Wenn die Software-Lieferkette ins Visier gerät: Effektives Schwachstellen-Management vorhalten

Cyberangriffe gehören längst zur Normalität – besonders kritisch wird es indes, wenn Täter einzelne Komponenten der Software-Lieferkette attackieren

[datensicherheit.de, 23.10.2025] Im Kontext der Digitalen Transformation der Welt gehören Cyberangriffe längst zur Normalität – besonders kritisch wird es, wenn Täter einzelne Komponenten der Software-Lieferkette attackieren. Selbst einzelne Programmier-Bausteine der Entwickler sind offenbar nicht sicher: Im „Global Cybersecurity Outlook 2025“ des World Economic Forum (WEF) gaben über 50 Prozent der Organisationen an, dass dies für sie die größte Herausforderung bei der Cyberresilienz sei. Lars Francke, CTO und Mitgründer von Stackable, geht in seiner aktuellen Stellungnahme auf effektives Schwachstellen-Management ein, erläutert, wieso viele Sicherheitslücken nicht unbedingt ein Risiko darstellen müssen und welche Rolle „Open Source“ spielt.

Lars Francke: Wenn es um eine sichere Software-Liferkette und die Bewahrung der eigenen Daten geht, heißt es in erster Linie: „Don’t panic!“

Hunderttausende IT-Sicherheitsvorfällen – sowohl im „Closed“- als auch im „Open Source“-Umfeld

Francke umreißt die Gefährdung: „Digitale Bedrohungen nehmen weltweit kontinuierlich zu. Meldungen über Malware, Ransomware oder DDoS-Attacken gehören bereits zum Alltag. Und auch Angriffe auf ,Software Supply Chains’ gibt es immer öfter.“

• Die Täter nehmen demnach gerne Web-Marktplätze ins Visier, auf denen Entwickler fertige Software-Bausteine bzw. -Pakete tauschen. „Was ist also beim Schwachstellen-Management zu beachten? Welche Rolle spielt ,Open Source’? Auf diese Fragen mussten auch wir bei Stackable Antworten finden.“

Jedes Jahr komme es zu Hunderttausenden Sicherheitsvorfällen in der IT – sowohl im „Closed“- als auch im „Open Source“-Umfeld. Security-Experten und Cyberkriminelle lieferten sich dabei ein ständiges „Katz-und-Maus-Spiel“ um das Ausnutzen und Schließen von Schwachstellen.

Täter schleusen Malware in Software-Pakete, also fertige Programmier-Bausteine, entlang der -Lieferkette ein

Indes: „Und die Täter werden immer einfallsreicher. Bei ,Open Source’ besonders häufig in letzter Zeit: ,Supply Chain’-Angriffe. Hierbei schleusen Täter Schadsoftware in Software-Pakete ein, also fertige Programmier-Bausteine.“ Im „Global Cybersecurity Outlook 2025“ des WEF hätten 54 Prozent der Organisationen angegeben, dass die Software-Lieferkette die größte Herausforderung für die Cyber-Resilienz sei.

Die Beispiele seien zahlreich:

• Zu einem berühmten Zwischenfall sei es etwa beim JavaScript-Paket „node-ipc“ gekommen: „Ein Maintainer schleuste eine ,Protest-Malware’ ein, mit der er Systeme in Russland und Belarus lahmlegen wollte – samt Textdatei ,with love from america’.“
• In einem anderen Fall erwischte es den „GitHub Actions + PyPI“-Token, wodurch infizierte Dateien veröffentlicht worden seien.
• Und vor ein paar Wochen traf es „npm“, sozusagen ein App-Store für Software-Pakete, gleich doppelt: „Zuerst konnten die Angreifer, nachdem sie an die Zugangsdaten eines Entwicklers gelangt waren, manipulierte Pakete in Umlauf bringen. Und nur wenige Tage später wurde ein wöchentlich millionenfach heruntergeladenes Paket mit einem Schad-Wurm infiziert.“

Diese und andere Vorfälle wie „Log4Shell“ oder der „SolarWinds“-Hack zeigten: Für Unternehmen sei nicht nur die physische Lieferkette enorm wichtig, sondern auch die digitale. „Doch was gibt es in einem Open Source-,Ökosystem‘ zu beachten, in dem theoretisch jeder User Schadsoftware einbringen kann?“

Vielzahl an Schwachstellen bedeutet nicht zwangsläufig, dass eine Software unsicher sein muss

Als sogenannte CVE Numbering Authority hätten sie von Stackable direkten Einblick in Schwachstellen und könnten bzw. müssen neue Einfallstore melden. „Und für unsere ,Data Platform’, bei der mehrere ,Open Source’-Komponenten zum Einsatz kommen und wir uns deshalb auf die Lieferkette verlassen müssen, haben wir ein spezielles Vorgehen bei der ,Supply Chain Security’ etabliert.“

• Francke führt aus: „Dafür mussten wir zunächst umdenken: Eine Vielzahl an Schwachstellen bedeutet nämlich nicht zwangsläufig, dass eine Software unsicher ist. Und wenige CVEs stehen nicht automatisch für Sicherheit.“ Scan-Berichte zeigten, dass selbst in Softwareprojekten großer, globaler Hersteller viele CVEs vorhanden seien. Häufig stellten diese aber nur ein theoretisches Risiko dar – „und es ist in der Praxis so gut wie ausgeschlossen, dass sie Probleme verursachen“.

Ein Beispiel: „,OpenSSH’ ist ein Programm für Fernzugriffe, zu dem es in der CVE-Datenbank bekannte Schwachstellen gibt. Viele automatische Sicherheitsscanner schlagen Alarm, sobald sie eine bekannte CVE in der installierten ,OpenSSH’-Version finden. Das ist aber nur ein Indiz – nicht automatisch ein Risiko.“ Bei ihnen werde „OpenSSH“ ausschließlich als Client genutzt, also nur, um Verbindungen nach außen aufzubauen. CVEs bei serverseitigen Funktionen von „OpenSSH“ seien für sie deshalb nicht relevant – „in anderen Bereichen aber natürlich schon“.

Konzentration auf die tatsächlichen Gefahren empfohlen

Deshalb prüften sie nicht jede Meldung gleich pauschal, sondern konzentrierten sich auf die tatsächlichen Gefahren: „Dazu vergleichen wir CVE-Einträge mit Listen von Vulnerabilities, von denen bekannt ist, dass sie aktiv ausgenutzt werden. Und wir beobachten öffentliche Exploit-Quellen wie ,Metasploit’ oder Proof-of-Concept-Repos auf ,GitHub’.“

• Zusätzlich nutzen sie „EPSS-Scores“ (Exploit Prediction Scoring System), um einzuschätzen, wie wahrscheinlich ein Schwachstellen-Missbrauch in der Praxis ist. „So lassen sich echte Bedrohungen von harmlosen Treffern unterscheiden.“

Francke erläutert: „Warum diese Mühe? Weil wir in erster Linie ein verlässliches Produkt liefern möchten. Unser Fokus liegt auf einem stabilen System, das wir nicht durch aggressive Updates aus dem Gleichgewicht bringen möchten, wenn sie keine nennenswerten Sicherheitsvorteile bieten.“ Dies bedeute natürlich nicht, Updates zu vernachlässigen, sondern vielmehr zielgerichtet vorzugehen. Etwa durch Integrationstests oder mit maßgeschneiderten „Tools“, um Patches auch über mehrere Produktversionen hinweg zu verwalten. „Und vor allem durch ,Open Source’.“

Sicherheit auch entlang der Software-Lieferkette gerade durch Offenheit

Software mit offenem Quellcode sei längst im Mainstream angekommen. „Das zeigt der aktuelle ,Open Source Monitor’ des Branchenverbands Bitkom: Über 70 Prozent aller deutschen Unternehmen setzen inzwischen ,Open Source’-Software ein. Zwei Punkte sind den Befragten dabei besonders wichtig – die Funktionalität und die Sicherheitsaspekte.“

• Auf den ersten Blick erscheine dies zunächst widersprüchlich. „Während wir bei proprietärer Software nicht mal eine Chance auf einen Einblick haben, können bei ,Open Source’-Software alle User den Quellcode einsehen und verändern – also auch Menschen mit böswilligen Absichten. Und das macht ,Open Source’ eigentlich perfekt für Cyberkriminelle, um mögliche Einfallstore auszuspähen.“

Tatsächlich sei es aber gerade diese Offenheit, welche für ein sehr hohes Maß an Sicherheit sorge: Da viele Menschen rund um den Globus an dem Code mitarbeiteten und ihre Erfahrungen teilten, würden Schwachstellen meist sehr schnell entdeckt und geschlossen. „Viele Augen sehen einfach mehr“, so Franckes Kommentar.

„Open Source“ als das perfekte Mittel zur Kombination von Funktionalität und Sicherheit

„,Open Source’ war für uns von Beginn an das perfekte Mittel, um Funktionalität und Sicherheit zu vereinen. Was wir entwickeln, ist komplett öffentlich. Und diese Entscheidung zahlt sich jetzt auch im Security-Bereich aus.“

• Sie hätten die Kontrolle über den Quellcode und das Endprodukt, und durch die Transparenz könnten wir jederzeit nachvollziehen, „wie und wo Schwachstellen entstehen“. Zudem erstellten sie für jedes Container-Image eine Software-Bill-of-Materials (SBOM), um alle enthaltenen Komponenten auf mögliche Risiken scannen zu können.

„Wenn es also um eine sichere ,Software Supply Chain’ und die Bewahrung der eigenen Daten geht, heißt es in erster Linie: Don’t panic!“ Francke betont: „Nur weil in einer Komponente Schwachstellen existieren, ist sie nicht automatisch gefährlich.“ Sein abschließender Rat: „Unternehmen sollten ein solides Schwachstellen-Management etablieren, um über tatsächliche Risiken jederzeit informiert zu sein. Wer zudem auf ,Open Source’ setzt, unternimmt einen großen Schritt hin zu einer erhöhten Sicherheit!“

Weitere Informationen zum Thema:

Stackable
Wir sind Stackable​ / Über das Unternehmen

Linkedin
Lars Francke: Co-Founder & CTO at Stackable | Building an Open-Source Data Platform on Kubernetes

WORLD ECONOMIC FORUM, 03.01.2025
Global Cybersecurity Outlook 2025

bitkom
Gesamtübersicht – Studie: Open Source Monitor / Die Entwicklung von Open Source in Deutschland

datensicherheit.de, 17.09.2025
Open Source: Drei von vier Unternehmen in Deutschland bereits Nutzer / Eine große Mehrheit der Unternehmen in Deutschland sieht in „Open Source“-Software auch eine Chance für mehr Digitale Souveränität

datensicherheit.de, 31.07.2025
DORA – Europäische Union präzisiert Umgang mit Lieferketten-Risiken / Die Europäische Kommission hat Anfang Juli eine Ergänzung zur Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) in Form finaler technischer Regulierungsstandards (RTS) veröffentlicht. Damit konkretisiert sie Anforderungen an das Risikomanagement oftmals komplexer IKT-Lieferketten im durch DORA regulierten Bereich. Im Fokus stehen dabei Untervergaben. Der TÜV SÜD fasst die wichtigsten Punkte praxisorientiert zusammen.

datensicherheit.de, 02.06.2025
Die Angst vor dem schwächsten Glied: Cybersicherheit in der Lieferkette / Laut einer aktuellen Umfrage von Sophos haben die meisten der leitenden Manager Bedenken, dass die Integrität ihres Unternehmens durch Cybergefahren entlang der Lieferkette beeinträchtigt werden kann

datensicherheit.de, 20.04.2025
Kritische Infrastrukturen: Jede zweite Organisation unzureichend vor Cyber-Attacken in der Lieferkette geschützt / Erkenntnisse aus aktueller „DNV Cyber-Studie“ legen verstärkten Fokus auf Lieferanten nahe

datensicherheit.de, 10.10.2024
Open Source Software – unbestreitbare Vorteile sowie Risiken / Open Source Software (OSS) hat sich als unverzichtbarer Bestandteil moderner IT-Infrastrukturen etabliert