Skip to content

Stücklisten statt Stückwerk

Remark von Arne Jacobson, Aqua Safety
Stücklisten statt Stückwerk



Ein Gastkommentar von Arne Jacobsen *

Anbieter zum Theme

Anfang November hat das EU-Parlament eine neue Richtlinie für ein „hohes gemeinsames Cyber-Sicherheitsniveau“ verabschiedet. Die Sicherheit von Software program-Lieferketten ist darin ausdrücklich erwähnt, aber was bedeutet das für Unternehmen?

Die Dokumentation von Software program-Komponenten über die ganze Lieferkette hinweg wird künftig zur Compliance-Anforderung.

Als Teil der Initiative zur Reform der bestehenden Regeln zur Netz- und Informationssicherheit (NIS) hat das EU-Parlament vor wenigen Tagen eine neue Richtlinie für ein „hohes gemeinsames Cyber-Sicherheitsniveau“ verabschiedet. Die Gesetzgebung sieht strengere Verpflichtungen für Risikomanagement, Meldepflichten und Informationsaustausch vor.

Neben Aspekten wie der Reaktion auf Sicherheitsvorfälle, Verschlüsselung und der Offenlegung von Sicherheitslücken betreffen die Anforderungen auch explizit die Sicherheit der Provide-Chain. Bevor die neuen Regeln in Kraft treten, müssen die einzelnen Mitgliedstaaten noch endgültig zustimmen – was als reine Formsache gilt. Danach folgt, ähnlich wie bei der 2018 endgültig in Kraft getretenen Datenschutzgrundverordnung (DS-GVO), eine Übergangsfrist von 21 Monaten, um die Regeln in nationales Recht umzuwandeln.

Die neue Gesetzgebung zielt darauf ab, Unternehmen, Regierungen und die Gesellschaft als Ganzes widerstandsfähiger gegen Cyberattacken zu machen. Ein wichtiger Aspekt davon ist die Absicherung der Software program-Provide-Chain, die immer häufiger in den Fokus von Cyberkriminellen gerät. Die Angreifer haben es dabei auf den Quellcode und seine Abhängigkeiten abgesehen, um Sicherheitslücken und Hintertüren in Anwendungen einzuschleusen.

Derartige Angriffe auf die Software program-Lieferkette nehmen stark zu: Allein von 2020 auf 2021 registrierten unsere Forscher von Staff Nautilus einen Anstieg der Angriffe um 300 Prozent.

Die Gefahren gehen von Entwicklungs-Instruments anderer Hersteller, Abhängigkeiten durch Open-Supply sowie von Kriminellen aus, die es auf Toolsets und komplette Entwicklungsumgebungen abgesehen haben.

Für Hersteller von Software program-Lösungen jeder Artwork ist es daher wichtig, Fehler in ihren Lösungen so früh wie möglich zu erkennen und zu beheben. Hierfür benötigen sie die richtigen Instruments, um vor Risiken in der Provide-Chain zu schützen, und das sowohl in der Anwendung als auch der zugrunde liegenden Infrastruktur.

Notwendig: Sicherheit entlang der gesamten Code- und Construct-Section

Viele Safety-Instruments lassen dabei einen Teil der Gleichung aus. Einige konzentrieren sich beispielsweise nur auf die Erstellung, andere auf den Code und die Erstellung. Idealerweise sollte eine Lösung, die die komplette Software program-Provide-Chain absichert, proaktive Sicherheitsmaßnahmen über Code, Erstellung, Bereitstellung und Runtime hinweg bieten.

Nur so können Entwickler und Sicherheitsteams das nötige Vertrauen haben, um die Entwicklung neuer Cloud-nativer Anwendungen voranzutreiben, Angriffe auf die Lieferkette zu verhindern und die Qualität neuer Software program-Releases sicherzustellen. Eine solche Provide-Chain-Safety muss aktive Warnungen und gesicherte Projektabschnitte entlang der gesamten Code- und Construct-Section bieten, um Risiken so früh wie möglich im Entwicklungszyklus zu reduzieren.

Gesucht: Lösungen, die den kompletten Prozess der Software program-Erstellung schützen können

Die neue Richtlinie ist ein Schritt in die richtige Richtung, um Software program sicherer zu machen. Es gibt zwar eine Übergangsphase von 21 Monaten, bis die Richtlinie in allen EU-Ländern ratifiziert wird, doch Unternehmen jeder Artwork sollten sich bereits jetzt auf deren Umsetzung vorbereiten.

Für Unternehmen, die selbst an der Erstellung von Software program beteiligt sind, bedeutet dies, dass sie jetzt in entsprechende Lösungen investieren müssen, die ihnen dabei helfen, den kompletten Prozess der Software program-Erstellung zu schützen.

Unternehmen, die Software program nutzen – was de facto jede Group betrifft – sollten ab sofort darauf achten, dass Lieferanten von Software program die Richtlinien umsetzen, entsprechende Instruments zur Absicherung ihres gesamten Entwicklungsprozesses einsetzen und die Herkunft und Sicherheit aller Bestandteile ihrer Software program über über of Supplies“ (kurz „SBOM“) guarantieren können. For diesen Zweck eignen sich moderne CNAPP-Plattformen, die entsprechende Funktionen für Provide-Chain-Safety integriert haben.

* Arne Jacobsen is Director of Gross sales EMEA at Aqua Safety.

(ID:48764622)

Leave a Reply

Your email address will not be published. Required fields are marked *