysen einfach aus – an Spezialisten, die die Softwarelieferkette rund um die Uhr im Blick behalten. Dadurch entstehen gleich mehrere Vorteile. 

• Kontinuierliches Monitoring: Schwachstellen in Updates, Open-Source-Komponenten oder Drittanbieter-Tools werden früh erkannt. 

• Fachwissen on demand: Zugriff auf Security-Experten, die tiefes Know-how zu Tools, Standards und Angriffsmustern mitbringen. 

• Entlastung interner Teams: IT-Abteilungen müssen nicht selbst Kapazitäten für komplexe Prüfungen freischaufeln. 

• Kalkulierbare Kosten: Statt teurer Ad-hoc-Maßnahmen zahlen Unternehmen planbare Servicegebühren. 

• Compliance-Sicherheit: Managed Services stellen sicher, dass NIS2, KRITIS oder CRA-Anforderungen durchgehend erfüllt werden. 

Auch wer auf knappe Ressourcen blickt, muss eine sichere Softwarelieferkette nicht dem Zufall überlassen. Resilienz erreichen Organisationen dank Managed Service. Der Druck wird damit von den Schultern der IT-Abteilung genommen und ein sicheres Gefühl ins gesamte Unternehmen getragen. Blindes Vertrauen gehört damit der Vergangenheit an. Einzug erhält eine ganzheitliche, von Experten unterstützte Software Supply Chain Security.  

Gemeinsam mit unserem Partner Reversing Labs stellen wir das volle Sicherheitsprogramm bereit – von der modernen Software-Supply-Chain-Security-Lösung bis hin zum Managed Service.  Dafür gibt es verschiedene Szenarien:

Denn das Thema Software Supply Chain Security ist neu und wenige Unternehmen haben Erfahrung damit. Wir helfen Ihnen, gemeinsam die notwendigen Prozesse, Abläufe und Dokumentationsverfahren im Rahmen eines Managed Service Onboardings zu etablieren – zu geringen Basiskosten. Ob regelmäßig eigene Softwareprodukte vor ihrer Auslieferung analysiert und mit einer SBOM (Software Bill of Materials) versehen oder nur ab und zu eine neue Softwareversion vor dem internen Einsatz auf mögliche Gefahren untersucht werden soll – unsere Consultants und Engineers stehen Ihnen zur Seite und liefern zu jedem geprüften Binary die passenden Reports. Bei Bedarf auch mit Hinweisen, wie spezifische Findings zu mitigieren sind oder ob ein gefundenes Risiko als „akzeptabel“ eingestuft werden kann. 

Sie wollen regelmäßigere Prüfungen selbst durchführen, aber haben noch keine Vorstellung, wie groß das Volumen pro Monat sein wird? Kein Problem! Über unser komfortables Portal erhalten Ihre Spezialisten selbständigen Zugriff auf die Analyse-Funktionen und können sich Reports selbst erstellen. Der Clou? Sie zahlen nur das tatsächlich verbrauchte Volumen je Monat und haben volle Kontrolle über Ihre Kosten. Einsparpotenziale ergeben sich zudem, wenn Sie nur die aktuellen Reports bereits von Dritten eingereichter Standardsoftware abfragen. Hier wirkt die Community entlastend, und diesen Vorteil geben wir an Sie weiter!