Aktuelles, Experten - geschrieben von dp am Freitag, April 11, 2025 0:40 - noch keine Kommentare
BSI und ZenDis: openCode-Leitfaden zur Strategie einer automatisierten Absicherung von Softwarelieferketten
Gemeinsame Veröffentlichung vom BSI und ZenDiS für die Verwaltung
[datensicherheit.de, 11.04.2025] Laut einer Meldung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde in Kooperation mit dem Zentrum für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS) eine Strategie für die automatisierte Absicherung von Softwarelieferketten für die Verwaltung veröffentlicht. Das ZenDiS wurde 2022 durch das Bundesministerium des Innern und für Heimat (BMI) gegründet – als Kompetenz- und Servicezentrum soll es die Öffentliche Verwaltung auf Ebene von Bund, Ländern und Kommunen dabei unterstützen, ihre Handlungsfähigkeit im Digitalen Raum langfristig abzusichern – vor allem, indem kritische Abhängigkeiten von einzelnen Technologieanbietern aufgelöst werden. Dazu soll sich das ZenDiS in der ersten Ausbaustufe darauf konzentrieren, den Einsatz von Open-Source-Software in der Öffentlichen Verwaltung voranzutreiben.
Abbildung: openCode
„Sichere Softwarelieferketten: openCode als Baustein einer souveränen digitalen Infrastrukturldung“ steht zum Download bereit
Gemeinsame Initiative des ZenDiS und des BSI rückt Bedeutung sicherer und souveräner Softwarelieferketten in den Fokus
„In Zeiten zunehmender geopolitischer Spannungen wird die Gewährleistung der Sicherheit und Beständigkeit digitaler Infrastrukturen zu einem zentralen Baustein der Daseinsvorsorge.“ Mit einer gemeinsamen Initiative rücken das ZenDiS und das BSI nun die Bedeutung sicherer und souveräner Softwarelieferketten weiter in den Fokus.
- „Nahezu jede Software greift heute auf Hunderte oder gar Tausende bestehende Einzelkomponenten, Bibliotheken und Tools zurück. Die Gesamtheit dieser Komponenten bildet die Softwarelieferkette. Wird ein Teil dieser Kette kompromittiert oder fällt weg, entstehen erhebliche Risiken für alle Nutzenden.“
Eine vollständige Prüfung von Softwarelieferketten sei bislang angesichts ihrer Komplexität für einzelne Softwareanbieter kaum realisierbar. Dies erfordere einen grundlegend neuen Ansatz, welcher über die Möglichkeiten einzelner Organisationen hinausgehe und die Fachkenntnisse von Sicherheitsexperten, Entwicklern und Behörden gezielt bündele, standardisierte Prüfverfahren etabliere und gemeinsame Sicherheitsanalysen ermögliche.
„openCode“ als Kernbaustein für eine sichere digitale Infrastruktur – das „Badge“-Programm vom ZenDiS zeigt konkrete Möglichkeiten einer Prüfung auf
Zentraler Baustein sei die Plattform „openCode“. Diese etabliere verbindliche Sicherheitsstandards, mache Abhängigkeiten transparent und schaffe nachvollziehbare Herkunftsnachweise für kritische Softwarekomponenten. Dank der Transparenz von Open-Source könnten so viele der bisherigen, manuellen Prüfprozesse automatisiert und damit die Skalierbarkeit von Sicherheitsüberprüfungen der Softwarelieferkette erheblich verbessert werden.
- „Mit seinem jüngst gelaunchten ,Badge’-Programm zeigt das ZenDiS konkret, wie eine solche Prüfung realisiert werden kann. Dort werden Qualitätsmerkmale von auf ,openCode’ liegender Software – beispielsweise zu Wartung und Nachnutzung – automatisch aus dem Code abgeleitet.“
Derzeitige Ansätze zur Softwaresicherheit seien weitgehend reaktiv – „openCode“ könne einen präventiven Ansatz durch kontinuierliche, automatisierte Sicherheitsprüfungen und transparente Softwarelieferketten ermöglichen: Bei einem Sicherheitsvorfall könnten Artefakte und Betroffene zuverlässig identifiziert und Echtzeitlagebilder erstellt werden, so dass gezielt gewarnt werden könne. „So wird ,openCode’ zu einem Schlüsselelement einer resilienten digitalen Infrastruktur in Deutschland.“
Das ZenDiS betont die strategische Bedeutung: Entwicklung einer souveränen digitalen Infrastruktur für Daseinsvorsorge im 21. Jahrhundert unverzichtbar
Ihr Konzept für eine sichere und souveräne Softwarelieferkette haben das BSI und das ZenDiS in einem gemeinsamen Strategiepapier inklusive Umsetzungsplan dargelegt. Das Papier steht auf den Webseiten des ZenDiS sowie des BSI zum Download zur Verfügung. Rückmeldungen aus der Fachöffentlichkeit seien ausdrücklich erwünscht – Kontaktmöglichkeiten gibt es auf der „openCode“-Website.
- Die Präsidentin des BSI, Claudia Plattner, hebt die Bedeutung der Kooperation hervor: „Sichere Softwarelieferketten sind ein entscheidender Faktor für eine funktionierende Digitalisierung. Sie machen Abhängigkeiten deutlich und damit beherrschbar. Wir schaffen hier außerdem ein Angebot, dass uns dringend benötigte Skalierbarkeit ermöglicht, um Cyber-Sicherheit wirkungsvoll umzusetzen.“ Entscheidend dafür sei das gelungene Zusammenspiel vieler Akteure – „so wie wir es uns für die ,Cybernation Deutschland’ wünschen.“
- Leonhard Kugler, Leiter „Open-Source-Plattform“ beim ZenDiS, betont die strategische Bedeutung: „Die Entwicklung einer souveränen digitalen Infrastruktur ist für unsere Daseinsvorsorge im 21. Jahrhundert unverzichtbar. Mit ,openCode’ setzen wir einen wesentlichen Baustein, um die Sicherheit unserer Softwarelieferketten zu stärken und so die digitale Handlungsfähigkeit des Staates auch in einer komplexen geopolitischen Landschaft zu bewahren.“
Weitere Informationen zum Thema:
openCode
Sichere Softwarelieferketten: openCode als Baustein einer souveränen digitalen Infrastruktur
ZenDis
openCode
datensicherheit.de, 27.02.2025
Cyber Resilience Act – Absicherung der Software-Lieferkette / Cyberkriminelle nutzen zunehmend Schwachstellen in Entwicklungspipelines aus
datensicherheit.de, 30.10.2024
Cyber-Angriffe auf die Lieferkette: Unternehmen sollten Risiken erkennen und gezielt vorbeugen / Cyber-Angreifer nutzen hierzu bestehendes Vertrauen in Geschäftsbeziehungen und die Sicherheitsarchitektur aus
datensicherheit.de, 13.05.2024
Blinder Fleck der Cybersecurity: Software-Lieferketten als Einfallstor / Eine große Mehrheit der Unternehmen hatte einen Cyber-Vorfall innerhalb der vergangenen zwölf Monate
Kooperation
Mitgliedschaft
Mitgliedschaft
Multiplikator
Aktuelles, Experten - Apr. 14, 2025 0:40 - noch keine Kommentare
Windows 10: BSI empfiehlt Upgrade oder Wechsel des Betriebssystems nach Support-Ende
weitere Beiträge in Experten
- Zunehmendes Unbehagen vor Telefonaten: Ein Drittel hat bereits notwendige Anrufe aufgeschoben
- DORA-Frist vom 14. und dem 28. April 2025: Lieferkettensicherheit als Herausforderung
- Security Forum 2025: Top-aktuelle Themen aus dem Bereich Cyber- bzw. IKT-Sicherheit im Fokus
- Koalitionsvertrag: Digitalcourage warnt vor untoten Überwachungsallüren
- Eine variable Größe: Wie die USA, China und die EU mit dem Datenschutz umgehen
Aktuelles, Branche, Studien - Apr. 10, 2025 13:33 - noch keine Kommentare
BEC-Angreifer: Beuteforderungen verdoppelten sich innerhalb eines Quartals
weitere Beiträge in Branche
- Millionenschäden: Identitätsbetrug zum Schaden von Unternehmen
- Neue Mitarbeiter: Vom Sicherheitsrisiko zum Verfechter der betrieblichen Cyber-Sicherheitsstrategie
- Cyber-Resilienz statt bloße Cyber-Resistenz: 5 Tipps für mehr Widerstandsfähigkeit gegenüber -angriffen
- Finanzdienstleistungen: Gedanken zur vorteilhaften und sicheren KI-Nutzung
- Öl- und Gasindustrie: The Big 5 Cyber Threats
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren