
Anbieter sehen sich einem wachsenden gesetzlichen Sicherheits-Framework entlang des Software-Entwicklungszyklus (SDLC) und der Software Supply Chain gegenüber
Die US-Regierung hat am 2. März neue Richtlinien zur Stärkung der Cybersecurity vorgestellt. Ziel der National Cybersecurity Strategy ist es, die Software Supply Chain sicherer zu machen und Anwendungen und Systeme vor Angriffen und Ransomware-Attacken zu schützen. Das hat auch Auswirkungen auf Softwareanbieter und ihren Umgang mit Open Source Software(OSS)-Komponenten im Rahmen der Softwarenentwicklung.
Die USA hatte bereits 2021 mit einem Dekret damit begonnen, die Anforderungen für Unternehmen, die Software-Lösungen an amerikanische Bundesbehörden verkaufen, zu verschärfen. Die Executive Order (EO 14028) dient seitdem dem staatlichen National Institute of Standards and Technology (NIST) als Grundlage, um allgemeine Standards, Tools und Best Practices zu definieren. Dazu gehört auch die Bereitstellung einer Software Bill of Materials (SBOM) für jedes Softwareprodukt. Laut eines im September 2022 veröffentlichten Memos des Weißen Hauses sind alle bundesstaatlichen Behörden verpflichtet, die von NIST aufgesetzten Richtlinien innerhalb der nächsten zwei Jahren umzusetzen.
Die nun vorgelegte National Cybersecurity Strategy schließt an diese Maßnahmen an und verschärft sie. Im Mittelpunkt steht die Forderung nach einer engen Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor. Das Cybersicherheits-Konzept basiert dabei auf fünf Säulen:
- Schutz kritischer Infrastrukturen (KRITIS)
- Ausschalten bzw. Entschärfen von Threat Actors (Bedrohungsakteuren)
- Marktregulierungen zur Förderung der nationalen (Cyber-)Sicherheit
- Ausbau der Resilienz von Technologien und IT-Infrastrukturen
- Internationale Partnerschaften zur Verfolgung gemeinsamer Ziele
Für Softwareanbieter und Entwickler dürfte die Strategie sowohl indirekte als auch direkte Folgen nach sich ziehen. So sollen Anbieter deutlich mehr Verantwortung bei der Umsetzung neuer Vorschriften und Standards übernehmen. Neben spezifischen Sicherheitsmaßnahmen könnten dazu in Zukunft auch regelmäßige Sicherheitsprüfungen und Audits. Wachsende Bedeutung erhält zudem die Implementierung sicherer Verfahren und Praktiken entlang des Software Development Cycles (SDC). Um Prozesse rund um das Durchführen von Sicherheitstests, die Bewertung von Schwachstellen und die Modellierung von Bedrohungen intern neu aufzusetzen, werden Anbieter in den meisten Fällen wohl in zusätzliche Ressourcen und Tools investieren müssen. Zumal die Häufigkeit von Sicherheitstest dem Veröffentlichungszyklus der Softwareprodukten angepasst werden soll.
Darüber hinaus werden Softwarehersteller angehalten, die Zusammenarbeit mit Regierungsbehörden weiter zu intensivieren. Noch ist nicht zu 100 Prozent klar, wie umfangreich dieser Austausch ausfallen soll. Möglichkeiten zur Kollaboration ergeben sich theoretisch viele – von der gemeinsamen Entwicklung neuer Cybersicherheitslösungen über das Software Vulnerability Management bis hin zur Etablierung von Sicherheitskontrollen für externe Software-Lieferanten. So oder so können Anbieter jedoch mit einem deutlichen Mehraufwand rechnen. Überhaupt fordert die US-Regierung einen höhere Transparenz, was die Offenlegung von Sicherheitspraktiken und Risikobewertung angeht.
„Die von der US-Regierung vorgestellte Cybersicherheits-Strategie ist in vielen Punkten noch eine Vision. Trotzdem besteht kein Zweifel daran, dass sich die Softwareindustrie auf schärfere gesetzliche Rahmenbedingungen in Sachen Software Supply Chain gefasst machen muss“, erklärt Nicole Segerer, SVP und General Manager bei Revenera. „Viele Länder werden dem Beispiel der USA folgen. Die EU hat bereits vor zwei Jahren eine Open-Source-Software-Strategie 2020-2023 vorgestellt. Damit steht der private Sektor über kurz oder lang vor der Herausforderung, seine Sicherheitsmechanismen entlang der Software-Lieferkette zu verbessern und die SBOM fest in das Software Development Framework zu implementieren.“
Sowohl was die Compliance als auch die Sicherheit angeht, sollten Softwareanbieter und Entwickler daher erste Grundsteine legen und zentrale Best Practices in ihre Workflows integrieren. Dazu gehören:
- Software Composition Analyse, um Schwachstellen frühzeitig im Software-Entwicklungszyklus (SDLC) zu identifizieren und zu beheben.
- Software Bill of Material (SBOM) für jede Anwendung, um alle eingesetzten Komponenten (OSS und Dritt-Anbieter), einschließlich ihrer Abhängigkeiten, festzuhalten.
- Tracking- und Analysetools, um alle Komponenten nachzuverfolgen – unabhängig davon, ob sie aus dem Unternehmen selbst oder einer externen Quelle stammen.
- Interne Trainings und Management-Schulungen, um das Sicherheitsbewusstsein von Entwicklerteams im Umgang mit Open Source zu schärfen.
- Open Source Program Office (OSPO), um Open Source Compliance- und Sicherheitsrichtlinie konsequent und abteilungsübergreifend durchzusetzen.
Weitere Informationen:
- Revenera Webseite
- Revenera Software Composition Analysis
- Revenera SBOM Insights Video
Fachartikel

ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee

Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite

Kosteneinsparungen und Optimierung der Cloud-Ressourcen in AWS

CVE-2023-23397: Der Benachrichtigungston, den Sie nicht hören wollen

Wie sich kleine und mittlere Unternehmen proaktiv gegen Ransomware-Angriffe wappnen
Studien

Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum

2023 State of the Cloud Report

Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen

BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher

Wie Cloud-Technologie die Versicherungsbranche revolutioniert
Whitepaper

Arctic Wolf Labs Threat Report: Deutlicher Anstieg der erfolgreichen Fälle von Business-E-Mail-Compromise

Aufkommende Trends in der externen Cyberabwehr

Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen

Aktueller Datenschutzbericht: Risiko XXL am Horizont

Vertrauen in die Lieferkette durch Cyber-Resilienz aufbauen
Unter4Ohren

Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS

DDoS – der stille Killer

Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen

Datenschutz und -kontrolle in jeder beliebigen Cloud bei gleichzeitiger Kostensenkung, Reduzierung der Komplexität, Verbesserung der Datenverfügbarkeit und Ausfallsicherheit
