Nahezu jede Software greift heute auf hunderte oder gar tausende bestehende Einzelkomponenten, Bibliotheken und Tools zurück. Die Gesamtheit dieser Komponenten bildet die Softwarelieferkette. Wird ein Teil dieser Kette kompromittiert oder fällt weg, entstehen erhebliche Risiken für alle Nutzenden.

Komplexe Softwarelieferketten brauchen neue, standardisierte Prüfverfahren

Eine vollständige Prüfung von Softwarelieferketten ist bislang angesichts ihrer Komplexität für einzelne Softwareanbieter kaum realisierbar. Dies erfordert einen grundlegend neuen Ansatz, der über die Möglichkeiten einzelner Organisationen hinausgeht und die Fachkenntnisse von Sicherheitsexpert:innen, Entwickler:innen und Behörden gezielt bündelt, standardisierte Prüfverfahren etabliert und gemeinsame Sicherheitsanalysen ermöglicht.

openCode als Kernbaustein für eine sichere digitale Infrastruktur

Zentraler Baustein ist die Plattform openCode. Sie etabliert verbindliche Sicherheitsstandards, macht Abhängigkeiten transparent und schafft nachvollziehbare Herkunftsnachweise für kritische Softwarekomponenten. Dank der Transparenz von Open-Source können so viele der bisherigen, manuellen Prüfprozesse automatisiert und damit die Skalierbarkeit von Sicherheitsüberprüfungen der Softwarelieferkette erheblich verbessert werden.

Mit seinem jüngst gelaunchten Badge-Programm zeigt das ZenDiS konkret, wie eine solche Prüfung realisiert werden kann. Dort werden Qualitätsmerkmale von auf openCode liegender Software – beispielsweise zu Wartung und Nachnutzung – automatisch aus dem Code abgeleitet.

Paradigmenwechsel von Reaktion zu Prävention

Derzeitige Ansätze zur Softwaresicherheit sind weitgehend reaktiv. openCode kann einen präventiven Ansatz durch kontinuierliche, automatisierte Sicherheitsprüfungen und transparente Softwarelieferketten ermöglichen: Bei einem Sicherheitsvorfall können Artefakte und Betroffene zuverlässig identifiziert und Echtzeitlagebilder erstellt werden, sodass gezielt gewarnt werden kann. So wird openCode zu einem Schlüsselelement einer resilienten digitalen Infrastruktur in Deutschland.

Claudia Plattner, Präsidentin des BSI, betont die Bedeutung der Zusammenarbeit: „Sichere Softwarelieferketten sind ein entscheidender Faktor für eine funktionierende Digitalisierung. Sie machen Abhängigkeiten deutlich und damit beherrschbar. Wir schaffen hier außerdem ein Angebot, dass uns dringend benötigte Skalierbarkeit ermöglicht, um Cybersicherheit wirkungsvoll umzusetzen. Entscheidend dafür ist das gelungene Zusammenspiel vieler Akteure, so wie wir es uns für die Cybernation Deutschland wünschen.“

Leonhard Kugler, Leiter Open-Source-Plattform beim ZenDiS, bekräftigt die strategische Bedeutung: „Die Entwicklung einer souveränen digitalen Infrastruktur ist für unsere Daseinsvorsorge im 21. Jahrhundert unverzichtbar. Mit openCode setzen wir einen wesentlichen Baustein, um die Sicherheit unserer Softwarelieferketten zu stärken und so die digitale Handlungsfähigkeit des Staates auch in einer komplexen geopolitischen Landschaft zu bewahren.“

Strategiepapier lädt zu Beteiligung ein

Ihr Konzept für eine sichere und souveräne Softwarelieferkette haben das BSI und das ZenDiS in einem gemeinsamen Strategiepapier inklusive Umsetzungsplan dargelegt. Das Papier steht auf den Webseiten des ZenDiS sowie des BSI zum Download zur Verfügung (Link).

Über das ZenDiS

Das Zentrum für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS) wurde 2022 durch das Bundesministerium des Innern und für Heimat (BMI) gegründet. Als Kompetenz- und Servicezentrum unterstützt das ZenDiS die Öffentliche Verwaltung auf Ebene von Bund, Ländern und Kommunen dabei, ihre Handlungsfähigkeit im digitalen Raum langfristig abzusichern – vor allem, indem kritische Abhängigkeiten von einzelnen Technologieanbietern aufgelöst werden. Dazu konzentriert sich das ZenDiS in der ersten Ausbaustufe darauf, den Einsatz von Open-Source-Software in der Öffentlichen Verwaltung voranzutreiben. Das ZenDiS ist eine GmbH und liegt derzeit zu 100 Prozent in der Hand des Bundes. Eine Beteiligung der Länder ist in Vorbereitung. Sitz des ZenDiS ist Bochum.

Über das BSI

 Das BSI ist die Cybersicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland. Es macht Deutschland resilient gegen Cyberbedrohungen – und Cybersicherheit zum Erfolgsfaktor für die Digitalisierung. Gemeinsam mit seinen Partnern treibt das BSI die Entwicklung der Cybernation Deutschland voran – für eine resiliente, innovative und sichere digitale Zukunft. Cybersicherheit wird zum Erfolgsfaktor der Digitalisierung – national und in Europa.

Quelle: BSI