Angriffe auf Softwarelieferketten : Mit diesen 7 Maßnahmen schützen Sie die Software Supply Chain

Lieferketten spielen sowohl in der Produktion als auch in der Softwareentwicklung eine zentrale Rolle für einen reibungslosen Ablauf. Während physische Lieferketten streng überwacht werden müssen, um Bauteile sicher zu liefern und Endprodukte fehlerfrei zu versenden, erfordert auch die Softwarelieferkette eine sorgfältige Absicherung – insbesondere angesichts der steigenden Anforderungen und der zunehmenden Komplexität der Softwarekomponenten. Vom Entwicklungsprozess bis zur Auslieferung ist es entscheidend, sowohl einzelne Elemente als auch die gesamte Pipeline zu schützen.

>>> Wie die G20 zu resilienteren Lieferketten beitragen kann

„Die Sicherheit der Softwarelieferkette hängt davon ab, Schwachstellen frühzeitig zu identifizieren und alle Ebenen zu schützen – von der Infrastruktur über den Code bis hin zu den Pipelines“, so Marc Meckel, Manager DomainConsulting bei Palo Alto Networks. „Besonders kritisch ist dabei die kontinuierliche Überwachung und Anpassung der Sicherheitsmaßnahmen. Wer heute seine Supply Chain absichert, muss morgen bereits die nächsten Bedrohungen antizipieren." 

Unternehmen sollten daher nicht nur in Technologien, sondern auch in die Schulung ihrer Entwicklungsteams investieren, um eine nachhaltige Sicherheitskultur zu etablieren. Die größte Herausforderung liege dabei oft nicht in der Implementierung einzelner Sicherheitsmaßnahmen, sondern in deren nahtloser Integration in bestehende Entwicklungsprozesse, führt Meckel aus.

Die folgende Checkliste zeigt sieben Maßnahmen, um Risiken frühzeitig zu identifizieren, zu priorisieren und Angriffe auf die Softwarelieferkette zu verhindern.

IaC-Templates wie Terraform, CloudFormation, Azure Resource Manager (ARM) oder Kubernetes können unsichere Voreinstellungen aufweisen, die potenzielle Angriffspunkte bieten. Um Sicherheitslücken zu vermeiden, ist es entscheidend, dass Unternehmen bewährte IaC-Praktiken umsetzen, Fehlkonfigurationen frühzeitig beheben und sensible Daten schützen. Durch regelmäßiges Scannen und die konsequente Einhaltung von Sicherheitsrichtlinien können Schwachstellen frühzeitig identifiziert, Angriffsflächen minimiert und der Zugriff auf Cloud-Umgebungen besser kontrolliert werden.

Moderne Anwendungen bestehen zu bis zu 96 Prozent aus Open-Source-Komponenten, von denen viele bekannte Sicherheitslücken aufweisen. Sicherheitsverantwortliche können auf Datenbanken wie die Common Vulnerabilities and Exposures (CVE) zugreifen, um einen Überblick über diese Schwachstellen zu erhalten. Um Anwendungen effektiv abzusichern, sollten regelmäßig Codebibliotheken gescannt, betroffene Pakete aktualisiert und Patches basierend auf Risikobewertungen wie dem CVSS priorisiert werden.

>>> Digitale Trends, die das Lieferkettenmanagement 2025 prägen

Container bieten zwar große Flexibilität, bringen jedoch auch Sicherheitsrisiken mit sich. Daher ist es entscheidend, Images in jeder Phase der Entwicklung zu scannen – von der Erstellung der CI/CD-Pipeline bis hin zum produktiven Betrieb. Sicherheitsexperten sollten zudem unbekannte Images in Sandboxes testen, um potenzielle Malware zu identifizieren. Grundsätzlich sollten nur vertrauenswürdige Quellen verwendet werden, um Angriffe durch Image-Poisoning zu verhindern.

Die Sicherheit der Lieferkette ist eng mit dem System verbunden, das sie verwaltet – bei Cloud-nativen Anwendungen handelt es sich dabei meist um ein Versionskontrollsystem (VCS). Ohne geeignete Zugriffssteuerungen und Branch-Protections kann ein fehlerhaft konfiguriertes VCS zu einem Angriffsziel werden. Daher sind Sicherheitsmaßnahmen wie die Aktivierung von Zwei-Faktor-Authentifizierung (2FA), Single-Sign-On (SSO), IP-Beschränkungen, der Schutz von Branches vor gefälschten Commits und verpflichtende Code-Reviews von großer Bedeutung.

>>> Supply Chain Trends 2024: Ein Blick auf die Herausforderungen

CI/CD-Pipelines sind das Rückgrat der Codebereitstellung in Cloud-nativen Organisationen und erfordern besondere Sicherheitsmaßnahmen. Ungeprüfte Änderungen in den Abläufen können dazu führen, dass Zugangsdaten offengelegt werden oder der Code manipuliert wird. Unternehmen können diese Risiken effektiv reduzieren, indem sie Pipeline-Konfigurationen regelmäßig scannen, unsichere Befehle vermeiden, den Zugriff auf sensible Umgebungen einschränken und Test- sowie Deployment-Berechtigungen voneinander trennen.

Neben der Erkennung von Sicherheitslücken ist es entscheidend, die versehentliche Offenlegung von Zugangsdaten, Tokens oder Schlüsseln zu verhindern, da diese unbefugten Zugriff auf kritische Systeme ermöglichen können. Unternehmen sollten daher spezialisierte Tresore wie HashiCorp Vault oder Azure Key Vault nutzen, um vertrauliche Daten sicher zu speichern. 

Zudem sollten Zugangsschlüssel regelmäßig ausgetauscht und ein Verfahren zur Deaktivierung, zum Widerruf sowie zur Neugenerierung von Anmeldeinformationen etabliert werden. Es empfiehlt sich auch zu prüfen, ob Zugangsschlüssel durch alternative Authentifizierungslösungen wie OpenID Connect vermieden werden können.

Die Sicherheit der einzelnen Komponenten in der Lieferkette setzt auch ein Verständnis darüber voraus, wie diese miteinander verknüpft sind und potenziellen Angriffen ausgesetzt sein könnten. Durch den Einsatz einer Software Bill of Materials (SBOM) und vollständiger Code-to-Cloud-Transparenz können Sicherheitsteams Schwachstellen gezielt identifizieren und priorisieren. Im Ernstfall können sie so schnell die richtigen Maßnahmen ergreifen, um Schäden zu minimieren.