BSI und ZenDiS präsentieren Strategie zur automatisierten Absicherung von Software-Lieferketten in der öffentlichen Verwaltung

In Zeiten zunehmender geopolitischer Spannungen wird die Gewährleistung der Sicherheit und Beständigkeit digitaler Infrastrukturen zu einem zentralen Baustein der Daseinsvorsorge. Mit einer gemeinsamen Initiative rücken das Zentrum für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun die Bedeutung sicherer und souveräner Softwarelieferketten weiter in den Fokus.

Nahezu jede Software greift heute auf hunderte oder gar tausende bestehende Einzelkomponenten, Bibliotheken und Tools zurück. Die Gesamtheit dieser Komponenten bildet die Softwarelieferkette. Wird ein Teil dieser Kette kompromittiert oder fällt weg, entstehen erhebliche Risiken für alle Nutzenden.

Komplexe Softwarelieferketten brauchen neue, standardisierte Prüfverfahren

Eine vollständige Prüfung von Softwarelieferketten ist bislang angesichts ihrer Komplexität für einzelne Softwareanbieter kaum realisierbar. Dies erfordert einen grundlegend neuen Ansatz, der über die Möglichkeiten einzelner Organisationen hinausgeht und die Fachkenntnisse von Sicherheitsexpert:innen, Entwickler:innen und Behörden gezielt bündelt, standardisierte Prüfverfahren etabliert und gemeinsame Sicherheitsanalysen ermöglicht.

openCode als Kernbaustein für eine sichere digitale Infrastruktur

Zentraler Baustein ist die Plattform openCode. Sie etabliert verbindliche Sicherheitsstandards, macht Abhängigkeiten transparent und schafft nachvollziehbare Herkunftsnachweise für kritische Softwarekomponenten. Dank der Transparenz von Open-Source können so viele der bisherigen, manuellen Prüfprozesse automatisiert und damit die Skalierbarkeit von Sicherheitsüberprüfungen der Softwarelieferkette erheblich verbessert werden.

Mit seinem jüngst gelaunchten Badge-Programm zeigt das ZenDiS konkret, wie eine solche Prüfung realisiert werden kann. Dort werden Qualitätsmerkmale von auf openCode liegender Software – beispielsweise zu Wartung und Nachnutzung – automatisch aus dem Code abgeleitet.

Paradigmenwechsel von Reaktion zu Prävention

Derzeitige Ansätze zur Softwaresicherheit sind weitgehend reaktiv. openCode kann einen präventiven Ansatz durch kontinuierliche, automatisierte Sicherheitsprüfungen und transparente Softwarelieferketten ermöglichen: Bei einem Sicherheitsvorfall können Artefakte und Betroffene zuverlässig identifiziert und Echtzeitlagebilder erstellt werden, sodass gezielt gewarnt werden kann. So wird openCode zu einem Schlüsselelement einer resilienten digitalen Infrastruktur in Deutschland.

Claudia Plattner, Präsidentin des BSI, betont die Bedeutung der Zusammenarbeit: „Sichere Softwarelieferketten sind ein entscheidender Faktor für eine funktionierende Digitalisierung. Sie machen Abhängigkeiten deutlich und damit beherrschbar. Wir schaffen hier außerdem ein Angebot, dass uns dringend benötigte Skalierbarkeit ermöglicht, um Cybersicherheit wirkungsvoll umzusetzen. Entscheidend dafür ist das gelungene Zusammenspiel vieler Akteure, so wie wir es uns für die Cybernation Deutschland wünschen.“

Leonhard Kugler, Leiter Open-Source-Plattform beim ZenDiS, bekräftigt die strategische Bedeutung: „Die Entwicklung einer souveränen digitalen Infrastruktur ist für unsere Daseinsvorsorge im 21. Jahrhundert unverzichtbar. Mit openCode setzen wir einen wesentlichen Baustein, um die Sicherheit unserer Softwarelieferketten zu stärken und so die digitale Handlungsfähigkeit des Staates auch in einer komplexen geopolitischen Landschaft zu bewahren.“

Strategiepapier lädt zu Beteiligung ein

Ihr Konzept für eine sichere und souveräne Softwarelieferkette haben das BSI und das ZenDiS in einem gemeinsamen Strategiepapier inklusive Umsetzungsplan dargelegt. Das Papier steht auf den Webseiten des ZenDiS sowie des BSI zum Download zur Verfügung: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/ZenDiS/Strategiepapier-Softwarelieferketten.pdf?__blob=publicationFile&v=2

Rückmeldungen aus der Fachöffentlichkeit sind ausdrücklich erwünscht. Kontaktmöglichkeiten gibt es auf https://opencode.de.

---

Bild/Quelle: https://depositphotos.com/de/home.html