In Zeiten zunehmender geopolitischer Spannungen wird die Gewährleistung der Sicherheit und Beständigkeit digitaler Infrastrukturen zu einem zentralen Baustein der Daseinsvorsorge nicht nur für die Öffentliche Verwaltung. Mit einer gemeinsamen Initiative rücken daher das Zentrum für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun die Bedeutung sicherer und souveräner Softwarelieferketten weiter in den Fokus.
Nahezu jede Software greift heute auf hunderte oder gar tausende bestehende Einzelkomponenten, Bibliotheken und Tools zurück. Die Gesamtheit dieser Komponenten bildet die Softwarelieferkette. Wird ein Teil dieser Kette kompromittiert oder fällt weg, entstehen erhebliche Risiken für alle Nutzenden. Eine vollständige Prüfung von Softwarelieferketten ist bislang angesichts ihrer Komplexität für einzelne Softwareanbieter kaum realisierbar. Dies erfordert laut BSI und ZenDiS einen grundlegend neuen Ansatz, der über die Möglichkeiten einzelner Organisationen hinausgeht und die Fachkenntnisse von Sicherheitsexperten, Entwicklern und Behörden gezielt bündelt, standardisierte Prüfverfahren etabliert und gemeinsame Sicherheitsanalysen ermöglicht. Zentraler Baustein soll die Plattform openCode sein, da sie “verbindliche Sicherheitsstandards etabliert, Abhängigkeiten transparent macht und nachvollziehbare Herkunftsnachweise für kritische Softwarekomponenten schafft.” Dank der Transparenz von Open Source könnten so viele der bisherigen, manuellen Prüfprozesse automatisiert und damit die Skalierbarkeit von Sicherheitsüberprüfungen der Softwarelieferkette erheblich verbessert werden. Mit seinem jüngst gelaunchten Badge-Programm zeigt das ZenDiS konkret, wie eine solche Prüfung realisiert werden kann. Dort werden Qualitätsmerkmale von auf openCode liegender Software – beispielsweise zu Wartung und Nachnutzung – automatisch aus dem Code abgeleitet.
Derzeit genutzte Ansätze zur Softwaresicherheit sind laut BSI und ZenDiS weitgehend reaktiv, openCode aber könne einen präventiven Ansatz durch kontinuierliche, automatisierte Sicherheitsprüfungen und transparente Softwarelieferketten ermöglichen: Bei einem Sicherheitsvorfall können Artefakte und Betroffene zuverlässig identifiziert und Echtzeitlagebilder erstellt werden, sodass gezielt gewarnt werden kann. So werde openCode zu einem Schlüsselelement einer resilienten digitalen Infrastruktur in Deutschland.
Ihr Konzept für eine sichere und souveräne Softwarelieferkette haben das BSI und das ZenDiS in einem gemeinsamen Strategiepapier inklusive Umsetzungsplan dargelegt. Das Papier steht auf den Webseiten des ZenDiS sowie des BSI zum Download zur Verfügung.
