Sicherheit der Software-Lieferkette

Open Source als systemisches Risiko?

Open Source
LinkedInRedditWhatsApp

Das Ausmaß böswilliger Open-Source-Aktivitäten, das im aktuellen Bericht von Sonatype beschrieben wird, sollte sowohl als Governance-Problem als auch als technisches Problem betrachtet werden.

Angesichts der Tatsache, dass Entwickler jedes Jahr Billionen von Komponenten herunterladen und jährlich fast eine halbe Million neuer bösartiger Pakete identifiziert werden, stellen Software-Lieferketten ein systemisches Risiko für die wirtschaftliche Stabilität, die nationale Infrastruktur und das Vertrauen der Öffentlichkeit dar.

Anzeige

Besonders besorgniserregend ist die Industrialisierung dieser Kampagnen. Es handelt sich längst nicht mehr um opportunistischen Missbrauch offener Ökosysteme, sondern um nachhaltige, gut ausgestattete Cyberoperationen, die gezielt das Vertrauen in weit verbreitete Entwicklungsplattformen ausnutzen. Das stellt traditionelle Annahmen über die Softwareherkunft, das Vertrauen und die Verantwortlichkeit grundlegend infrage – sowohl für Unternehmen als auch für den öffentlichen Sektor.

Open-Source-Risiken lassen sich nicht allein auf Entwicklerebene managen. Eine wirksame Risikominderung erfordert Verantwortung auf Führungsebene sowie richtlinienbasierte Kontrollen, die die Sicherheit der Software-Lieferkette als organisationsweite Aufgabe begreifen. Dazu gehört zunächst Transparenz darüber, welcher Code eingesetzt wird – einschließlich umfassender Software Bill of Materials (SBOMs). Darüber hinaus muss jedoch geregelt sein, wie Zugriffe über Entwicklungsumgebungen hinweg gesteuert, durchgesetzt und überwacht werden.

Angreifer haben es konsequent auf Zugangsdaten, Geheimnisse und privilegierte Zugriffe abgesehen, da diese den schnellsten Weg zur Skalierung bieten. Eine Zentralisierung des Credential-Managements, die Durchsetzung des Zero-Trust-Prinzips sowie detaillierte Audit-Trails sind entscheidend, um die Angriffsfläche zu begrenzen, falls bösartige Komponenten dennoch in die Systeme gelangen. Die sichere Ablage von API-Schlüsseln und Entwickler-Secrets in geschützten Vaults reduziert zusätzlich die Möglichkeit für Angreifer, sich lateral zu bewegen oder nach einer Kompromittierung ihre Berechtigungen auszuweiten.

Anzeige

Für Vorstände, Regulierungsbehörden und Führungskräfte ist die Sicherheit der Software-Lieferkette inzwischen eine Frage der organisationalen Resilienz und des nationalen Interesses. Sie als etwas Geringeres zu behandeln, setzt Institutionen Bedrohungen aus, die zunehmend strategisch, dauerhaft und nach einer erfolgreichen Einschleusung nur schwer einzudämmen sind.


Shane Barney

Shane

Barney

Chief Information Security Officer

Keeper Security

Anzeige

Artikel zu diesem Thema

Offene Infrastruktur, open source kostenlos, open source verantwortung, Open-Source, Open Source, Open-Source-Infrastruktur
27. September 2025
Open Source: Offene Infrastruktur ist nicht kostenlos

Weitere Artikel

Deutschland ist Vorreiter bei Observability 
Fünf KI-Sicherheitstrends, die in diesem Jahr wichtig werden
Kaspersky stellt OT Cybersecurity Savings Calculator vor
Fritzbox und Co. absichern: Diese Settings empfiehlt das BSI
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.