Jedes Unternehmen - auch das Ihre - hängt heute von einem komplexen Netz von software ab. Ob im Finanzdienstleistungssektor, im Gesundheitswesen, in der Fertigung oder in der nationalen Sicherheit - mit der zunehmenden Vernetzung der Lieferketten steigen auch die Risiken.
Cyberangriffe auf software haben stark zugenommen, wobei Allein im Jahr 2024 werden mehr als 75 % der Software-Lieferketten von Angriffen betroffen sein. Kriminelle nutzen Schwachstellen in Entwicklungspipelines, open-source und Integrationen von Drittanbietern aus und machen diese Angriffe zu einer der dringendsten Sicherheitsbedrohungen. Diese Verstöße bedrohen nicht nur die finanzielle Stabilität, sondern gefährden auch die Integrität der Marke und den Ruf eines Unternehmens.
Unternehmen müssen nicht nur immer raffiniertere Angriffe abwehren, sondern sich auch mit gesetzlichen Vorschriften, Bedenken hinsichtlich der Datenintegrität und den betrieblichen Auswirkungen von Sicherheitsmängeln auseinandersetzen.
Es ist keine Überraschung, dass dass der US-Markt für Sicherheit in der Lieferkette voraussichtlich von von 634,3 Millionen Dollar im Jahr 2025 auf 988,4 Millionen Dollar bis 2032, angetrieben durch die Notwendigkeit eines stärkeren Schutzes. Aufkommende Technologien wie KI, IoT und Blockchain prägen die Zukunft der Lieferkettensicherheit, aber die Risiken entwickeln sich weiter.
Die Vorschriften legen die Messlatte höher: Das Gesetz zur Cyber-Resilienz
Um den Risiken in der software zu begegnen, führen Regierungen strengere Vorschriften ein. Der von der Europäischen Union im Dezember 2024 verabschiedete Cyber Resilience Act (CRA) gilt für alle in der EU verkauften oder verwendeten software, Firmware und verbundenen Geräte.
Einfach ausgedrückt ist die CRA eine Möglichkeit sicherzustellen, dass digitale Produkte in der Lieferkette sicher sind. Die Grundsätze der standardmäßigen Sicherheit würden eine Sorgfaltspflicht für den gesamten Lebenszyklus von Produkten vorschreiben. Mit anderen Worten, die neuen Regeln würden die Verantwortung auf die Hersteller verlagern - anstatt sich darauf zu verlassen, dass der Durchschnittsverbraucher ein grundlegendes Sicherheitsniveau schafft.
Warum sollte diese Gesetzgebung für Sie von Bedeutung sein? Weil auch in den USA ansässige Unternehmen, die in die EU verkaufen, die Vorschriften einhalten müssen - oder mit hohen Geldstrafen rechnen müssen. Die Anforderungen beginnen am 11. September 2026, während die meisten anderen Bestimmungen der CRA erst ab dem 11. Dezember 2027 vollständig gelten.
Hier ist ein Auszug aus den EU-Rechtsvorschriften:
"Durch die Festlegung von Cybersicherheitsanforderungen für das Inverkehrbringen von Produkten mit digitalen Elementen soll die Cybersicherheit dieser Produkte für Verbraucher und Unternehmen gleichermaßen verbessert werden. Diese Anforderungen werden auch sicherstellen, dass die Cybersicherheit in der gesamten Lieferkette berücksichtigt wird, so dass die Endprodukte mit digitalen Elementen und ihre Komponenten sicherer werden...[und] gilt für Produkte wie intelligente Heimprodukte mit Sicherheitsfunktionen, einschließlich intelligenter Türschlösser, Babyüberwachungssysteme und Alarmsysteme, vernetzte Spielzeuge und persönliche, tragbare Gesundheitstechnologie."
Keyfactor's aktuelle eBook fasst die wichtigsten CRA-Anforderungen zusammen, die Sie kennen müssen, darunter:
- Sicherheit durch Design - Sicherheit von Anfang an in Produkte einbauen.
- Lebenszyklus-Verantwortung - Aufrechterhaltung der Sicherheit für mindestens fünf Jahre nach der Bereitstellung.
- Meldung von Vorfällen und Schwachstellen - Umsetzung dieser Kontrollen innerhalb eines Jahres.
Da die Frist für die Einhaltung der Vorschriften schnell näher rückt, ist es jetzt an der Zeit zu handeln. Verzögerungen riskieren nicht nur die Nichteinhaltung der Vorschriften, sondern setzen Unternehmen auch vermeidbaren Sicherheitsbedrohungen aus.
Wie Sie Ihre Software stärken können
Wie können sich Unternehmen also schützen? Die Antwort liegt im Aufbau von digitalem Vertrauen - Sicherung der gesamten DevOps-Toolchain, Überprüfung der software und Implementierung kryptografischer Schutzmaßnahmen.
Die Begriffe sicherstellen, verbessern, und einbetten sind die drei Zauberworte, die Sie sich merken sollten. Sie sind die Schlüsselstrategien, die Ihnen helfen werden, die Sicherheit der software zu stärken und kostspielige Verstöße zu verhindern:
#1 Sicherstellung der Software
- Authentifizierung und Verifizierung aller software während des gesamten Entwicklungszyklus.
- Validieren Sie die Identität von Entwicklern, Anwendungen und Infrastrukturkomponenten.
- Implementieren Sie eine robuste Code-Signierung und kryptografische Überprüfung, um unbefugte Änderungen zu verhindern.
#2 Verbesserung der Transparenz und Rückverfolgbarkeit
- Nutzen Sie Metadaten, einschließlich Software Bills of Materials (SBOMs), um einen vollständigen Einblick in die software zu erhalten.
- Nutzen Sie Blockchain und KI-gestützte Lösungen, um die Transparenz in der Lieferkette zu verbessern.
- Implementieren Sie Echtzeit-Überwachungstools, um Anomalien und Schwachstellen zu erkennen, bevor sie zu Bedrohungen werden.
#3 Sicherheit in den Entwicklungslebenszyklus einbetten
- Sichern Sie die DevOps-Toolchain mit robusten kryptografischen Schutzmechanismen.
- Sicherstellung der Einhaltung der sich entwickelnden Vorschriften, wie der oben erwähnten CRA.
- Nutzen Sie die PKI-basierte Codesignierung zum Schutz vor unbefugten Änderungen und Malware.
Durch die Einbindung dieser Grundsätze in die software können Unternehmen die Risiken, die sich aus den immer komplexeren Lieferketten ergeben, mindern.
Die Zukunft des sicheren Code Signing
Angesichts zunehmender Bedrohungen in der Lieferkette und strengerer Vorschriften benötigen Unternehmen einen proaktiven Ansatz für Code Signing und Sicherheit. Keyfactor bietet eine zentralisierte, sichere und entwicklerfreundliche Plattform für die Codesignierung, die sicherstellt, dass Unternehmen ihre software schützen können, ohne die Innovation zu unterbrechen.
Die Frage ist nicht nur, ob Sie Ihrem Code trauen können, sondern auch, wie Sie das beweisen können. Jetzt ist es an der Zeit, die Sicherheit neu zu überdenken, bevor Schwachstellen zu Verbindlichkeiten werden.
