[datensicherheit.de, 24.11.2025] „Was macht unsere Software so angreifbar?“ – mit dieser Frage konfrontiert Dr. Hubert B. Keller vom Förderverein Ada Deutschland e.V. gerne sein Auditorium. Er macht die Relevanz schnell deutlich, besteht doch die überwiegende Zahl der technischen Systeme inzwischen zu großen Teilen aus Software: Zuverlässigkeit und Sicherheit dieser Systeme hänge somit ganz entschieden eben von der Zuverlässigkeit und Sicherheit ihrer Softwarekomponenten ab. „Und genau hier liegt ein erhebliches Problem: Die zunehmend starke Vernetzung und eine große Zahl bekannter Schwachstellen in verwendeter Software macht unsere Systeme angreifbar!“, warnt Keller eindringlich. Die volkswirtschaftlichen Schäden durch Cyberangriffe haben dauerhaft eine bedrohliche Größenordnung erreicht – ein stilles Hoffen auf das Beste und fatalistisches Abwarten können daher keine Option mehr sein, vielmehr gilt es, elementare IT-Sicherheitsmaßnahmen umzusetzen und auch bei der Wahl der Programmiersprache die richtige Wahl zu treffen, um „Security by Design“ zu ermöglichen.

Foto: Dirk Pinnow

Dr. Hubert B. Keller als Sprecher beim Vortragsabend „Cyber, KI und Geopolitik – Sicherheit in der vernetzten Welt“ der Konrad-Adenauer-Stiftung in Berlin am 21. Oktober 2025

Acht von zehn Unternehmen von Datendiebstahl, Spionage oder Sabotage betroffen

Erschreckend sei, dass Cyberangriffe mit erheblichen schädlichen Auswirkungen heute fast schon als alltäglich wahrgenommen werden. Tatsächlich aber verursacht Cyberkriminalität der deutschen Wirtschaft im weiteren Sinne jährlich einen Gesamtschaden in der Größenordnung von 200 Milliarden Euro. Hier sollte man zum Vergleich mal den Bundeshaushalt heranziehen, welcher nach Angaben des Bundesministeriums der Finanzen (BMF) für das Jahr 520,48 Milliarden Euro betragen soll [Stand per 23.11.2025].

• Nach statista-Angaben belaufen sich die Schäden durch Datendiebstahl, Industriespionage oder Sabotage in Deutschland im Jahr 2025 sogar auf etwa 289,2 Milliarden Euro.

Eine Bitkom-Studie von 2024 hat aufgezeigt, dass acht von zehn Unternehmen von Datendiebstahl, Spionage oder Sabotage betroffen waren. Eine solche Entwicklung gefährde nicht nur Unternehmen, sondern in besonderem Maße auch Kritische Infrastruktur (KRITIS), Lieferketten, die Industrie als Ganzes und vernetzt agierende Systeme wie Autonome Fahrzeuge.

Flut an Software-Schwachstellen sollte zu grundsätzlich neuem Sicherheitsansatz führen

Keller erläutert, was genau unsere Software so angreifbar macht: Die CISA (Cybersecurity and Infrastructure Security Agency) in den USA publiziert regelmäßig Hinweise auf Schwachstellen in der Software von technischen Systemen und hat hierzu einen Katalog ausgenutzter Sicherheitsprobleme erstellt. Auch das CVE-Programm veröffentlicht einen solchen Katalog, auf dessen Basis die „Top 25 Most Dangerous Software Weaknesses“ zusammengefasst und hervorgehoben werden.

• „Schaut man sich diese ,Top 25‘-Schwachstellen an, findet man sich permanent wiederholende Probleme vor allem in zwei Bereichen“, berichtet Keller.

Der erste umfasse alles, was es ermöglicht, sich mit falschen Identitäten und manipulierten Daten Zugriff zu einem System zu verschaffen – ungenügende Passwortabsicherung, inkorrektes Benutzermanagement, unsichere Übertragung sensibler Informationen, mangelhafte Validierung von Inputdaten. Selbst „Hard-coded Credentials“ tauchten immer noch in dieser Liste auf. Der zweite betreffe Implementierungsfehler – falsche programmtechnische Realisierung und fehlende Prüfung von Code.

Mit „Ada“ ganze Klassen von Fehlern systematisch von Grund auf vermeiden

Bei den Schwachstellen im Code-Kontext befinden sich laut Keller in exponierter Position Fehler bei der Speicherverwaltung: „Out-of-bounds Read & Write”, „Buffer Overflow”, „Null Pointer Dereference”, „Use After Free”, usw. Sowohl Microsoft als auch Google („Chrome“) hätten bestätigt, dass ungefähr 70 Prozent der von ihnen adressierten Schwachstellen auf unsicheren Umgang mit Speicher zurückgingen.

• „Und dieses Problem kann man hauptsächlich als eine Frage der eingesetzten Programmiersprache betrachten!“, unterstreicht Keller. Denn dieses trete vor allem dann auf, wenn keine geeigneten Speicherabstraktionen zur Verfügung stehen. Dies sei übrigens ein Grund für das „Informationsblatt zu sicheren Programmiersprachen“ der NSA, welches für Sprachen mit sicherer Speicherverwaltung plädiere – unter anderem eben für „Ada“.

„Aus gutem Grund: Programmiersprachen wie ,Ada’ können durch strenge Typisierung und umfangreiche Compiler- und Laufzeit-Prüfungen ganze Klassen von Fehlern systematisch von Grund auf vermeiden“, kommentiert Keller und führt weiter aus: „In ,Ada’ ist ein Array kein Pointer auf das erste Element, sondern eine semantische Struktur, die Indextypen und Grenzen des Arrays untrennbar beinhaltet. Lese- und Schreiboperationen werden sowohl vom Compiler als auch zur Laufzeit geprüft.“

Zwölf der „Top 25“-Schwachstellen mittels „Ada“-Verwendung zu vermeiden

Zwölf der „Top 25“-Schwachstellen wären somit durch „Ada“-Verwendung und deren syntaktische und semantische Prüfung durch den Compiler und das Laufzeitsystem ausgeschlossen, ließen sich also allein durch die Wahl der Programmiersprache vermeiden – „und das unabhängig von Programmierfehlern!“

• Sieben weitere Schwachstellen ließen sich durch korrekte Authentifizierung, Autorisierung und Passwortabsicherung vermeiden. „Was erschreckend ist, dass der Großteil trotzdem regelmäßig unter den ,Top 25‘ auftaucht, obwohl es für keine einzige Schwachstelle davon eine Ausrede gibt.“

Es seien in aller Regel die gleichen, allgemein vorher bekannten Fehler, die Software so angreifbar machten – „Fehler, die wir kennen und von denen wir wissen, wie sie zu beheben sind“, moniert Keller.

Foto: Dirk Pinnow

Laut Kellers klarer Positionierung müsse Grundsätzliches in der Implementierung umgestellt und bei allen Beteiligten ein Sicherheitsbewusstsein entwickelt werden – eben u.a. auch in der Politik und Gesellschaft

Singuläre Reparatur einzelner Schwachstellen unzureichend – „Security by Design“ gefragt

„Dass vorhandene Erkenntnisse in der Praxis schlicht nicht umgesetzt werden, liefert Jahr für Jahr die möglichen Angriffsvektoren für Cyberangriffe und gefährdet technische Systeme vom ,Smart Home’ bis zur Kritischen Infrastruktur, verbunden mit immensen Kosten“, gibt Keller zu bedenken.

• Um diese Gefährdung effektiv, wirtschaftlich vertretbar und nachhaltig zu beheben, reiche indes eine singuläre Reparatur einzeln erkannter Schwachstellen nicht aus. Keller unterstreicht: „Es muss Grundsätzliches in der Implementierung umgestellt und bei allen Beteiligten ein Sicherheitsbewusstsein entwickelt werden – bei denjenigen, die programmieren, auf Managementebene, aber auch in Politik und Gesellschaft!“

Abschließend empfiehlt er mehr „Security by Design“, mehr Sorgfalt in der Benutzerverwaltung und bei Kommunikationsprotokollen und „Augen auf bei der Wahl der Programmiersprache“ – an seiner bevorzugten Wahl von „Ada“ lässt er in diesem Zusammenhang keinen Zweifel.

Weitere Informationen zum Thema:

ResearchGate
Hubert B. Keller / Doctor of Engineering / Independent Expert/CEO at www.dr-hbkeller.de/index.html /www.ci-tec.de

Ada Deutschland
ADA IN DEUTSCHLAND

Bundesministerium der Finanzen
Bundeshaushalt

statista, Internet – Cyberkriminalität
Schäden durch Datendiebstahl, Industriespionage oder Sabotage in Deutschland im Jahr 2025

bitkom, 28.08.2024
Angriffe auf die deutsche Wirtschaft nehmen zu

CISA CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY
Cyber Threats and Advisories

CVE
CVE Program Mission: Identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.

CWE Common Weakness Enumeration
CWE Top 25 Most Dangerous Software Weaknesses

Microsoft
microsoft / MSRC-Security-Research Public

Google, 21.09.2021
Security Blog
An update on Memory Safety in Chrome

National Security Agency, April 2023
Cybersecurity Information Sheet: Software Memory Safety

WIKIPEDIA
Ada (Programmiersprache)

GI FACHGRUPPE ADA
Willkommen bei der Fachgruppe Ada – Zuverlässige Software-Systeme

DE GRUYTER OLDENBOURG, „at – Automatisierungstechnik“, 31.10.2016
Hubert B. Keller, Oliver Schneider, Jörg Matthes und Veit Hagenmeyer: „Zuverlässige und sichere Software offener Automatisierungssysteme der Zukunft – Herausforderungen und Lösungswege“

datensicherheit.de, 12.11.2025
BSI-Jahresbericht 2025: Trotz Fortschritten bei der Cybersicherheit weiterhin hohe Verwundbarkeit / Immer mehr KRITIS-Betreiber erfüllen die Mindestanforderungen und internationale Ermittlungen gegen Cyberkriminelle zeigen Wirkung – dennoch bleibt die Lage weiter angespannt

datensicherheit.de, 06.11.2025
Fast ein Viertel der KMU-Chefetage ignoriert Geschäftsrelevanz der Cybersicherheit / 23 Prozent der IT-Führungskräfte deutscher KMU sprechen ihrem „C-Level“ das Verständnis für die geschäftliche Relevanz ihrer betrieblichen Cybersicherheit ab

datensicherheit.de, 25.08.2025
Mehr als ein rein technisches Problem: Cybersicherheit eine Frage der Haltung / Lieferketten, Produktionssysteme und Kritische Infrastrukturen geraten zunehmend ins Visier professioneller Angreifer – die Bedrohung der Cybersicherheit ist real und betrifft jedes Unternehmen unabhängig von der Größe

datensicherheit.de, 22.03.2017
AdaCore: Neue Broschüre für Entwicklung zertifizierter Software in der Luftfahrt / Kostenlose Publikation „AdaCore Technologies for DO-178C / ED-12C“ vorgestellt

[datensicherheit.de, 14.11.2025] Künstliche Intelligenz (KI) führt offensichtlich auch zu einer Veränderung der Spielregeln in der Softwarewirtschaft. Hersteller reagierten darauf mit neuen Monetarisierungsstrategien, um den steigenden Kosten und dem wachsenden Wettbewerbsdruck zu begegnen. Revenera führt in einer aktuellen Stellungnahme aus, dass beim Bemühen der Branche zur Realisierung stabiler Umsätze durch ein altbekanntes Problem der Erfolg geradezu ausbremst wird – die illegale bzw. unlizenzierte Software-Nutzung.

Abbildung: Revenera

Revenera-Untersuchung zur unlizenzierten Softwarenutzung: Ursachen für Umsatzverluste

Für fast ein Drittel der Softwareanbieter ist -piraterie ein massives Problem

Laut dem aktuellen Revenera-Report „Monetization Monitor: Software Piracy and License Compliance 2026 Outlook“ bleiben „Compliance“-Verstöße ein „Umsatzkiller für die Branche“.

• Für rund ein Drittel (31%) sei Softwarepiraterie – also das illegale Vervielfältigen, Verbreiten und Nutzen von Software – ein massives Problem. 25 Prozent kämpften darüber hinaus mit bewussten Lizenzverstößen, „etwa wenn Anwender gezielt Schutzmechanismen umgehen oder Lizenzen manipulieren“ (z.B. Klonen von virtuellen Maschinen).

Selbst legitim erworbene Software sorge für Umsatzeinbußen, „nämlich dann, wenn Kunden die Anwendung weit über die vertraglich vereinbarten Richtlinien hinaus nutzen (23%)“.

Verstöße bei Engineering-Simulationen und CAD-Software in Deutschland

Auf Basis von „Compliance Intelligence“-Daten seiner Kunden habe Revenera zudem die zwanzig Länder mit der höchsten Zahl an Lizenzverstößen und Softwarepiraterie ermittelt. Für eine Überraschung auf der Länderliste sorgt demnach in diesem Jahr Deutschland: „Hier ist die Zahl der Fälle von Missbrauch und Piraterie deutlich gestiegen.“

• Im aktuellen weltweiten Ranking belege Deutschland nun Platz 6, nachdem es im vergangenen Jahr, 2024, noch auf Rang 11 gelegen habe. Dieser Anstieg lasse sich insbesondere auf Verstöße bei Lösungen im Bereich Engineering-Simulationen und CAD-Software zurückführen, welche offenbar nicht oder nicht vollständig lizenziert in deutschen Unternehmen zum Einsatz kämen.

Auch im internationalen Vergleich zeigten sich deutliche Verschiebungen: China und Russland führten das Ranking zwar weiterhin an, doch Indien habe die USA in Sachen Softwarepiraterie inzwischen überholt und belege nun Platz 3.

Mehr als ein Viertel der Softwareanbieter plant Automatisierung der Kontroll- und Durchsetzungsmechanismen

Unabhängig von der Art des Verstoßes – ob Piraterie, Missbrauch oder Übernutzung – seien die Folgen für Softwarehersteller erheblich: „Nach Angaben der Studie sehen 21 Prozent der befragten Unternehmen unlizenzierte Nutzung als eines der größten Hindernisse für ein wachsendes, wiederkehrendes Umsatzvolumen (ARR).“

• Insgesamt beziffert Revenera das entgangene Umsatzpotenzial in Ländern mit starken IP-Gesetzen und funktionierenden „Compliance“-Programmen auf 17,1 Milliarden US-Dollar.

Mehr als ein Viertel der Softwareanbieter (27%) plane daher, seine Kontroll- und Durchsetzungsmechanismen zu automatisieren oder zu verbessern, um diesen Umsatzverlust einzudämmen.

Nur 31% der Softwareanbieter nutzen bisher Telemetriedaten

„Parallel gewinnen Initiativen zur Lizenz-,Compliance’ an Bedeutung, mit denen sich entgangene Erlöse teilweise zurückholen lassen.“ Eine Schlüsselrolle spielten dabei Nutzungsdaten.

• Diese zeigten nicht nur, wo Übernutzung bereits stattfindet, sondern auch, wo sinkende Nutzung oder eine drohende Abwanderung zu erwarten sei.

Derzeit erfassten jedoch nur rund 31 Prozent der Anbieter entsprechende Telemetriedaten, und weniger als ein Drittel (30%) nutze diese gezielt für weiterführende Analysen.

Aktuelle Trends, Herausforderungen und Strategien rund um Software-Monetarisierung, Piraterie und Lizenz-„Compliance“

„Das mangelnde Bewusstsein bleibt ein Problem – selbst im Zeitalter von KI und Datenanalysen“, betont Nicole Segerer, „General Manager“ bei Revenera. Sie führt aus: „In Unternehmen, die keine Lösungen für ,Entitlement Management’ einsetzen, arbeitet rund die Hälfte im Blindflug: Sie wissen weder, wo noch in welchem Umfang sie Umsätze durch unlizenzierte Nutzung und Piraterie verlieren.“

• Hersteller müssten anfangen, das Problem nicht nur als „Compliance“-Thema zu sehen. Tatsächlich seien solche Verstöße ein Signal für Produktwert und ungenutzte Nachfrage. „Wer diese Nutzer strategisch anspricht, kann sie zumindest langfristig in loyale, zahlende Kunden verwandeln“, empfiehlt Segerer.

Der Vorliegende Report zum „Revenera Monetization Monitor: 2026 Outlook“ basiert laut Revenera auf einer von April bis Juni 2025 unter Softwareherstellern weltweit durchgeführten Umfrage. Ziel sei es gewesen, aktuelle Trends, Herausforderungen und Strategien rund um Software-Monetarisierung, Piraterie und Lizenz-„Compliance“ zu beleuchten. Insgesamt hätten 501 Fach- und Führungskräfte aus Unternehmen verschiedener Größen und Branchen teilgenommen.

Weitere Informationen zum Thema:

revenera
About Revenera: Become a Digital Leader / Software and technology companies want to make the most out of their products. Their goal is to accelerate time to market and innovate as quickly as possible, build products that customers like, understand how they are being used and monetize what matters. Revenera provides the enabling technology and the experts to do just that.

revenera
Leadership: Our Leadership Team / Want to know about the future of the software industry? Ask one of the members of our executive team. They’re not only leading our company, they’re leading the industry.

revenera
eBook: Revenera Monetization Monitor: Software Piracy and License Compliance 2026 Outlook / Tracking unlicensed use is essential for capturing revenue opportunities.

datensicherheit.de, 28.01.2021
Revenera Statusreport 2021 zu Open Source Lizenzierung und Compliance / Zahl der Compliance-Verstöße und Sicherheitsschwachstellen in Open Source Software mit 1.959 Vorfällen pro Audit im Vergleich zum Vorjahr verdreifacht

[datensicherheit.de, 10.11.2025] Laut einer aktuellen Stellungnahme von ONEKEY entwickeln sich erweiterte Software-Stücklisten zum Sicherheitspass mit integrierter Risikobewertung und allen regulatorisch konformen Nachweisen. Die EU-Verordnung „Cyber Resilience Act“ (CRA) schreibt vor, dass die Hersteller und Inverkehrbringer digitaler Produkte mit Internetanschluss künftig eine „Software Bill of Materials“ (SBOM), also eine Software-Stückliste, vorweisen müssen – mit dem Ziel, mögliche Software-Schwachstellen, die Hackern als Angriffsfläche dienen könnten, zu identifizieren, um sie zeitnah beheben zu können.

Derzeit noch viele SBOMs unvollständig, veraltet oder ohne Kontext zu Schwachstellen

Der CRA verlange daher für vernetzte Geräte, Maschinen und Anlagen ausnahmslos eine detaillierte Auflistung aller Programme, Bibliotheken, „Frameworks“ und Abhängigkeiten mit genauen Versions­nummern der einzelnen Komponenten, Informationen zu den jeweiligen Lizenzen, Angaben zu den Urhebern und einem Überblick über alle bekannten Schwachstellen und Sicherheitslücken.

• Diese Anforderungen zu erfüllen falle noch vielen Herstellern schwer – und sei es nur, weil sie von ihren Vorlieferanten nicht die gewünschten Informationen in der notwendigen Vollständigkeit erhielten.

Aus diesem Grund seien viele SBOMs unvollständig, veraltet oder ohne Kontext zu Schwachstellen. Für die in der EU-Regulatorik zwingend vorgeschriebene Nachweispflicht von Seiten der Hersteller seien diese lückenhaften und teilweise überholten SBOMs somit unbrauchbar.

Angereicherte SBOMs – Software- Stücklisten auf dem Weg zum Sicherheitspass

Jetzt hat ONEKEY seine Plattform zur Überprüfung von Gerätesoftware (Firmware) auf Sicherheitsmängel nach eigenen Angaben mit einer neuen Funktion versehen, um sogenannte angereicherte SBOMs zu erzeugen.

• Die stark erweiterten Software-Stücklisten enthielten alle relevanten Informationen zu Schwachstellen – die damit erzeugten SBOMs erfüllten alle Anforderungen der Branche vollumfänglich. Sie enthielten nicht nur die Schwachstellen mit Risikoeinordnung, sondern stellten auch die Nachweise und Begründungen in einer einzigen leicht handhabbaren Datei bereit.

„Somit wird die SBOM von der bloßen Stückliste zu einer Art Sicherheitspass mit integrierter Risiko­bewertung“, unterstreicht Jan Wendenburg, CEO von ONEKEY. Seine Erkenntnis auf Basis vieler Gespräche mit Herstellern: „Die häufig komplexen Lieferketten und das oftmals mangelnde Verständnis von Lieferanten außerhalb der Europäischen Union für EU-spezifische Regulierungen erschweren es, den Anforderungen des ,Cyber Resilience Act’ nachzukommen.“ Die neue Funktionalität stelle nun einen entscheidenden Beitrag dar, diese Hürde zu überwinden.

Umfassendes Schwachstellen-Management statt bloßer -Erkennung mittels ONEKEY-Plattform

Das jüngste Feature sei Teil einer Offensive zum Ausbau der Plattform von ONEKEY, so dass diese das umfassende Management von Schwachstellen in Software noch besser unterstützen könne. Bislang sie diese Plattform vor allem auf die bloße Erkennung von Software-Schwachstellen ausgerichtet gewesen.

• „Mängel zu identifizieren ist nur der erste Schritt“, so Wendenburg. Er führt weiter aus: „Jetzt gehen wir die weiteren Schritte, um die Hersteller soweit wie möglich von aufwändigen manuellen Tätigkeiten zur Erlangung der CRA-Konformität zu entlasten.“

Durch automatisierte „Workflows“, kontextuelle Bewertungen und audit-fertige Dokumentationen sollen Sicherheits- und „Compliance“-Teams demnach in die Lage versetzt werden, schneller zu reagieren und regulatorisch korrekt zu agieren. „Indem wir der Plattform ermöglichen, immer mehr Routineaufgaben zu übernehmen, geben wir den Spezialisten mehr Zeit, sich auf ihre wichtigste Aufgabe zu konzentrieren, die Sicherheit ihrer Geräte, Maschinen und Anlagen zu maximieren“, kommentiert Wendenburg in Anlehnung an die Unternehmensstrategie.

Weitere Informationen zum Thema:

ONEKEY
wir ermöglichen Produkt Cybersicherheit und Compliance in einer vernetzten Welt

ONEKEY
Automatisiertes Schwachstellenmanagement / Reduzieren Sie die time-to-fix und dringen Sie durch den Lärm

Linkedin
Jan C. Wendenburg – ONEKEY

Bundesamt für Sicherheit in der Informationstechnik
SBOM-Anforderungen: TR-03183-2 stärkt Sicherheit in der Software-Lieferkette

Bundesamt für Sicherheit in der Informationstechnik
Cyber Resilience Act / Cybersicherheit EU-weit gedacht

datensicherheit.de, 18.06.2025
SBOM for AI: BSI-geleitete G7-Arbeitsgruppe veröffentlicht gemeinsames Konzept / Im Rahmen des jüngsten G7-Arbeitstreffens in Ottawa hat das BSI mit den -Partnern ein gemeinsames Konzept für eine „Stückliste“ für KI-Systeme abgestimmt

datensicherheit.de, 09.10.2024
SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie / Eine SBOM gilt inzwischen als unverzichtbare Voraussetzung für wirksamen Schutz gegen Cyber-Angriffe

datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zur Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf

[datensicherheit.de, 23.10.2025] Im Kontext der Digitalen Transformation der Welt gehören Cyberangriffe längst zur Normalität – besonders kritisch wird es, wenn Täter einzelne Komponenten der Software-Lieferkette attackieren. Selbst einzelne Programmier-Bausteine der Entwickler sind offenbar nicht sicher: Im „Global Cybersecurity Outlook 2025“ des World Economic Forum (WEF) gaben über 50 Prozent der Organisationen an, dass dies für sie die größte Herausforderung bei der Cyberresilienz sei. Lars Francke, CTO und Mitgründer von Stackable, geht in seiner aktuellen Stellungnahme auf effektives Schwachstellen-Management ein, erläutert, wieso viele Sicherheitslücken nicht unbedingt ein Risiko darstellen müssen und welche Rolle „Open Source“ spielt.

Foto: Stackable

Lars Francke: Wenn es um eine sichere Software-Liferkette und die Bewahrung der eigenen Daten geht, heißt es in erster Linie: „Don’t panic!“

Hunderttausende IT-Sicherheitsvorfällen – sowohl im „Closed“- als auch im „Open Source“-Umfeld

Francke umreißt die Gefährdung: „Digitale Bedrohungen nehmen weltweit kontinuierlich zu. Meldungen über Malware, Ransomware oder DDoS-Attacken gehören bereits zum Alltag. Und auch Angriffe auf ,Software Supply Chains’ gibt es immer öfter.“

• Die Täter nehmen demnach gerne Web-Marktplätze ins Visier, auf denen Entwickler fertige Software-Bausteine bzw. -Pakete tauschen. „Was ist also beim Schwachstellen-Management zu beachten? Welche Rolle spielt ,Open Source’? Auf diese Fragen mussten auch wir bei Stackable Antworten finden.“

Jedes Jahr komme es zu Hunderttausenden Sicherheitsvorfällen in der IT – sowohl im „Closed“- als auch im „Open Source“-Umfeld. Security-Experten und Cyberkriminelle lieferten sich dabei ein ständiges „Katz-und-Maus-Spiel“ um das Ausnutzen und Schließen von Schwachstellen.

Täter schleusen Malware in Software-Pakete, also fertige Programmier-Bausteine, entlang der -Lieferkette ein

Indes: „Und die Täter werden immer einfallsreicher. Bei ,Open Source’ besonders häufig in letzter Zeit: ,Supply Chain’-Angriffe. Hierbei schleusen Täter Schadsoftware in Software-Pakete ein, also fertige Programmier-Bausteine.“ Im „Global Cybersecurity Outlook 2025“ des WEF hätten 54 Prozent der Organisationen angegeben, dass die Software-Lieferkette die größte Herausforderung für die Cyber-Resilienz sei.

Die Beispiele seien zahlreich:

• Zu einem berühmten Zwischenfall sei es etwa beim JavaScript-Paket „node-ipc“ gekommen: „Ein Maintainer schleuste eine ,Protest-Malware’ ein, mit der er Systeme in Russland und Belarus lahmlegen wollte – samt Textdatei ,with love from america’.“
• In einem anderen Fall erwischte es den „GitHub Actions + PyPI“-Token, wodurch infizierte Dateien veröffentlicht worden seien.
• Und vor ein paar Wochen traf es „npm“, sozusagen ein App-Store für Software-Pakete, gleich doppelt: „Zuerst konnten die Angreifer, nachdem sie an die Zugangsdaten eines Entwicklers gelangt waren, manipulierte Pakete in Umlauf bringen. Und nur wenige Tage später wurde ein wöchentlich millionenfach heruntergeladenes Paket mit einem Schad-Wurm infiziert.“

Diese und andere Vorfälle wie „Log4Shell“ oder der „SolarWinds“-Hack zeigten: Für Unternehmen sei nicht nur die physische Lieferkette enorm wichtig, sondern auch die digitale. „Doch was gibt es in einem Open Source-,Ökosystem‘ zu beachten, in dem theoretisch jeder User Schadsoftware einbringen kann?“

Vielzahl an Schwachstellen bedeutet nicht zwangsläufig, dass eine Software unsicher sein muss

Als sogenannte CVE Numbering Authority hätten sie von Stackable direkten Einblick in Schwachstellen und könnten bzw. müssen neue Einfallstore melden. „Und für unsere ,Data Platform’, bei der mehrere ,Open Source’-Komponenten zum Einsatz kommen und wir uns deshalb auf die Lieferkette verlassen müssen, haben wir ein spezielles Vorgehen bei der ,Supply Chain Security’ etabliert.“

• Francke führt aus: „Dafür mussten wir zunächst umdenken: Eine Vielzahl an Schwachstellen bedeutet nämlich nicht zwangsläufig, dass eine Software unsicher ist. Und wenige CVEs stehen nicht automatisch für Sicherheit.“ Scan-Berichte zeigten, dass selbst in Softwareprojekten großer, globaler Hersteller viele CVEs vorhanden seien. Häufig stellten diese aber nur ein theoretisches Risiko dar – „und es ist in der Praxis so gut wie ausgeschlossen, dass sie Probleme verursachen“.

Ein Beispiel: „,OpenSSH’ ist ein Programm für Fernzugriffe, zu dem es in der CVE-Datenbank bekannte Schwachstellen gibt. Viele automatische Sicherheitsscanner schlagen Alarm, sobald sie eine bekannte CVE in der installierten ,OpenSSH’-Version finden. Das ist aber nur ein Indiz – nicht automatisch ein Risiko.“ Bei ihnen werde „OpenSSH“ ausschließlich als Client genutzt, also nur, um Verbindungen nach außen aufzubauen. CVEs bei serverseitigen Funktionen von „OpenSSH“ seien für sie deshalb nicht relevant – „in anderen Bereichen aber natürlich schon“.

Konzentration auf die tatsächlichen Gefahren empfohlen

Deshalb prüften sie nicht jede Meldung gleich pauschal, sondern konzentrierten sich auf die tatsächlichen Gefahren: „Dazu vergleichen wir CVE-Einträge mit Listen von Vulnerabilities, von denen bekannt ist, dass sie aktiv ausgenutzt werden. Und wir beobachten öffentliche Exploit-Quellen wie ,Metasploit’ oder Proof-of-Concept-Repos auf ,GitHub’.“

• Zusätzlich nutzen sie „EPSS-Scores“ (Exploit Prediction Scoring System), um einzuschätzen, wie wahrscheinlich ein Schwachstellen-Missbrauch in der Praxis ist. „So lassen sich echte Bedrohungen von harmlosen Treffern unterscheiden.“

Francke erläutert: „Warum diese Mühe? Weil wir in erster Linie ein verlässliches Produkt liefern möchten. Unser Fokus liegt auf einem stabilen System, das wir nicht durch aggressive Updates aus dem Gleichgewicht bringen möchten, wenn sie keine nennenswerten Sicherheitsvorteile bieten.“ Dies bedeute natürlich nicht, Updates zu vernachlässigen, sondern vielmehr zielgerichtet vorzugehen. Etwa durch Integrationstests oder mit maßgeschneiderten „Tools“, um Patches auch über mehrere Produktversionen hinweg zu verwalten. „Und vor allem durch ,Open Source’.“

Sicherheit auch entlang der Software-Lieferkette gerade durch Offenheit

Software mit offenem Quellcode sei längst im Mainstream angekommen. „Das zeigt der aktuelle ,Open Source Monitor’ des Branchenverbands Bitkom: Über 70 Prozent aller deutschen Unternehmen setzen inzwischen ,Open Source’-Software ein. Zwei Punkte sind den Befragten dabei besonders wichtig – die Funktionalität und die Sicherheitsaspekte.“

• Auf den ersten Blick erscheine dies zunächst widersprüchlich. „Während wir bei proprietärer Software nicht mal eine Chance auf einen Einblick haben, können bei ,Open Source’-Software alle User den Quellcode einsehen und verändern – also auch Menschen mit böswilligen Absichten. Und das macht ,Open Source’ eigentlich perfekt für Cyberkriminelle, um mögliche Einfallstore auszuspähen.“

Tatsächlich sei es aber gerade diese Offenheit, welche für ein sehr hohes Maß an Sicherheit sorge: Da viele Menschen rund um den Globus an dem Code mitarbeiteten und ihre Erfahrungen teilten, würden Schwachstellen meist sehr schnell entdeckt und geschlossen. „Viele Augen sehen einfach mehr“, so Franckes Kommentar.

„Open Source“ als das perfekte Mittel zur Kombination von Funktionalität und Sicherheit

„,Open Source’ war für uns von Beginn an das perfekte Mittel, um Funktionalität und Sicherheit zu vereinen. Was wir entwickeln, ist komplett öffentlich. Und diese Entscheidung zahlt sich jetzt auch im Security-Bereich aus.“

• Sie hätten die Kontrolle über den Quellcode und das Endprodukt, und durch die Transparenz könnten wir jederzeit nachvollziehen, „wie und wo Schwachstellen entstehen“. Zudem erstellten sie für jedes Container-Image eine Software-Bill-of-Materials (SBOM), um alle enthaltenen Komponenten auf mögliche Risiken scannen zu können.

„Wenn es also um eine sichere ,Software Supply Chain’ und die Bewahrung der eigenen Daten geht, heißt es in erster Linie: Don’t panic!“ Francke betont: „Nur weil in einer Komponente Schwachstellen existieren, ist sie nicht automatisch gefährlich.“ Sein abschließender Rat: „Unternehmen sollten ein solides Schwachstellen-Management etablieren, um über tatsächliche Risiken jederzeit informiert zu sein. Wer zudem auf ,Open Source’ setzt, unternimmt einen großen Schritt hin zu einer erhöhten Sicherheit!“

Weitere Informationen zum Thema:

Stackable
Wir sind Stackable​ / Über das Unternehmen

Linkedin
Lars Francke: Co-Founder & CTO at Stackable | Building an Open-Source Data Platform on Kubernetes

WORLD ECONOMIC FORUM, 03.01.2025
Global Cybersecurity Outlook 2025

bitkom
Gesamtübersicht – Studie: Open Source Monitor / Die Entwicklung von Open Source in Deutschland

datensicherheit.de, 17.09.2025
Open Source: Drei von vier Unternehmen in Deutschland bereits Nutzer / Eine große Mehrheit der Unternehmen in Deutschland sieht in „Open Source“-Software auch eine Chance für mehr Digitale Souveränität

datensicherheit.de, 31.07.2025
DORA – Europäische Union präzisiert Umgang mit Lieferketten-Risiken / Die Europäische Kommission hat Anfang Juli eine Ergänzung zur Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) in Form finaler technischer Regulierungsstandards (RTS) veröffentlicht. Damit konkretisiert sie Anforderungen an das Risikomanagement oftmals komplexer IKT-Lieferketten im durch DORA regulierten Bereich. Im Fokus stehen dabei Untervergaben. Der TÜV SÜD fasst die wichtigsten Punkte praxisorientiert zusammen.

datensicherheit.de, 02.06.2025
Die Angst vor dem schwächsten Glied: Cybersicherheit in der Lieferkette / Laut einer aktuellen Umfrage von Sophos haben die meisten der leitenden Manager Bedenken, dass die Integrität ihres Unternehmens durch Cybergefahren entlang der Lieferkette beeinträchtigt werden kann

datensicherheit.de, 20.04.2025
Kritische Infrastrukturen: Jede zweite Organisation unzureichend vor Cyber-Attacken in der Lieferkette geschützt / Erkenntnisse aus aktueller „DNV Cyber-Studie“ legen verstärkten Fokus auf Lieferanten nahe

datensicherheit.de, 10.10.2024
Open Source Software – unbestreitbare Vorteile sowie Risiken / Open Source Software (OSS) hat sich als unverzichtbarer Bestandteil moderner IT-Infrastrukturen etabliert

[datensicherheit.de, 19.09.2025] Im Bauwesen ermöglicht eine „Building Information Modeling“-Software (BIM) quasi einen zentralen Ort für die Planung, den Bau und den Betrieb eines Gebäudes, an dem Informationen verschiedenster Projektteams zusammengeführt werden und welcher auch in hundert Jahren noch verlässliche Auskünfte über verbaute Materialien geben kann. „Eine solche Software erstellt ein digitales Modell des Gebäudes, wird aber derzeit erst von etwa einem Sechstel der Unternehmen im Bau- und Ausbaugewerbe eingesetzt (18%).“ Bitkom Research hat demnach im Auftrag des Digitalverbands Bitkom 504 Handwerksunternehmen ab einem Beschäftigten in Deutschland telefonisch befragt (darunter 265 aus dem Bau- und Ausbaugewerbe). Die repräsentative Befragung habe im Zeitraum von der Kalenderwochen 23 bis 29 2025 stattgefunden.

Foto: Bitkom e.V.

Nastassja Hofmann: Langfristig liegt der Schlüssel jedoch vor allem darin, Digitale Zwillinge auch bei bereits bestehenden Gebäuden zum Standard zu machen!

13% planen BIM-Einsatz zumindest für die Zukunft

13 Prozent dieser Unternehmen planten den Einsatz von BIM zumindest für die Zukunft. Dies zeigten aktuelle Erkenntnisse einer repräsentativen Studie im Auftrag des Digitalverbands Bitkom, für die 504 Handwerksunternehmen in Deutschland befragt worden seien – darunter 265 aus dem Bau- und Ausbaugewerbe.

• „Die deutsche Baubranche muss beim Einsatz von BIM dringend aufholen. Momentan werden Vorteile wie eine gesteigerte Effizienz, Kostenersparnisse, Fehlervermeidung und die Erreichung von Nachhaltigkeitszielen einfach liegen gelassen“, kommentiert Nastassja Hofmann, Expertin für Handwerk und Bauwesen beim Bitkom.

Die geringe Nutzung sei vor allem durch eine mangelnde Auseinandersetzung auf Unternehmensseite bedingt: Knapp zwei Drittel gäben an, sich bisher nicht ausreichend oder sogar noch gar nicht mit BIM beschäftigt zu haben (63%).

Über die Hälfte der Unternehmen erkennt zumindest im BIM große Potenziale für die Baubranche

Bewusst gegen die Verwendung von BIM-Software habe sich aber entsprechend kaum ein Unternehmen entschieden (2%). Die Unternehmen des Bau- und Ausbaugewerbes fürchteten mit Blick auf das BIM aber auch eine Schattenseite, denn 45 Prozent sähen die Gefahr einer übermäßigen Überwachung in der Baubranche als Folge.

• Dennoch überwiege die Chancen-Perspektive: Über die Hälfte der Unternehmen erkenne im BIM große Potenziale für die Baubranche (56%).

„Bauunternehmen müssen jetzt klare Strategien zur BIM-Einführung im Neubau entwickeln. Langfristig liegt der Schlüssel jedoch vor allem darin, Digitale Zwillinge auch bei bereits bestehenden Gebäuden zum Standard zu machen!“, betont Hofmann abschließend.

Weitere Informationen zum Thema:

bitkom
Über uns

bitkom
Nastassja Hofmann / Referentin Retail & PropTech Bitkom e.V.

WIKIPEDIA
Building Information Modeling

datensicherheit.de, 25.02.2025
Neue Maßstäbe für dynamische Planungssicherheit: Digital Zwillinge und Daten-Streaming / Digitale Zwillinge bilden Objekte oder Prozesse in einer virtuellen Umgebung ab und nutzten umfangreiche Echtzeitdaten zur realistischen Simulation

[datensicherheit.de, 17.09.2025] Nach aktuellen Erkenntnissen des Digitalverbands Bitkom setzt die große Mehrheit der Unternehmen in Deutschland „Open Source“-Software ein – und sieht demnach darin auch eine Chance für mehr Digitale Souveränität. Bitkom Research habe hierzu im Auftrag eine repräsentative Umfrage durchgeführt – 1.152 Unternehmen ab 20 Beschäftigten in Deutschland seien telefonisch im Rahmen des Projektes „Open Source Monitor 2025“ im Zeitraum der Kalenderwochen 15 bis 21 2025 befragt worden.

Foto: Bitkom

Dr. Ralf Wintergerst unterstreicht: Ohne „Open Source“-Lösungen würde unsere Wirtschaft stillstehen, zugleich sind sie ein Innovationstreiber…

Bitkom gibt erste Erkenntnisse aus dem „Open Source Monitor 2025“ bekannt

Aktuell nutzten fast drei Viertel (73%) „Open Source“-Software, vor zwei Jahren seien es erst 69 Prozent gewesen. Ebenfalls 73 Prozent hielten „Open Source“ für ein geeignetes Mittel, um die Digitale Souveränität zu stärken – 60 Prozent möchten, dass der Staat aufgrund der aktuellen geopolitischen Lage eben mehr in „Open Source“-Software investiert.

• Dies sind laut Bitkom Ergebnisse des „Open Source Monitor 2025“, für den 1.152 Unternehmen ab 20 Beschäftigten in Deutschland sowie 103 Personen aus der öffentlichen Verwaltung im Auftrag des Bitkom befragt worden seien.

„,Open Source’ hat weiter an Aufmerksamkeit gewonnen. Ohne ,Open Source’-Lösungen würde unsere Wirtschaft stillstehen, zugleich sind sie ein Innovationstreiber, etwa bei ,Cloud’-Technologien oder Künstlicher Intelligenz“, kommentiert der Bitkom-Präsident, Dr. Ralf Wintergerst.

„Open Source“-Einsatz sollte strategisch angegangen werden

„Unter ,Open Source’ versteht man Software, bei der die Quellcodes offengelegt sind und deren Lizenz es erlaubt, die Software frei auszuführen, sie zu analysieren, anzupassen und sowohl in unveränderter als auch veränderter Form weiterzugeben.“

• 61 Prozent der Unternehmen gäben ausdrücklich an, „Open Source“ aufgeschlossen gegenüberzustehen – 2023 seien es erst 53 Prozent gewesen. Ebenfalls gestiegen sei der Anteil der Unternehmen mit einer „Open Source“-Strategie von 32 Prozent 2023 auf jetzt 37 Prozent. Gut vier von zehn (42%) erwarteten, dass die Bedeutung von „Open Source“-Software im eigenen Unternehmen künftig zunehmen werde.

„,Open Source’ hat sich in Deutschland etabliert, aber es bleibt noch einiges zu tun. ,Open Source’ sollte strategisch angegangen werden. Das bedeutet, Ziele zu definieren, Zuständigkeiten festzulegen und Ressourcen bereitzustellen“, betont Wintergerst.

„Open Source Monitor 2025“ wird am 18. September 2025 auf dem „Forum Open Source“ des Digitalverbands in Erfurt vorgestellt

Als größten Vorteil sähen Unternehmen dabei Kosteneinsparungen (26%), dicht dahinter folge die Möglichkeit, auf den Quellcode zugreifen zu können (19%). Damit würden unter anderem individuelle Anpassungen möglich, aber auch eine Prüfung auf mögliche Sicherheitslücken.

• Gegen den Einsatz von „Open Source“-Software sprächen vor allem fehlende Fachkräfte im Unternehmen (20%), die unklare Gewährleistungssituation (15%) sowie rechtliche Unsicherheiten bei der Lizenzierungsverpflichtung (13%).

Diese und weitere Ergebnisse, unter anderem auch zum Thema „Compliance“, zu praktischen Anwendungsbeispielen sowie zur Nutzung in der öffentlichen Verwaltung enthält der „Open Source Monitor 2025“ des Bitkom. Dieser soll am 18. September 2025 auf dem „Forum Open Source“ des Digitalverbands in Erfurt vorgestellt werden und anschließend auch online zum kostenlosen Download bereitstehen.

Weitere Informationen zum Thema:

bitkom
Über uns

bitkom
Dr. Ralf Wintergerst / Präsident Bitkom / Vorsitzender der Geschäftsführung & Group CEO Giesecke+Devrient GmbH

bitkom, 18.09.2025
Studie: Open Source Monitor 2025 / Die Zukunft von Open Source in Deutschland

bitkom
18. September 2025 | Erfurt / Forum Open Source 2025 / „Open Source in der Praxis – innovativ, compliant, ökonomisch“

datensicherheit.de, 10.10.2024
Open Source Software – unbestreitbare Vorteile sowie Risiken / Open Source Software (OSS) hat sich als unverzichtbarer Bestandteil moderner IT-Infrastrukturen etabliert

datensicherheit.de, 28.01.2021
Revenera Statusreport 2021 zu Open Source Lizenzierung und Compliance / Zahl der Compliance-Verstöße und Sicherheitsschwachstellen in Open Source Software mit 1.959 Vorfällen pro Audit im Vergleich zum Vorjahr verdreifacht

datensicherheit.de, 19.06.2020
Kultusbehörden: Abhängigkeit statt Open Source / Andrea Wörrlein kritisiert und warnt

[datensicherheit.de, 18.08.2025] „Der zunehmende Einsatz von KI-gestützten ,Tools’ in der Software-Entwicklung verspricht schnelleres Programmieren, weniger Routineaufgaben und eine gesteigerte Produktivität“, so Michael Freeman, „Head of Threat Intelligence“ bei Armis, in seiner aktuellen Stellungnahme. Eine aktuelle Analyse der Armis Labs zeige indes, welche Sicherheitsrisiken entstehen können, wenn sich Entwickler zu stark auf durch KI generierten Code verließen – „insbesondere dann, wenn manuelle Prüfungen entfallen und automatisierte Vorschläge ungeprüft übernommen werden“.

Foto: Armis

Michael Freeman: Automatisierung allein ersetzt keine Sicherheitsstrategie!

Armis-Entwicklerteam verwendete „DeepSeek“, um Code und externe Bibliotheken automatisch auszuwählen…

Ein interessantes Beispiel aus dem jüngsten Bericht sei „DeepSeek Coder“, ein KI-basierter Code-Assistent, welcher Entwicklungsprozesse beschleunigen solle.

• „In einem simulierten Szenario nutzte ein Entwicklerteam ,DeepSeek’, um Code und externe Bibliotheken automatisch auszuwählen – mit Fokus auf Geschwindigkeit statt Sorgfalt. Das Ergebnis: schwerwiegende Sicherheitslücken!“

Die Künstliche Intelligenz (KI) empfahl demnach Drittanbieter-Bibliotheken mit bekannten, ausnutzbaren Schwachstellen und erzeugte Quellcode mit zahlreichen gängigen Sicherheitsfehlern. „Insgesamt wies die resultierende Anwendung 18 verschiedene Probleme aus der CWE-Top-25-Liste der kritischsten Software-Schwachstellen auf.“

Zentrale Armis-Erkenntnis: KI-gestützte Code-Assistenten nur so verlässlich wie Trainingsdaten und ihr Design

Freeman führt aus: „Dazu gehörten veraltete PDF- und Logging-Bibliotheken mit Anfälligkeit für die Ausführung beliebigen Codes (CWE-94), unsichere Deserialisierung (CWE-502) und fehlerhafte kryptographische Implementierungen (CWE-321).“

• Noch besorgniserregender seien Schwachstellen direkt im generierten Code gewesen – darunter „Cross Site Scripting“ (CWE-79), „SQL Injection“ (CWE-89), „Buffer Overflows“ (CWE-119) sowie unzureichende Authentifizierung und Zugriffskontrolle (CWE-287, CWE-306). „All diese Sicherheitsprobleme sind bekannt und potenziell gravierend – doch die KI erkannte oder verhinderte sie nicht.“

Zentrale Erkenntnis laut Freeman: „KI-gestützte Code-Assistenten sind nur so verlässlich wie ihre Trainingsdaten und ihr Design. Sie können unbewusst unsichere Bibliotheken empfehlen oder schlechte Programmierpraktiken aus öffentlich zugänglichem Code übernehmen.“ Ohne manuelle Prüfungen oder automatisierte Sicherheitsscans verbreiteten sich diese Schwachstellen schnell über ganze Projekte – und erhöhten das Risiko, statt es zu senken.

Produktivitätsgewinne mittels KI erfordern zugleich erhöhte Wachsamkeit

Die Armis-Forscher empfehlen daher, Sicherheitsprüfungen fest in den Entwicklungsprozess zu integrieren. Dazu zählten verpflichtende Code-Reviews, insbesondere für KI-generierte Vorschläge, sowie automatisierte Scans, um riskante Abhängigkeiten oder unsichere Muster zu erkennen. Freeman betont: „Entwickler sollten zudem geschult werden, KI-Ergebnisse kritisch zu hinterfragen, statt sie als automatisch korrekt anzusehen. Ebenso sollten KI-Tools ausschließlich auf sicheren, aktuellen Quellen basieren, um bekannte Fehler nicht zu reproduzieren.“

• Für Softwareteams in Deutschland – vor allem in Kritischen Sektoren wie Industrie, Gesundheitswesen oder Finanzwesen – seien diese Erkenntnisse besonders relevant. Mit der zunehmenden KI-Verbreitung steige auch das Risiko, unsichtbare Schwachstellen in Kritische Infrastrukturen (KRITIS) einzuschleusen. „Der Komfort KI-generierten Codes darf nicht auf Kosten grundlegender Sicherheitsstandards gehen!“

KI werde zweifellos zu den prägenden Kräften der künftigen Softwareentwicklung gehören. Die Ergebnisse des vorliegenden Berichts machten jedoch deutlich: Produktivitätsgewinne erforderten zugleich erhöhte Wachsamkeit. Freeman gibt abschließend zu bedenken: „Automatisierung allein ersetzt keine Sicherheitsstrategie – und ohne belastbare Schutzmechanismen können Werkzeuge, die Entwicklern die Arbeit erleichtern, ebenso schnell zu einem erheblichen Risiko werden!“

Weitere Informationen zum Thema:

ARMIS LABS INSIGHTS
Armis Labs Finds New Security Risks From AI Coding

ARMIS
About Armis

YouTube, Armis, 17.07.2024
Armis Bad Actors Podcast / Powering Threat Detection Through AI with Andrew Grealy and Michael Freeman

datensicherheit.de, 17.08.2025
KI-Einsatz: Studie offenbart dringenden Handlungsbedarf für Schulungen und Richtlinien / Unternehmen im „KI-Blindflug“ bringen sich mangels Sicherheitsmaßnahmen in Gefahr

datensicherheit.de, 02.08.2025
KI hoch im Kurs bei deutschen Tech-Startups / Inzwischen nutzen 82 Prozent von ihnen KI, vor einem Jahr waren es 76 Prozent, 2023 sogar erst 49 Prozent

datensicherheit.de, 18.07.2025
EU-Verhaltenskodex für KI: Fragen zur Nutzung Künstlicher Intelligenz bleiben offen / KI ist ganz offensichtlich eines der Themen, welches die Gesellschaft, Wirtschaft und auch die Politik derzeit in unterschiedlicher Ausprägung sehr beschäftigt

datensicherheit.de, 04.07.2025
Intensive KI-Nutzung in Unternehmen – Entwicklung von Richtlinien und Governance fällt zurück / Nicht einmal ein Drittel der Unternehmen verfügt über eine formelle, umfassende KI-Richtlinie

[datensicherheit.de, 13.06.2025] Jan Wendenburg, der CEO von ONEKEY ist in seiner Stellungnahme vom 3. Juni 2025 auf den Umstand eingegangen, dass die Europäische Cybersicherheitsbehörde ENISASoftware-Supply-Chain-Angriffe zu der größten Bedrohung erklärt hat. Damit bestehe akuter Handlungsbedarf auch für industrielle IT- und OT-Systeme. Die Zahl der Vorfälle zu Software-Lieferketten hat sich in der EU demnach seit 2020 mehr als verdoppelt.

Zunehmend Software-Supply-Chain-Cyberattacken auf Embedded Systems in Deutschland

Auch die deutsche Industrie sieht sich laut Wendenburg zunehmend mit Software-Supply-Chain-Cyberattacken auf „smarte Systeme“, sogenannte Embedded Systems, konfrontiert. „Dies sind Angriffe, die gezielt über externe Komponenten, Software-Bibliotheken oder Firmware-Updates eingeschleust werden.“

• Diese Form der Cyberkriminalität nutze Sicherheitslücken bei Zulieferern, Dienstleistern oder Softwareanbietern aus, um in der Lieferkette nachgelagerte Unternehmen oder gar den Endkunden anzugreifen. Besonders betroffen seien Industrieanlagen, Maschinensteuerungen (OT-Systeme / Operational Technology), IoT-Komponenten (Internet of Things) und andere eingebettete Systeme, welche meist langjährige Betriebszyklen hätten und selten sicherheitskritisch untersucht, überwacht und aktualisiert würden.

„Hier besteht akuter Handlungsbedarf“, betont Wendenburg mit Blick auf die Industrie. Er stellt hierzu klar: „Cybersecurity muss die gesamte Wertschöpfungskette umfassen, um wirksam zu sein!“

Laut ENISA gehören Supply-Chain-Angriffe zu den „Top 5“-Bedrohungen für industrielle IT- und OT-Systeme

Die Marktforschungsfirma Cybersecurity Ventures veranschlagt in einer aktuellen Studie den durch Supply-Chain-Angriffe verursachten Schaden auf weltweit 80 Milliarden Dollar jährlich. „Die Komplexität globaler Lieferketten verschärft das Problem“, so Wendenburg.

• Er verweist auf einen Bericht der Europäischen Agentur für Cybersicherheit (ENISA), wonach zwei Drittel der Unternehmen in der EU mindestens schon einmal von kompromittierten Zulieferern betroffen waren.

Laut ENISA gehören Supply-Chain-Angriffe zu den „Top 5“-Bedrohungen für industrielle IT- und OT-Systeme und werden im „ENISA Foresight 2023 Report“ als die „TOP-1 Cybersecurity“-Gefahr herausgestellt.

Bösartiger Code über zwei Wege: Als Software in der Produktenwicklung oder als Teil eines Vorprodukts

Die deutsche Wirtschaft ist traditionell stark internationalisiert – der Wert der importierten Vorprodukte, die von der deutschen Industrie aus aller Welt bezogen und in ihre Produkte eingebaut werden, liegt in der Größenordnung von 370 Milliarden US-Dollar. Diese Importe von „intermediate goods“ sind von zentraler Bedeutung für die Produktion in Deutschland. „Jede verwendete Software und jedes mit vernetzter Digitaltechnik ausgerüstete Vorprodukt stellt eine potenzielle Gefahr dar“, erläutert Wendenburg die Dimension der Bedrohung.

• Dabei bestehe das große Gefährdungspotenzial von Supply-Chain-Angriffen darin, dass nicht nur das jeweilige Unternehmen mit Schadsoftware infiziert werde, „sondern diese über Produktauslieferungen an Kunden weitergegeben wird“.

So wäre es beispielsweise möglich, dass ein Maschinenbauer an seine Kunden Anlagen mit industriellen Steuerungen abgibt, welche ein Schadprogramm in sich tragen. Dabei könne der bösartige Code über zwei Wege aus der Lieferkette kommen: „Entweder als Software, die in die Produktenwicklung einfließt, oder als Teil eines Vorprodukts, das im Endprodukt verbaut wird.“

Stark steigende Nachfrage nach Sicherheitsüberprüfungen von Geräten, Anlagen und Systemen mit Echtzeit-Betriebssystemen

„Dieser Trend ist alarmierend, da die Lieferketten der deutschen Industrie hochgradig vernetzt sind und ein einziger Angriff weitreichende Folgen haben kann“, unterstreicht Wendenburg und führt weiter aus: „Daher sollten ,Embedded Systems’, die in Steuerungstechnik, Automatisierung oder IoT-Geräten zum Einsatz kommen, einer umfassenden Prüfung im Hinblick auf Cybersecurity unterzogen werden!“ Das gelte ausnahmslos für alle Komponenten, also nicht nur die im eigenen Unternehmen entwickelten, sondern auch für die von Zulieferern übernommenen Vorprodukte.

• Nach seinen Angaben erfährt ONEKEY derzeit eine „stark steigende Nachfrage nach Sicherheitsüberprüfungen von Geräten, Anlagen und Systemen mit Echtzeit-Betriebssystemen (Real-Time Operating Systems / RTOS), wie sie in ,Embedded Systems’ typischerweise zum Einsatz kommen“.

Das Düsseldorfer Sicherheitsunternehmen habe erst vor wenigen Monaten seine „Product Cybersecurity & Compliance Platform“ (OCP) weiterentwickelt, so dass diese auch RTOS-Firmware auf Schwachstellen und Sicherheitslücken überprüfen könne. Dies habe zuvor in der Branche als schwierig bis unmöglich gegolten, insbesondere bei sogenannten monolithischen Binärdateien, wie sie bei marktgängigen Echtzeit-Betriebssystemen wie etwa „FreeRTOS“, „Zephyr OS“, „ThreadX“ und anderen im Einsatz sind.

Zunehmende Komplexität industrieller Systeme lässt Supply-Chain-Angriffe zur immer größeren Bedrohung werden

Als ein besonders kritisches Einfallstor in der Lieferkette gälten Open-Source-Komponenten, welche in rund 80 Prozent aller Firmware-Stacks für „Embedded Systems“ enthalten seien. Sicherheitslücken in weitverbreiteten Bibliotheken wie „uClibc“, „BusyBox“ oder „OpenSSL“ könnten eine Vielzahl von Systemen gleichzeitig betreffen.

• Der Fall „Log4Shell“ im Jahr 2021 – eine Schwachstelle in der weitverbreiteten „Java“-Bibliothek „Log4j“ – hatte gezeigt, wie gefährlich eine unsichere Software-Komponente sein kann, selbst wenn sie nur in einem Subsystem verwendet wird. Der „Log4Shell“-Fall gilt als einer der gravierendsten Sicherheitslücken der letzten Jahrzehnte, weil die Software Bestandteil von Millionen „Java“-Anwendungen ist, darunter auch zehntausende OT- und IoT-Systeme.

„Die zunehmende Komplexität industrieller Systeme, die Vielzahl externer Anbieter und die Langzeitnutzung von ,Embedded Systems’ lassen Supply-Chain-Angriffe zu einer immer größeren Bedrohung werden“, so Wendenburg. Er verweist auf Prognosen der Gartner Group, wonach bis 2026 über 45 Prozent aller Unternehmen mindestens einen Cybervorfall über die Lieferkette erleiden würden, der ihre Betriebsfähigkeit beeinträchtigt.

Höchste Zeit, Software für „Embedded Systems“ systematisch vor dem Einsatz und während des Betriebs zu überprüfen

„Die immer stärkere Integration von ,Industrial IoT’-Systemen und Robotik bis hin zu autonomen Produktionslinien öffnet geradezu ein Scheunentor für Attacken aus der Lieferkette“, gibt Wendenburg abschließend zu bedenken. Er appelliert an die Unternehmensführungen: „Es ist höchste Zeit, Software für ,Embedded Systems’, unabhängig ob aus eigenem Haus oder von Lieferanten systematisch vor dem Einsatz und laufend zu überprüfen! Wer das unterlässt, setzt nicht nur seine Produktion, sondern auch seine Reputation und Lieferfähigkeit aufs Spiel.“

• Hinzu komme der rechtliche Aspekt: Die „Radio Equipment Directive“ EN18031 und der „EU Cyber Resilience Act“ (CRA) und andere gesetzliche Vorgaben schrieben die Verantwortung der Hersteller für die Cybersicherheit vernetzter Geräte, Maschinen und Anlagen zwingend vor.

Die „Product Cybersecurity & Compliance Platform“ (OCP) von ONEKEY ermögliche mit dem „Compliance Wizard“ eine automatisierte Überprüfung der Konformität zum CRA und weiteren cybersicherheitsrelevanten Normen. „Dies erleichtert die Vorbereitung auf Audits erheblich und reduziert den bürokratischen Aufwand, der durch neue Gesetze entsteht.“

Weitere Informationen zum Thema:

ONEKEY
Managen Sie Produkt Cybersicherheit und Compliance effizient

ONEKEY
Reduzieren Sie Komplexität, Kosten und Zeit für Ihre Produkt Compliance

Switch, Frank Herberg, 25.03.2024
Cyber-Bedrohung Nummer 1: Die Lieferkette

Europäische Kommission, 04.08.2021
ENISA veröffentlichte ihre Bedrohungslage für Lieferkettenangriffe

enisa, Juni 2023
GOOD PRACTICES FOR SUPPLY CHAIN CYBERSECURITY

enisa, 29.07.2021
Threat Landscape for Supply Chain Attacks

datensicherheit.de, 13.05.2024
Blinder Fleck der Cybersecurity: Software-Lieferketten als Einfallstor / Eine große Mehrheit der Unternehmen hatte einen Cyber-Vorfall innerhalb der vergangenen zwölf Monate

datensicherheit.de, 11.04.2025
BSI und ZenDis: openCode-Leitfaden zur Strategie einer automatisierten Absicherung von Softwarelieferketten / Gemeinsame Veröffentlichung vom BSI und ZenDiS für die Verwaltung

datensicherheit.de, 27.02.2025
Cyber Resilience Act – Absicherung der Software-Lieferkette / Cyberkriminelle nutzen zunehmend Schwachstellen in Entwicklungspipelines aus„

[datensicherheit.de, 11.04.2025] Laut einer Meldung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde in Kooperation mit dem Zentrum für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS) eine Strategie für die automatisierte Absicherung von Softwarelieferketten für die Verwaltung veröffentlicht. Das ZenDiS wurde 2022 durch das Bundesministerium des Innern und für Heimat (BMI) gegründet – als Kompetenz- und Servicezentrum soll es die Öffentliche Verwaltung auf Ebene von Bund, Ländern und Kommunen dabei unterstützen, ihre Handlungsfähigkeit im Digitalen Raum langfristig abzusichern – vor allem, indem kritische Abhängigkeiten von einzelnen Technologieanbietern aufgelöst werden. Dazu soll sich das ZenDiS in der ersten Ausbaustufe darauf konzentrieren, den Einsatz von Open-Source-Software in der Öffentlichen Verwaltung voranzutreiben.

Abbildung: openCode

„Sichere Softwarelieferketten: openCode als Baustein einer souveränen digitalen Infrastrukturldung“ steht zum Download bereit

Gemeinsame Initiative des ZenDiS und des BSI rückt Bedeutung sicherer und souveräner Softwarelieferketten in den Fokus

„In Zeiten zunehmender geopolitischer Spannungen wird die Gewährleistung der Sicherheit und Beständigkeit digitaler Infrastrukturen zu einem zentralen Baustein der Daseinsvorsorge.“ Mit einer gemeinsamen Initiative rücken das ZenDiS und das BSI nun die Bedeutung sicherer und souveräner Softwarelieferketten weiter in den Fokus.

• „Nahezu jede Software greift heute auf Hunderte oder gar Tausende bestehende Einzelkomponenten, Bibliotheken und Tools zurück. Die Gesamtheit dieser Komponenten bildet die Softwarelieferkette. Wird ein Teil dieser Kette kompromittiert oder fällt weg, entstehen erhebliche Risiken für alle Nutzenden.“

Eine vollständige Prüfung von Softwarelieferketten sei bislang angesichts ihrer Komplexität für einzelne Softwareanbieter kaum realisierbar. Dies erfordere einen grundlegend neuen Ansatz, welcher über die Möglichkeiten einzelner Organisationen hinausgehe und die Fachkenntnisse von Sicherheitsexperten, Entwicklern und Behörden gezielt bündele, standardisierte Prüfverfahren etabliere und gemeinsame Sicherheitsanalysen ermögliche.

„openCode“ als Kernbaustein für eine sichere digitale Infrastruktur – das „Badge“-Programm vom ZenDiS zeigt konkrete Möglichkeiten einer Prüfung auf

Zentraler Baustein sei die Plattform „openCode“. Diese etabliere verbindliche Sicherheitsstandards, mache Abhängigkeiten transparent und schaffe nachvollziehbare Herkunftsnachweise für kritische Softwarekomponenten. Dank der Transparenz von Open-Source könnten so viele der bisherigen, manuellen Prüfprozesse automatisiert und damit die Skalierbarkeit von Sicherheitsüberprüfungen der Softwarelieferkette erheblich verbessert werden.

• „Mit seinem jüngst gelaunchten ,Badge’-Programm zeigt das ZenDiS konkret, wie eine solche Prüfung realisiert werden kann. Dort werden Qualitätsmerkmale von auf ,openCode’ liegender Software – beispielsweise zu Wartung und Nachnutzung – automatisch aus dem Code abgeleitet.“

Derzeitige Ansätze zur Softwaresicherheit seien weitgehend reaktiv – „openCode“ könne einen präventiven Ansatz durch kontinuierliche, automatisierte Sicherheitsprüfungen und transparente Softwarelieferketten ermöglichen: Bei einem Sicherheitsvorfall könnten Artefakte und Betroffene zuverlässig identifiziert und Echtzeitlagebilder erstellt werden, so dass gezielt gewarnt werden könne. „So wird ,openCode’ zu einem Schlüsselelement einer resilienten digitalen Infrastruktur in Deutschland.“

Das ZenDiS betont die strategische Bedeutung: Entwicklung einer souveränen digitalen Infrastruktur für Daseinsvorsorge im 21. Jahrhundert unverzichtbar

Ihr Konzept für eine sichere und souveräne Softwarelieferkette haben das BSI und das ZenDiS in einem gemeinsamen Strategiepapier inklusive Umsetzungsplan dargelegt. Das Papier steht auf den Webseiten des ZenDiS sowie des BSI zum Download zur Verfügung. Rückmeldungen aus der Fachöffentlichkeit seien ausdrücklich erwünscht – Kontaktmöglichkeiten gibt es auf der „openCode“-Website.

• Die Präsidentin des BSI, Claudia Plattner, hebt die Bedeutung der Kooperation hervor: „Sichere Softwarelieferketten sind ein entscheidender Faktor für eine funktionierende Digitalisierung. Sie machen Abhängigkeiten deutlich und damit beherrschbar. Wir schaffen hier außerdem ein Angebot, dass uns dringend benötigte Skalierbarkeit ermöglicht, um Cyber-Sicherheit wirkungsvoll umzusetzen.“ Entscheidend dafür sei das gelungene Zusammenspiel vieler Akteure – „so wie wir es uns für die ,Cybernation Deutschland’ wünschen.“

• Leonhard Kugler, Leiter „Open-Source-Plattform“ beim ZenDiS, betont die strategische Bedeutung: „Die Entwicklung einer souveränen digitalen Infrastruktur ist für unsere Daseinsvorsorge im 21. Jahrhundert unverzichtbar. Mit ,openCode’ setzen wir einen wesentlichen Baustein, um die Sicherheit unserer Softwarelieferketten zu stärken und so die digitale Handlungsfähigkeit des Staates auch in einer komplexen geopolitischen Landschaft zu bewahren.“

Weitere Informationen zum Thema:

openCode
Sichere Softwarelieferketten: openCode als Baustein einer souveränen digitalen Infrastruktur

openCode
Die Plattform für Digitale Souveränität / openCode bringt Open Source in die deutsche Verwaltung. Gemeinsam entwickeln und teilen wir Software, die unsere digitale Zukunft selbstbestimmt gestaltet.

ZenDis
openCode

ZenDIs
Vision und Mission: Ein dauerhaft handlungsfähiger Staat in einer digital vernetzten Welt – das ist die Vision, die das ZenDiS mit seinen Mitarbeitenden Tag für Tag verfolgt

datensicherheit.de, 27.02.2025
Cyber Resilience Act – Absicherung der Software-Lieferkette / Cyberkriminelle nutzen zunehmend Schwachstellen in Entwicklungspipelines aus

datensicherheit.de, 30.10.2024
Cyber-Angriffe auf die Lieferkette: Unternehmen sollten Risiken erkennen und gezielt vorbeugen / Cyber-Angreifer nutzen hierzu bestehendes Vertrauen in Geschäftsbeziehungen und die Sicherheitsarchitektur aus

datensicherheit.de, 13.05.2024
Blinder Fleck der Cybersecurity: Software-Lieferketten als Einfallstor / Eine große Mehrheit der Unternehmen hatte einen Cyber-Vorfall innerhalb der vergangenen zwölf Monate

EIn Beitrag von unserem Gastautor Jiannis Papadakis, Director of Solutions Engineering bei Keyfactor

[datensicherheit.de, 27.02.2025] In den vergangenen Jahren mussten sich IT-Sicherheitsverantwortliche und ihre Teams zunehmend mit Cyberrisiken auseinandersetzen, die mit den Software-Lieferketten ihrer Anbieter und Partner in Zusammenhang stehen. Immer häufiger machen Cyberkriminelle Schwachstellen in Entwicklungspipelines, Open-Source-Komponenten und Drittanbieter-Integrationen zu einem integralen Bestandteil ihrer Angriffsvektoren. Laut einer Bitkom-Umfrage vom vergangenen Jahr wussten 2024 13 Prozent der befragten IT-Entscheider, von mindestens einem Lieferketten-Zulieferer ihres Unternehmens zu berichten, der in den vergangenen 12 Monaten mindestens einmal Opfer eines Cybersicherheitsvorfalls geworden war. Weitere 13 Prozent vermuteten es, 21 Prozent konnten es nicht ausschließen. Mit dem Cyber Resiliene Act hat die EU eine gesetzliche Regelung auf den Weg gebracht, die Unternehmen verpflichtet auf diese Bedrohungen zu reagieren.

Jiannis Papadakis, Director of Solutions Engineering bei Keyfactor, Bild: Keyfactor

Wachsendes Risko Software-Lieferkette

Um dem wachsenden Software-Lieferketten-Risiko zu begegnen, wurden in Europa in den vergangenen Jahren zahlreiche Gesetzesinitiativen auf den Weg gebracht und verabschiedet. Erinnert sei hier nur an NIS2 und DORA. Erst unlängst, am 11. Dezember, kam nun eine weitere gesetzliche Regelung hinzu: der Cyber Resilience Act (CRA). Er gilt für sämtliche Software, Firmware und verbundenen Geräte, die in der EU verkauft oder verwendet werden sollen. Hersteller werden in ihm in die Pflicht genommen, für die erforderliche Sicherheit ihrer Hard- und Softwareprodukte zu sorgen – und dies transparent. Käufern soll es so ermöglicht werden, fundiertere Kaufentscheidungen zu treffen, das Thema Sicherheit stärker in ihre Überlegungen mit einzubeziehen.

Erste Anforderungen müssen ab dem 11. September 2026 erfüllt werden

Erste Anforderungen des CRA müssen Anbieter schon ab dem 11. September 2026 erfüllen, das Groß ab dem 11. Dezember 2027. In Punkto Lieferkettensicherheit macht der CRA Vorgaben hinsichtlich der Risikobewertung und des Risikomanagements, der Sicherheitsmaßnahmen während der Produktentwicklung, der Sicherheit der Standardeinstellungen der Produkte sowie der Software Bill of Materials (SBOM) und der Konformitätsbewertung.

Eile ist geboten

Da es naturgemäß einige Zeit dauern wird, die internen Prozesse an die neuen Compliance-Vorgaben anzupassen, die entsprechenden Reporting-Strukturen einzurichten, kann IT-Entscheidern und Sicherheitsteams nur geraten werden, hier möglichst frühzeitig – am besten schon jetzt – zu beginnen. Vor allem auf drei Punkte sollten sie sich dabei konzentrieren: die Absicherung der gesamten DevOps-Toolchain, die Sicherstellung der Softwareauthentizität und die Etablierung von Maßnahmen zur Erhöhung der Transparenz.

1. Sicherheit in den gesamten Entwicklungszyklus einbetten – Die DevOps-Toolchain muss mit robusten kryptografischen Schutzmechanismen ausgestattet werden.
2. Software-Authentizität sicherstellen – Alle Softwarekomponenten müssen während des gesamten Entwicklungszyklus authentifiziert und verifiziert werden. Die Identitäten von Entwicklern, Anwendungen und Infrastrukturkomponenten müssen überprüfbar sein.
3. Transparenz und Rückverfolgbarkeit verbessern – Um einen vollständigen Einblick in und Überblick über die Herkunft von Software zu erhalten, muss auf Metadaten, wie die Software Bill of Materials (SBOMs), zugegriffen werden.

Umsetzen lässt sich all dies am effektivsten – und effizientesten – mit einer modernen Code Signing-Lösung. Denn diese lassen sich problemlos in CI/CD-Tools integrieren – ohne IT-Workflows und Build-Prozesse zu erschweren oder gar zu unterbrechen. Code kann so während seines gesamten Entwicklungszyklus effektiv überwacht und vor unbefugten Änderungen und Malware geschützt werden – und dies in Echtzeit. Darüber hinaus lässt sich die Durchsetzung von Sicherheitsrichtlinien so weitgehend automatisieren, was den eigenen Sicherheitsteams viel Arbeit abnimmt. Ausgestattet mit einem solchen Tool sollte es jedem Unternehmen möglich sein, die Risiken der eigenen Software-Lieferketten bis zur CRA-Deadline am 11. Dezember 2027 in den Blick und in den Griff zu bekommen.jiannis-papadakis-keyfactor_ab

Weitere Informationen zum Thema:

European Commission
Cyber Resilience Act