Anmelden Registrierung

Wähle Land aus

  • News & Events
  • das Unternehmen
  • Karriere
  • Vendor Card
  • News & Events
  • das Unternehmen
  • Karriere
  • Vendor Card
News

Das CISO-Playbook: 10 Schritte zur Absicherung Ihrer Software-Lieferkette

News | 01.08.2025

Einführung: Das neue Schlachtfeld – die Verteidigung der digitalen Lieferkette

Die moderne digitale Wirtschaft basiert auf Software, und die heutige Software wird weniger geschrieben als vielmehr zusammengesetzt. Dieser fundamentale Wandel hat ein neues, weitläufiges und extrem verwundbares Schlachtfeld geschaffen: die Software-Lieferkette. Spektakuläre, komplexe Cyberangriffe, wie der, der SolarWinds kompromittierte, haben mit erschreckender Deutlichkeit gezeigt, dass die Integrität einer einzigen Softwarekomponente kaskadierende Folgen für Tausende von Organisationen weltweit haben kann. In diesem vernetzten Ökosystem erweisen sich traditionelle Perimeterschutzmaßnahmen als unzureichend. Der Fokus der Angreifer hat sich von der Überwindung befestigter Netzwerke auf die Infiltration genau jener Entwicklungsprozesse verlagert, die die von uns vertraute Software hervorbringen.

Diese Entwicklung verwandelt die Sicherheit der Software-Lieferkette von einem technischen Nischenthema in eine entscheidende Geschäftsnotwendigkeit. Die treibenden Kräfte hinter diesem Wandel sind vielfältig und stark. Die Bedrohungslandschaft eskaliert, wobei Angreifer Techniken wie Dependency Confusion, Typosquatting und die Kompromittierung des Build-Prozesses nutzen, um bösartigen Code in vertrauenswürdige Produkte einzuschleusen. Gleichzeitig wächst der regulatorische Druck. Wegweisende Regierungsanweisungen, wie die U.S. Presidential Executive Order 14028 zur „Verbesserung der Cybersicherheit der Nation“, haben die Sicherheit der Lieferkette von einer Best Practice zu einer zwingenden Anforderung für viele Sektoren gemacht. Das Potenzial für hohe Geldstrafen, Betriebsstörungen und irreparable Reputationsschäden hat dieses Thema auf die Vorstandsebene gehoben.

Die Navigation in diesem komplexen Bereich erfordert eine strukturierte, ganzheitliche Strategie. Dieser Leitfaden präsentiert eine 10-Schritte-Checkliste, die als umfassende Roadmap für den Aufbau echter Cyber-Resilienz konzipiert ist. Die Empfehlungen sind nicht willkürlich; sie basieren auf den Prinzipien weltweit anerkannter Standards und Frameworks, die von führenden Organisationen wie dem National Institute of Standards and Technology (NIST), dem Open Web Application Security Project (OWASP) und der Open Source Security Foundation (OpenSSF) entwickelt wurden. Durch die systematische Implementierung dieser Kontrollen können Organisationen von einer reaktiven, vorfallgesteuerten Haltung zu einem proaktiven Verteidigungszustand übergehen und die Integrität der von ihnen erstellten und genutzten Software sicherstellen.

Das Zusammentreffen dieser Faktoren – große Angriffe, staatliche Reaktionen und Branchenstandardisierung – hat einen entscheidenden Moment für Führungskräfte im Bereich Cybersicherheit geschaffen. Die Ignorierung der aus dieser neuen Realität entstandenen Frameworks ist nicht nur ein technisches Versehen; es ist eine direkte Akzeptanz von Geschäftsrisiken und ein potenzieller Verstoß gegen regulatorische Anforderungen. Dieser Bericht soll die Klarheit und strategische Führung bieten, die zur Bewältigung dieser Herausforderung erforderlich sind.

Überblick über wichtige Sicherheitsframeworks

Um eine gemeinsame Terminologie zu schaffen und einen klaren Bezugspunkt für die Kernstandards zu bieten, die den Empfehlungen in diesem Bericht zugrunde liegen, werden im Folgenden die wichtigsten Frameworks vorgestellt, die die moderne Sicherheit der Software-Lieferkette definieren.

NIST Secure Software Development Framework (SSDF) SP 800-218

  • Kernfokus: Ein übergeordnetes Framework von Praktiken zur Integration von Sicherheit während des gesamten Softwareentwicklungs-Lebenszyklus (SDLC).
  • Hauptziel: Die Anzahl der Schwachstellen in veröffentlichter Software zu reduzieren und deren eigentliche Ursachen zu beseitigen, indem Sicherheit in jede Entwicklungsphase integriert wird.

OWASP Software Component Verification Standard (SCVS)

  • Kernfokus: Ein von der Community getragenes Framework zur Identifizierung und Reduzierung von Risiken in der Software-Lieferkette, mit besonderem Schwerpunkt auf der Überprüfung der Sicherheit von Drittanbieter-Komponenten.
  • Hauptziel: Einen gemeinsamen Satz von Kontrollen und Best Practices zur Bewertung und Verwaltung der Risiken bereitzustellen, die von Softwarekomponenten ausgehen.

OWASP Software Assurance Maturity Model (SAMM)

  • Kernfokus: Ein präskriptives Reifegradmodell zur Bewertung und Verbesserung der allgemeinen Softwaresicherheitsposition einer Organisation über fünf Geschäftsfunktionen (Governance, Design, Implementierung, Verifizierung, Betrieb).
  • Hauptziel: Eine messbare Methode für Organisationen bereitzustellen, um ihre Softwaresicherheitspraktiken im Laufe der Zeit zu analysieren und zu verbessern, zugeschnitten auf ihre spezifischen Risiken.

Supply-chain Levels for Software Artifacts (SLSA)

  • Kernfokus: Ein Sicherheitsframework und eine Checkliste von Kontrollen zur Gewährleistung der Integrität von Software-Artefakten durch die Erzeugung und Überprüfung ihrer Herkunft (Provenance) – einer manipulationssicheren Aufzeichnung ihres Ursprungs und Build-Prozesses.
  • Hauptziel: Manipulation zu verhindern, die Integrität zu verbessern und Pakete sowie Infrastruktur von der Quelle bis zum Verbraucher zu sichern, indem überprüfbare Nachweise der Artefaktintegrität bereitgestellt werden.

Während Frameworks wie NIST SSDF, OWASP SCVS und SLSA wichtige Anleitungen für spezifische Sicherheitsdomänen bieten, ist es entscheidend zu verstehen, wie sie in ein breiteres strategisches Bild passen. Genau hier bietet das OWASP Software Assurance Maturity Model (SAMM) einen immensen Wert. SAMM ist nicht nur eine weitere Checkliste; es ist ein umfassendes, präskriptives Framework, das Organisationen dabei helfen soll, eine ganzheitliche Softwaresicherheitsstrategie zu bewerten, zu formulieren und umzusetzen, die auf ihre spezifischen Risiken zugeschnitten ist.

SAMM ist um fünf Kerngeschäftsfunktionen herum strukturiert: Governance, Design, Implementierung, Verifizierung und Betrieb. Diese Struktur umfasst den gesamten Software-Lebenszyklus, von der übergeordneten Richtlinie und Schulung bis hin zur sicheren Bereitstellung und Reaktion auf Vorfälle. Innerhalb dieser Funktionen sind spezifische Sicherheitspraktiken in messbare Reifegrade unterteilt, was es einer Organisation ermöglicht, ihren aktuellen Zustand zu bewerten und eine realistische, schrittweise Roadmap zur Verbesserung zu erstellen.

Aus ingenieurtechnischer und strategischer Sicht kann ein spezialisierterer Standard wie OWASP SCVS als detaillierter Implementierungsleitfaden für eine bestimmte Praxis innerhalb des größeren SAMM-Frameworks betrachtet werden. Beispielsweise unterstützen die von SCVS vorgeschriebenen Maßnahmen zur Überprüfung von Drittanbieter-Komponenten direkt die Ziele der SAMM-Praxis „Sicherheitsanforderungen“ (insbesondere des Streams „Lieferantensicherheit“) und der Praxis „Fehlermanagement“. In diesem Licht ist SCVS notwendig und ausreichend für seinen beabsichtigten Zweck, aber der Nachweis, dass seine Implementierung Teil eines breiteren, SAMM-gesteuerten Programms ist, zeigt ein weitaus höheres Maß an strategischer Reife. Es zeigt, dass eine Organisation nicht nur reaktiv auf Bedrohungen auf Komponentenebene reagiert, sondern ihr gesamtes Software-Assurance-Programm auf strukturierte, messbare und sich kontinuierlich verbessernde Weise proaktiv verwaltet.

Teil I: Grundlegende Governance und Transparenz

Schritt 1: Etablierung eines Secure Software Development Framework (SSDF)

Bevor spezifische Werkzeuge implementiert oder Prozesse überarbeitet werden, muss eine Organisation zunächst ihre übergeordnete Philosophie und Governance-Struktur für Software-Sicherheit definieren.

Einführung von Richtlinien und Governance

Die erste Aufgabe besteht darin, das Engagement der Organisation für Sicherheit zu formalisieren. Dies umfasst die klare Definition von Rollen und Verantwortlichkeiten im Bereich Sicherheit für die Entwicklungs-, Betriebs- und Sicherheitsteams. Es bedeutet, messbare Sicherheitsziele festzulegen und sicherzustellen, dass alle Softwareentwicklungsaktivitäten internen Richtlinien und externen regulatorischen Standards entsprechen. Dieser Schritt zielt darauf ab, eine Sicherheitskultur zu etablieren, anstatt nur ein Dokument zu erstellen, das im Regal verstaubt.

Anwendung des „Security-by-Design“-Prinzips

Ein Kernprinzip des SSDF besteht darin, Sicherheit als primäre Designbeschränkung und nicht als nachträglichen Gedanken zu behandeln. Dieser „Shift-Left“-Ansatz erfordert die Integration von Sicherheitsaspekten von den frühesten Phasen des SDLC an – den Phasen der Anforderungserhebung und des Designs. Praktische Anwendungen umfassen die Durchführung formaler Bedrohungsmodellierungen für neue Funktionen, die Durchführung von Überprüfungen der Sicherheitsarchitektur und die Minimierung der potenziellen Angriffsfläche durch das Entfernen unnötiger Funktionen oder Dienste, bevor auch nur eine einzige Zeile Code geschrieben wird.

Implementierung sicherer Kodierungsstandards

Entwickler sind die erste Verteidigungslinie. Das SSDF verlangt, dass sie mit dem Wissen und den Werkzeugen ausgestattet sind, um sicheren Code zu schreiben. Dies umfasst die Bereitstellung fortlaufender Schulungen zu gängigen Schwachstellen, wie sie in den OWASP Top 10 detailliert sind, und die Etablierung formaler sicherer Kodierungsstandards für die Organisation. Diese Standards müssen dann durch eine Kombination aus Richtlinien, obligatorischen Code-Reviews und automatisierten Werkzeugen, die in den Entwicklungsworkflow integriert sind, durchgesetzt werden.

Einführung kontinuierlicher Verbesserung und Risikomanagement

Die Bedrohungslandschaft ist nicht statisch, und ebenso wenig sollte die Sicherheitsposition einer Organisation sein. Das SSDF ist kein einmaliges Projekt, sondern ein kontinuierlicher Zyklus aus Bewertung, Lernen und Verfeinerung. Es erfordert die Etablierung von Prozessen zur Risikobewertung, zur Bewertung der Wirksamkeit bestehender Kontrollen und zur Aktualisierung von Praktiken als Reaktion auf neue Bedrohungen und sich entwickelnde Technologien.

Der Wert der Etablierung eines SSDF kann nicht hoch genug eingeschätzt werden. Es bietet eine gemeinsame Terminologie und eine strukturierte Methodik, die sicherstellt, dass alle Sicherheitsbemühungen konsistent, messbar und auf die übergeordneten Geschäftsziele ausgerichtet sind. Es verwandelt die Sicherheit von einer Reihe chaotischer, ad-hoc-Aktivitäten in ein reifes, systematisches und verteidigungsfähiges Programm. Da die Komponenten des SSDF – Governance, sicheres Design, sicheres Kodieren, Testen und Bereitstellen – hochrangige Praxisbereiche sind, bieten sie die perfekte Organisationsstruktur, um die spezifischen Technologien und Prozesse zu übernehmen und zu verwalten, die im Rest dieser Checkliste detailliert beschrieben sind. Beispielsweise wird die Implementierung von SAST- und DAST-Tools (Schritt 8) zu einer taktischen Ausführung innerhalb des SSDF-Praxisbereichs „Testen und Verifizieren“, wodurch sichergestellt wird, dass sie Teil einer kohärenten Strategie ist und nicht nur ein technischer Kauf.

Schritt 2: Implementierung einer umfassenden Software-Stückliste (SBOM)

Das Grundprinzip jeder Sicherheit in der Lieferkette ist Transparenz: Sie können nicht schützen, was Sie nicht sehen. Im Kontext von Software ist das Instrument zur Erreichung dieser Transparenz die Software-Stückliste (Software Bill of Materials, SBOM).

Generierung von SBOMs für alle Builds

Die Erstellung einer SBOM kann keine manuelle, periodische Aufgabe sein. Um wirksam zu sein, muss sie direkt in die Continuous Integration/Continuous Deployment (CI/CD)-Pipeline integriert werden. Eine SBOM sollte für jedes neue Software-Artefakt, das erstellt wird, automatisch generiert werden. Dies stellt sicher, dass das Inventar immer aktuell ist und den Zustand der Anwendung genau widerspiegelt.

Verwendung standardisierter Formate

Damit eine SBOM über verschiedene Tools und Organisationen hinweg nützlich ist, muss sie einem gemeinsamen Standard entsprechen. Die Branche hat sich weitgehend auf einige wenige Schlüsselformate geeinigt: Software Package Data Exchange (SPDX), CycloneDX und Software Identification (SWID)-Tags. Die Übernahme dieser Standards stellt sicher, dass die von Ihnen generierten SBOMs von einer Vielzahl von Sicherheitsanalysetools verarbeitet und problemlos mit Partnern und Kunden geteilt werden können.

Anforderung von SBOMs von Lieferanten

Die Transparenz einer Organisation muss über ihren eigenen Code hinausgehen. Ein reifes Sicherheitsprogramm schreibt vor, dass alle Drittanbieter von Software eine umfassende SBOM für die beschafften Produkte und Komponenten bereitstellen. Diese vertragliche Anforderung ist entscheidend, um Einblick in die vorgelagerte Lieferkette zu erhalten und die von den Lieferanten übernommenen Risiken zu verstehen.

Nutzung von SBOMs für Maßnahmen

Eine SBOM ist nicht nur ein Archivdokument. Sie ist ein entscheidender Input für eine Vielzahl von Sicherheitsprozessen. Ihre Hauptverwendung besteht darin, Software Composition Analysis (SCA)-Tools zu speisen, die die Komponentenliste mit Datenbanken bekannter Schwachstellen vergleichen, um Risiken zu identifizieren. Darüber hinaus wird die SBOM im Falle einer neu offengelegten, hochwirksamen Schwachstelle (wie dem Log4Shell-Vorfall) zu einem unverzichtbaren Werkzeug für Incident-Response-Teams, das es ihnen ermöglicht, jede betroffene Anwendung im gesamten Unternehmen sofort zu identifizieren.

Obwohl eine SBOM eine statische Momentaufnahme ist, wird ihre wahre Stärke erst dann freigesetzt, wenn sie in ein dynamisches, umsetzbares Intelligence-Asset umgewandelt wird. Diese Transformation findet statt, wenn der Prozess über die einfache Generierung hinausgeht. Ein reifer Prozess folgt einem kontinuierlichen Kreislauf: Die CI/CD-Pipeline generiert bei jedem Build eine SBOM; die SBOM wird in eine zentrale SCA-Plattform aufgenommen; diese Plattform korreliert das SBOM-Inventar kontinuierlich mit Echtzeit-Schwachstellendatenbanken und Threat-Intelligence-Feeds. Wenn in einer Komponente, die in einer zuvor gescannten SBOM vorhanden ist, eine neue Schwachstelle entdeckt wird, kann das System automatisch Warnungen und Sanierungsworkflows auslösen. Diese dynamische Korrelation verwandelt die SBOM von einer einfachen Liste in die grundlegende Datenschicht eines proaktiven und kontinuierlichen Schwachstellenmanagementprogramms.

Teil II: Schutz des Kerns – Code und Komponenten

Schritt 3: Härtung des Source Code Managements (SCM) und seiner Integrität

Das Quellcode-Repository, typischerweise über ein Versionskontrollsystem (VCS) wie Git verwaltet, ist die definitive Wahrheitsquelle für den gesamten Entwicklungsprozess.

Anwendung strenger Zugriffskontrollen

Das Prinzip der geringsten Rechte muss rigoros auf den Repository-Zugriff angewendet werden. Entwickler sollten nur Schreibzugriff auf die spezifischen Repositories haben, an denen sie aktiv arbeiten. Entscheidend ist, dass alle Benutzerkonten – und insbesondere die von CI/CD-Systemen verwendeten Dienstkonten – mit einer Multi-Faktor-Authentifizierung (MFA) geschützt werden müssen. Dies ist eine grundlegende Kontrolle, um unbefugten Zugriff über kompromittierte Anmeldeinformationen zu verhindern.

Verpflichtende Peer-Reviews für alle Änderungen

Kein Code sollte ohne einen formellen Review-Prozess mit dem Hauptzweig (z. B. main oder develop) zusammengeführt werden. Dieser Prozess sollte mindestens einen qualifizierten Kollegen umfassen, der sowohl über Fachkenntnisse in der Technologie als auch in sicheren Kodierungspraktiken verfügt. Code-Reviews dienen einem doppelten Zweck: Sie helfen, unbeabsichtigte Sicherheitslücken und Logikfehler zu erkennen, und sie bieten eine kritische Überprüfung gegen die Einschleusung von absichtlich bösartigem Code durch einen Insider oder über ein kompromittiertes Konto.

Schutz von Schlüssel-Branches

Moderne SCM-Plattformen bieten robuste Branch-Schutzregeln. Diese müssen so konfiguriert sein, dass direkte Commits in kritische Branches verhindert werden. Das Zusammenführen sollte durch eine Reihe von obligatorischen Statusprüfungen gesteuert werden, wie dem erfolgreichen Abschluss eines Peer-Reviews, dem Bestehen aller automatisierten Sicherheitsscans (wie SAST und SCA) und einem sauberen Build.

Anwendung von Code Signing

Jedes durch den Build-Prozess erzeugte Artefakt und idealerweise jeder einzelne Commit sollten kryptografisch signiert sein. Eine digitale Signatur bietet zwei wesentliche Sicherheitsgarantien: Authentizität (sie beweist, wer den Code oder das Artefakt erstellt hat) und Integrität (sie beweist, dass der Code seit seiner Signierung nicht verändert wurde). Dies schafft eine nicht abstreitbare Nachweiskette von der Tastatur des Entwicklers bis zum endgültig bereitgestellten Paket.

Obwohl Code Signing seit langem eine bewährte Methode ist, wird es schnell zu einer zwingenden Kontrolle. Seine effektive Implementierung stellt jedoch eine erhebliche technische Herausforderung dar: die sichere Verwaltung der privaten Signaturschlüssel. Die Verteilung dieser hochsensiblen Schlüssel auf einzelne Entwickler-Workstations oder deren Speicherung als einfache Dateien auf Build-Servern ist ein Rezept für eine Katastrophe. Wenn ein Signaturschlüssel gestohlen wird, bricht das gesamte Vertrauenssystem, das er untermauert, zusammen.

Ein moderner, sicherer Ansatz für dieses Problem beinhaltet eine grundlegende architektonische Änderung. Anstatt Schlüssel zu verteilen, sollten Organisationen sie in einem nach FIPS 140-2 zertifizierten Hardware-Sicherheitsmodul (HSM) zentralisieren, entweder vor Ort oder in der Cloud. Entwickler und automatisierte CI/CD-Pipelines greifen dann nicht direkt auf diese Schlüssel zu, sondern über sichere, standardisierte kryptografische APIs (wie Microsoft CNG, Java JCE oder PKCS#11). Diese Architektur ermöglicht es dem Sicherheitsteam, granulare Zugriffskontrollen durchzusetzen, Quorum-Genehmigungen für Signaturvorgänge zu verlangen (wobei M-von-N-Administratoren eine Signaturanforderung genehmigen müssen) und manipulationssichere Audit-Protokolle jeder Schlüsseloperation zu führen. Diese Trennung von Schlüsselnutzung und Schlüsselbesitz ist die entscheidende Entwicklung, die unternehmensweites Code Signing sowohl sicher als auch skalierbar macht. Es löst einen großen Sicherheits- und Betriebsengpass und ermöglicht es DevOps-Teams, diese wichtige Kontrolle zu integrieren, ohne die Geschwindigkeit oder Sicherheit zu beeinträchtigen.

Schritt 4: Beherrschung der Sicherheit von Open-Source- und Drittanbieter-Abhängigkeiten

In der modernen Ära der Softwareentwicklung schreiben Organisationen nur einen Bruchteil ihres Anwendungscodes. Die überwiegende Mehrheit, oft bis zu 80-90 %, besteht aus Open-Source- und kommerziellen Drittanbieter-Bibliotheken.

Einsatz von Software Composition Analysis (SCA)

Der Ausgangspunkt ist die Integration automatisierter SCA-Tools direkt in die integrierte Entwicklungsumgebung (IDE) des Entwicklers und die CI/CD-Pipeline. Diese Tools analysieren die Abhängigkeiten des Projekts, gleichen sie mit der generierten SBOM ab und überprüfen sie anhand umfassender Datenbanken bekannter Schwachstellen (CVEs). Eine entscheidende Fähigkeit eines modernen SCA-Tools ist seine Fähigkeit, den gesamten Abhängigkeitsbaum zu analysieren und Schwachstellen nicht nur in direkten Abhängigkeiten (die explizit zum Projekt hinzugefügt wurden), sondern auch in transitiven Abhängigkeiten (den Abhängigkeiten Ihrer Abhängigkeiten) zu identifizieren.

Mehr als nur Schwachstellenscans – Blockieren bösartiger Pakete

Die Bedrohung durch Open-Source ist nicht auf Komponenten mit bekannten, unbeabsichtigten Schwachstellen beschränkt. Eine heimtückischere Bedrohung geht von Paketen aus, die von Anfang an absichtlich bösartig sind. Angreifer verwenden Techniken wie Typosquatting (Hochladen eines bösartigen Pakets mit einem Namen, der einem beliebten ähnelt), Dependency Confusion (Täuschung interner Build-Systeme, damit sie ein bösartiges öffentliches Paket anstelle eines internen herunterladen) und das Kapern legitimer Pakete, um bösartigen Code einzuschleusen. Ein traditioneller SCA-Scan wird diese Bedrohungen erst erkennen, nachdem der bösartige Code bereits im Netzwerk ist. Ein fortschrittlicherer Ansatz besteht darin, eine „Paket-Firewall“ am Rande der Entwicklungsumgebung zu implementieren. Diese Firewall fängt Anfragen an öffentliche Repositories wie npm oder PyPI ab und blockiert das Herunterladen von verdächtigen, bösartigen oder ungeprüften Paketen, bevor sie in die Entwicklungspipeline gelangen können, wodurch die Bedrohung effektiv an ihrer Quelle verhindert wird.

Priorisierung und Behebung

Die Menge der Warnungen von SCA-Tools kann überwältigend sein. Effektive Programme nutzen die Fähigkeiten des Tools, um Korrekturen intelligent zu priorisieren. Dies bedeutet, über den Basis-CVSS-Score hinauszugehen und Faktoren wie Ausnutzbarkeit (gibt es öffentlichen Exploit-Code?) und Erreichbarkeit (wird die anfällige Funktion in der Bibliothek tatsächlich von der Anwendung aufgerufen?) zu berücksichtigen. Moderne SCA-Plattformen können die Behebung vieler Probleme automatisieren, indem sie sichere, nicht unterbrechende Versionsaktualisierungsempfehlungen generieren und automatisch Pull-Requests erstellen, was den manuellen Aufwand für Entwickler erheblich reduziert.

Verwaltung von Lizenzrisiken

Über Sicherheitslücken hinaus tragen Open-Source-Komponenten rechtliche Verpflichtungen, die durch ihre Lizenzen definiert sind. SCA-Tools sind unerlässlich, um alle Abhängigkeiten zu scannen, die zugehörigen Lizenzen zu identifizieren und alle zu kennzeichnen, die mit der Unternehmensrichtlinie in Konflikt stehen oder unerwünschte rechtliche Risiken mit sich bringen.

Dieser Fokus auf proaktive Prävention stellt einen entscheidenden Paradigmenwechsel in der Open-Source-Sicherheit dar. Ein traditionelles SCA-Tool ist reaktiv; es informiert Sie darüber, dass Sie bereits eine kompromittierte oder anfällige Komponente aufgenommen haben, und überlässt Ihnen die Aufgabe, das Chaos zu beseitigen. Eine Strategie der nächsten Generation, die eine Paket-Firewall beinhaltet, ist proaktiv. Sie verhindert, dass die vergiftete Komponente überhaupt heruntergeladen wird. Dies ist eine grundlegend reifere und effektivere Sicherheitsposition, die den Kontrollpunkt von der Erkennung innerhalb der Umgebung zur Prävention am Perimeter verlagert. Für Sicherheitsverantwortliche sollte die Fähigkeit, Bedrohungen proaktiv zu blockieren, anstatt sie nur passiv zu scannen, ein Schlüsselkriterium bei der Bewertung von Lösungen in diesem Bereich sein.

Teil III: Absicherung der Build- und Lieferpipeline

Schritt 5: Sicherung der CI/CD-Pipeline und der Build-Umgebung

Die Continuous Integration/Continuous Deployment (CI/CD)-Pipeline ist die automatisierte Fabrik, die Quellcode in bereitstellbare Software umwandelt.

Härtung des Build-Servers

Die Systeme, die Builds ausführen, müssen zweckgebunden und abgesichert sein. Das bedeutet, dass sie so konfiguriert sein sollten, dass sie nur Build-Operationen und nichts anderes ausführen. Alle nicht wesentlichen Dienste, Software und Benutzerkonten sollten entfernt werden, um die Angriffsfläche zu minimieren. Der Netzwerkzugriff muss stark eingeschränkt sein, mit Firewall-Regeln, die alle nicht wesentlichen ein- und ausgehenden Verbindungen blockieren. Die externe Netzwerkaktivität sollte auf eine explizite Zulassungsliste notwendiger URLs beschränkt sein, wie z. B. vertrauenswürdige Paket-Repositories oder Artefakt-Register.

Isolierung von Build-Jobs

Ein entscheidendes Prinzip für die Integrität von Builds ist die Isolierung. Jeder Build-Job sollte in einer sauberen, ephemeren Umgebung laufen, wie einem temporären Container oder einer virtuellen Maschine, die bei Bedarf bereitgestellt und sofort nach Abschluss des Builds zerstört wird. Diese Praxis verhindert eine Kreuzkontamination zwischen verschiedenen Builds und mindert Bedrohungen wie Build-Cache-Poisoning, bei dem ein Angreifer einen Build kompromittiert, um das Ergebnis nachfolgender Builds zu beeinflussen.

Sicherung der Pipeline-Konfiguration

Die Logik des Build-Prozesses selbst – definiert in Dateien wie Jenkinsfile, gitlab-ci.yml oder GitHub Actions-Workflows – ist eine Form von Code. Als solche muss sie zusammen mit dem Anwendungscode im Quellcodeverwaltungssystem gespeichert werden. Dies stellt sicher, dass jede Änderung am Build-Prozess versioniert, überprüfbar und dem gleichen obligatorischen Peer-Review-Prozess wie Anwendungscodeänderungen unterliegt. Dies verhindert unbefugte oder böswillige Änderungen am Verhalten der Pipeline.

Beschränkung der Verwendung von Parametern

Viele CI/CD-Systeme ermöglichen es, Builds mit vom Benutzer bereitgestellten Parametern auszulösen. Obwohl nützlich, kann diese Funktion ein Vektor für Einschleusungsangriffe sein, wenn die Eingaben nicht ordnungsgemäß validiert und bereinigt werden. Die Verwendung von Parametern sollte begrenzt sein, und alle verwendeten Parameter müssen als nicht vertrauenswürdige Eingabe behandelt werden.

Die erfolgreiche Sicherung der CI/CD-Pipeline ist eine einzigartig herausfordernde Aufgabe, da sie an der Schnittstelle mehrerer technischer Bereiche liegt. Sie erfordert traditionelle Netzwerk- und Systemhärtungsfähigkeiten, um die zugrunde liegende Infrastruktur abzusichern. Sie erfordert ein tiefes Verständnis von DevOps-Automatisierungsprinzipien wie ephemeren Umgebungen und „Konfiguration als Code“. Und sie erfordert ein Bewusstsein für Bedrohungen auf Anwendungsebene wie Einschleusungsangriffe. Oft besitzt kein einzelnes Team innerhalb einer Organisation – sei es Netzwerksicherheit, DevOps oder Anwendungssicherheit – das vollständige Fachwissen, um all diese Kontrollen effektiv zu verwalten. Dies schafft organisatorische Nähte und Verantwortungslücken, die Angreifer geschickt ausnutzen. Eine erfolgreiche Strategie erfordert daher einen wirklich kollaborativen DevSecOps-Ansatz, der Silos zwischen diesen Teams aufbricht. Es ist auch ein Bereich, in dem die ganzheitliche Expertise eines externen Partners, der alle drei Bereiche versteht, bei der Gestaltung und Umsetzung einer kohärenten Sicherheitsposition von unschätzbarem Wert sein kann.

Schritt 6: Erzeugung und Überprüfung der Artefakt-Herkunft mit SLSA

Während eine SBOM die Frage beantwortet, was in einem Software-Artefakt enthalten ist, gibt sie keine Zusicherung darüber, wie dieses Artefakt erstellt wurde. Um diese Lücke zu schließen, hat die Branche das Konzept der Herkunft (Provenance) entwickelt.

Beginnen Sie mit der Generierung der Herkunft (SLSA Level 1)

Der erste und wichtigste Schritt besteht darin, das Build-System so zu konfigurieren, dass es für jedes erzeugte Artefakt automatisch ein Herkunftsdokument generiert. Dieses Dokument, das nach Standards wie dem in-toto Attestierungs-Framework formatiert werden kann, enthält die wesentlichen Metadaten über den Build. Auf dieser Ebene bietet die Herkunft wertvolle Transparenz und kann helfen, einfache Fehler zu erkennen, aber sie kann leicht gefälscht werden, da sie vom Build-Skript selbst generiert werden kann.

Verwenden Sie eine gehostete, manipulationssichere Build-Plattform (SLSA Level 2)

Um die Sicherheit zu erhöhen, sollten Organisationen ihre Build-Prozesse auf eine vertrauenswürdige, gehostete CI/CD-Plattform verlagern, die die Anforderungen von SLSA Level 2 erfüllt. Der entscheidende Unterschied auf dieser Ebene besteht darin, dass die Build-Plattform selbst – nicht das vom Benutzer gesteuerte Build-Skript – für die Generierung und kryptografische Signierung der Herkunft verantwortlich ist. Dies erschwert die Manipulation der Herkunft erheblich, da ein Angreifer die Build-Plattform selbst kompromittieren müsste.

Streben Sie nach gehärteten Builds (SLSA Level 3)

Diese Stufe bietet starke Garantien auch gegen ausgeklügelte Angriffe. SLSA Level 3-konforme Build-Plattformen müssen gehärtet sein, um eine starke Isolierung zwischen verschiedenen Build-Jobs zu gewährleisten. Entscheidend ist, dass sie sicherstellen, dass das zur Signierung der Herkunft verwendete geheime Material für die vom Benutzer definierten Build-Schritte unzugänglich ist. Dies verhindert ein Szenario, in dem ein kompromittierter Build-Prozess den Signaturschlüssel stehlen oder die Plattform dazu bringen könnte, ein bösartiges Artefakt zu signieren. Das Fälschen von Herkunftsnachweisen ist auf dieser Ebene extrem schwierig.

Überprüfen Sie die Herkunft beim Verbrauch

Der Kreis schließt sich, wenn Softwareverbraucher – ob interne Teams oder externe Kunden – die Herkunftsüberprüfung in ihre Prozesse integrieren. Vor der Verwendung eines Artefakts sollte eine automatisierte Prüfung seine digitale Signatur validieren und das Herkunftsdokument inspizieren, um sicherzustellen, dass es von einer vertrauenswürdigen Quelle, aus einem autorisierten Code-Repository und auf einer Build-Plattform erstellt wurde, die der Sicherheitsrichtlinie der Organisation entspricht.

Die Einführung von SLSA stellt eine grundlegende Veränderung im Vertrauensmodell für den Softwareverbrauch dar. Sie erleichtert den Übergang von einem Modell, das auf implizitem Vertrauen in einen Anbieter oder ein Projekt basiert („Ich vertraue dieser Software, weil sie von Anbieter X stammt“), zu einem Modell, das auf expliziter, kryptografischer Überprüfung basiert („Ich vertraue dieser Software, weil ich ihre SLSA Level 3-Herkunft überprüfen kann, die beweist, dass sie aus diesem spezifischen Quellcode auf einer gehärteten Plattform erstellt wurde“). Dies ist ein Zero-Trust-Ansatz für die Sicherheit der Lieferkette. Er gibt Softwareverbrauchern ein beispielloses Maß an Kontrolle und Transparenz und ermöglicht es ihnen, granulare, risikobasierte Entscheidungen über die von ihnen verwendete Software zu treffen. Für CISOs wird sowohl die Einführung von SLSA für intern produzierte Software als auch die Forderung nach SLSA-konformen Artefakten von Anbietern zu einem leistungsstarken und effektiven Werkzeug zur Verwaltung von Drittanbieter-Risiken.

Schritt 7: Zentralisierung und Automatisierung der Geheimnisverwaltung

Geheimnisse – eine Kategorie, die API-Schlüssel, Datenbankanmeldeinformationen, Zugriffstoken und private Zertifikate umfasst – sind der Klebstoff, der moderne Anwendungen und Infrastrukturen zusammenhält.

Implementierung eines zentralen Geheimnisspeichers

Alle Geheimnisse müssen aus Code und Konfigurationsdateien entfernt und in einer zentralisierten, zweckgebundenen Geheimnisverwaltungslösung gespeichert werden. Für maximale Sicherheit sollte dieser Tresor durch ein nach FIPS 140-2 zertifiziertes HSM abgesichert sein, um die Wurzelverschlüsselungsschlüssel zu schützen. Dies schafft eine einzige, sichere Wahrheitsquelle für alle sensiblen Anmeldeinformationen.

Automatisierung der Geheimnisinjektion

Das Kernprinzip der modernen Geheimnisverwaltung besteht darin, dass Menschen und statische Konfigurationen niemals mit rohen Geheimnissen in Berührung kommen sollten. Stattdessen muss das Geheimnisverwaltungssystem mit der CI/CD-Pipeline und den Laufzeitumgebungen (wie Kubernetes oder Cloud-Plattformen) integriert werden. Anwendungen und Build-Jobs sollten eine Identität erhalten und beim Geheimnismanager authentifiziert werden, der dann die erforderlichen Geheimnisse just-in-time für ihre Verwendung dynamisch injiziert. Die Geheimnisse existieren nur für kurze Zeit im Speicher und werden niemals auf der Festplatte oder in Protokollen gespeichert.

Durchsetzung granularer Zugriffsrichtlinien

Das Prinzip der geringsten Rechte muss auf den Zugriff auf Geheimnisse angewendet werden. Jede Anwendung, jeder Dienst oder jeder Benutzer sollte nur Zugriff auf die spezifischen Geheimnisse erhalten, die er unbedingt zur Ausführung seiner Funktion benötigt. Alle anderen Geheimnisse sollten unzugänglich sein. Dies begrenzt den Explosionsradius, wenn eine einzelne Anwendung kompromittiert wird.

Auditierung aller Zugriffe

Jede Anfrage zum Zugriff auf ein Geheimnis muss in einem umfassenden, manipulationssicheren Audit-Protokoll protokolliert werden. Dies gibt Sicherheitsteams volle Transparenz darüber, wer oder was auf Geheimnisse zugreift, wann darauf zugegriffen wird und von wo. Diese Audit-Daten sind entscheidend für die Erkennung anomalen Verhaltens und für die forensische Analyse während einer Untersuchung eines Vorfalls.

Die Implementierung einer robusten Geheimnisverwaltungsstrategie hat sich mit dem Aufkommen des Cloud-nativen Computings erheblich weiterentwickelt. Es ist nicht mehr nur ein statischer „Tresor“ zur Aufbewahrung von Anmeldeinformationen. Es ist zu einem kritischen Teil der dynamischen Laufzeitinfrastruktur geworden, insbesondere in hochautomatisierten Umgebungen wie Kubernetes. Fortgeschrittene Implementierungen verwenden Konzepte wie einen „Secrets Injection Admission Controller“, einen Webhook, der Anfragen zur Erstellung neuer Anwendungs-Pods in Kubernetes abfängt. Dieser Controller kommuniziert mit dem zentralen Geheimnismanager (z. B. Fortanix DSM) und injiziert die notwendigen Geheimnisse dynamisch direkt in den laufenden Container als Umgebungsvariablen oder Dateien. Die Anwendung selbst ist sich dieses Mechanismus völlig unbewusst; sie findet einfach die benötigten Anmeldeinformationen beim Start. Entscheidend ist, dass die Geheimnisse niemals im Ruhezustand in der Kubernetes etcd-Datenbank gespeichert werden, die ein häufiges Ziel für Angreifer ist. Dieses Muster stellt ein weitaus sichereres, skalierbareres und betrieblich effizienteres Modell zur Verwaltung von Geheimnissen in modernen, ephemeren Umgebungen dar.

Teil IV: Kontinuierliche Überprüfung, Bereitstellung und Reaktion

Schritt 8: Automatisierung umfassender Sicherheitstests (SAST & DAST)

In einer modernen, agilen Entwicklungsumgebung kann Sicherheitstesting keine manuelle, torwächterische Aktivität sein, die am Ende des Lebenszyklus durchgeführt wird. Dieser „Anschraub“-Ansatz ist zu langsam, zu teuer und entdeckt Probleme viel zu spät im Prozess.

Integration von SAST in die IDE und CI-Pipeline

SAST-Tools analysieren den Quellcode, Bytecode oder Binärdateien einer Anwendung auf Sicherheitslücken, ohne die Anwendung auszuführen. Dies ist als „White-Box“-Testansatz bekannt. Die größte Stärke von SAST ist seine Fähigkeit, sehr früh im SDLC integriert zu werden. Durch die Bereitstellung von SAST-Scans direkt in der IDE des Entwicklers kann es Echtzeit-Feedback zu Schwachstellen geben, während der Code geschrieben wird. Dies ermöglicht es Entwicklern, häufige Fehler wie SQL-Injection oder Pufferüberläufe sofort zu identifizieren und zu beheben, wenn die Kosten und der Aufwand für die Behebung am geringsten sind. Weitere SAST-Scans sollten als obligatorischer Schritt in der CI-Pipeline automatisiert werden, um als Sicherheitstor zu fungieren und zu verhindern, dass neue Schwachstellen in die Hauptcodebasis zusammengeführt werden.

Integration von DAST für Laufzeitanalysen

DAST-Tools verfolgen den entgegengesetzten Ansatz. Es handelt sich um „Black-Box“-Testwerkzeuge, die die laufende Anwendung von außen scannen, ohne Kenntnis ihrer internen Struktur. DAST simuliert die Aktionen eines realen Angreifers, indem es bösartige Payloads sendet und nach Schwachstellen in den exponierten Schnittstellen der Anwendung sucht. Dies ermöglicht es DAST, eine Klasse von Schwachstellen zu finden, die SAST nicht finden kann, wie z. B. Laufzeitkonfigurationsfehler, Probleme bei der Authentifizierung und Sitzungsverwaltung sowie Fehler in der Geschäftslogik, die sich erst manifestieren, wenn die Anwendung vollständig zusammengesetzt und betriebsbereit ist. DAST-Scans werden typischerweise in die Pipeline integriert, um gegen die Anwendung ausgeführt zu werden, sobald sie in einer Staging- oder Testumgebung bereitgestellt ist.

Zusammenführung und Priorisierung von Ergebnissen

Die isolierte Verwendung von SAST und DAST kann Informationssilos schaffen. Ein reifer Ansatz nutzt eine Application Security Posture Management (ASPM)-Plattform, die Ergebnisse aus beiden Arten von Scans sowie aus SCA und anderen Sicherheitstools aufnehmen und aggregieren kann. Diese einheitliche Ansicht ermöglicht eine bessere Korrelation von Schwachstellen und eine intelligentere Priorisierung, was den Teams hilft, sich auf die Probleme zu konzentrieren, die das größte Risiko für die laufende Anwendung darstellen.

Das wahre Maß für die Wirksamkeit eines modernen SAST/DAST-Programms ist nicht mehr einfach die rohe Anzahl der Schwachstellen, die es erkennen kann. Die kritischen Metriken haben sich auf das „Signal-Rausch-Verhältnis“ und die Umsetzbarkeit der Ergebnisse für Entwickler verlagert. Ältere Generationen von Testwerkzeugen waren berüchtigt für eine hohe Rate an Fehlalarmen, was schnell zu einer Alarmmüdigkeit führt und dazu führt, dass Entwickler das Vertrauen in die Ergebnisse des Tools verlieren und sie schließlich ignorieren. Ein ignoriertes Tool bietet keinen Sicherheitswert. In Anerkennung dessen legen führende Plattformen nun großen Wert auf Genauigkeit und das Entwicklererlebnis. Sie nutzen fortschrittliche Analysetechniken und KI, um Fehlalarme zu reduzieren und kontextreiche Ergebnisse zu liefern, die nicht nur einen Fehler identifizieren, sondern auch seine Ursache aufzeigen und umsetzbare Anleitungen zur Behebung bieten, manchmal sogar vorgeschlagene Code-Korrekturen generieren. Bei der Bewertung dieser Tools sollten Sicherheitsverantwortliche über Marketingaussagen zu Erkennungsraten hinausblicken und sich auf die Funktionen konzentrieren, die die Akzeptanz und Effizienz der Entwickler fördern: Wie hoch ist die verifizierte Fehlalarmrate? Wie nahtlos integriert es sich in die IDE und die CI-Pipeline? Wie klar und umsetzbar sind die Ratschläge zur Behebung? Dies sind die Faktoren, die bestimmen, ob ein Testwerkzeug zu einem integralen Bestandteil des Entwicklungsworkflows wird oder zu einem teuren, ignorierten Stück „Shelfware“.

Schritt 9: Sicherung von Containern und Cloud-nativen Bereitstellungen

Die weit verbreitete Einführung von Containern und Infrastructure-as-Code (IaC) hat die Art und Weise, wie Anwendungen verpackt und bereitgestellt werden, revolutioniert. Dies hat jedoch auch neue Abstraktions- und Komplexitätsebenen in die Software-Lieferkette eingeführt.

Scannen von Container-Images

Jedes Container-Image ist eine Mini-Lieferkette, die aus einem Basis-Betriebssystem-Image, Systempaketen und Bibliotheken sowie dem Anwendungscode besteht. Automatisiertes Image-Scanning muss in die CI/CD-Pipeline integriert werden, um alle diese Komponenten auf bekannte Schwachstellen zu überprüfen. Dieser Scan sollte nach dem Erstellen des Images, aber vor dem Pushen in ein Register erfolgen. Eine wichtige bewährte Methode ist die Verwendung minimaler, „distroless“- oder „schlanker“ Basis-Images, um die potenzielle Angriffsfläche von vornherein drastisch zu reduzieren.

Sicherung der Container-Laufzeitumgebung und des Orchestrators

Die Umgebung, in der Container ausgeführt werden, muss gehärtet werden. Dies umfasst die Sicherung der Container-Laufzeitumgebung (z. B. Docker Engine) und, was noch wichtiger ist, des Orchestrators (z. B. Kubernetes). Wichtige Härtungsschritte umfassen die Durchsetzung strenger Netzwerkrichtlinien zur Kontrolle des Verkehrs zwischen Pods, die Forderung nach TLS für die gesamte API-Server- und dienstübergreifende Kommunikation und die tiefe Integration des Clusters mit einem zentralisierten Geheimnisverwaltungssystem, um die Speicherung von Anmeldeinformationen in Kubernetes Secrets zu vermeiden.

Scannen von Infrastructure-as-Code (IaC)

IaC-Vorlagen (z. B. Terraform, AWS CloudFormation, Ansible-Playbooks) definieren die Cloud-Infrastruktur, auf der die Anwendung ausgeführt wird. Diese Vorlagen können leicht Fehlkonfigurationen enthalten, die zu größeren Sicherheitslücken führen (z. B. ein öffentlich zugänglicher Speicher-Bucket). Spezialisierte IaC-Scan-Tools sollten in die Pipeline integriert werden, um diese Vorlagen vor ihrer Anwendung auf Sicherheitsprobleme zu analysieren und so die Bereitstellung unsicherer Infrastruktur zu verhindern.

Implementierung der Laufzeit-Bedrohungserkennung

Statisches Scannen ist unerlässlich, kann aber nicht alle Bedrohungen erkennen. Organisationen müssen auch Laufzeit-Sicherheitstools einsetzen, die die Container-Aktivität in Echtzeit überwachen. Diese Tools können anomales Verhalten erkennen – wie unerwartete Netzwerkverbindungen, Dateisystemänderungen oder Prozessausführungen innerhalb eines Containers –, das auf eine Kompromittierung hindeuten könnte, die statische Kontrollen umgangen hat.

In vielerlei Hinsicht ist die Containersicherheit ein Mikrokosmos des gesamten Problems der Sicherheit der Software-Lieferkette. Ein einzelnes Container-Image hat seine eigene komplexe Lieferkette von Abhängigkeiten, die verwaltet werden müssen. Es erfordert eine SBOM, um seinen Inhalt aufzulisten. Es benötigt SCA, um Schwachstellen in seinen Paketen zu finden. Der Docker-Build-Prozess selbst ist eine Build-Umgebung, die gehärtet und isoliert werden muss. Daher ist die Sicherung von Containern keine separate, isolierte Herausforderung. Es ist die Anwendung aller vorangegangenen Prinzipien in dieser Checkliste – SBOMs, SCA, gehärtete Builds, Herkunft – auf ein spezifisches,

Beratung anfordern
das Unternehmen