Sie sind hier: Home » Markt » Hinweise & Tipps

Fünf Tipps für eine sichere Software-Lieferkette


Compliance-Vorgaben müssen mit strengen Konsequenzen verknüpft und offen an Zulieferer kommuniziert werden
Bei den Kriterien für die Auswahl des richtigen Software-Herstellers liegt es nahe, zunächst darauf zu achten, dass dieser bereits sichere Anwendungen entwickelt und verkauft

(08.03.16) - Im Durchschnitt stammen heute mehr als die Hälfte der Anwendungen eines Unternehmens (über 62 Prozent) von externen Entwicklern. Unternehmen lagern also die Anwendungsentwicklung vermehrt aus. Gründe dafür sind vielfältig und reichen von nicht vorhandenen internen Kompetenzen sowie Ressourcen bis hin zu Kosteneffizienz. Wie aber können Entscheider sicherstellen, dass die eingekaufte Software sicher genug ist? Schließlich können gerade Cyber-Angriffe einem Unternehmen enormen Schaden zufügen – etwa, wenn Cyber-Kriminelle über Schwachstellen in eingekauften Anwendungen auf sensible Kunden- und/oder Unternehmensdaten zugreifen können.

Arved Graf von Stackelberg, Director Central Europe beim Anwendungssicherheits-Spezialisten Veracode, hat einige Tipps für den sicheren Umgang mit Software-Zulieferern:

1. Den richtigen Zulieferer wählen
Bei den Kriterien für die Auswahl des richtigen Software-Herstellers liegt es nahe, zunächst darauf zu achten, dass dieser bereits sichere Anwendungen entwickelt und verkauft. Doch wie lässt sich das feststellen? In der IT-Branche haben sich noch keine standardisierten Verfahren etabliert, die sichere Hersteller zertifizieren. Das Whitepaper des amerikanischen Financial Services Information Sharing and Analysis Center (FS-ISAC) beschäftigt sich jedoch schon mit Kriterien, die Drittanbieter-Software erfüllen sollte, darunter unter anderem die Analyse der Software-Zusammensetzung sowie binär-statische Analysen zum Aufdecken von Schwachstellen. Bis es feste Standards gibt, müssen sich Unternehmen selbst über die Vorgehensweise der Software-Anbieter informieren.

2. Auf bereits vorhandene Zulieferer vertrauen
Unternehmen und Software-Zulieferer haben oft schon bestehende Beziehungen, die sich nicht von heute auf morgen ändern lassen. Für solche lassen sich etwa die 80/20 Regel und die Low-Hanging-Fruit-Strategie anwenden. Bei der 80/20-Regel identifizieren Unternehmen ihre Top-Software-Zulieferer und beginnen bei diesen mit dem eventuell notwendigen Transformationsprozess. Nach der Low-Hanging-Fruit-Strategie nutzen Unternehmen Zulieferer, die bereits Sicherheitskriterien vorweisen, als positives Vorbild für andere.

3. Compliance-Vorgaben und Konsequenzen
Von großer Bedeutung für die Transformation von Software-Lieferketten sind klar definierte Regeln und Voraussetzungen für die Zusammenarbeit zwischen Unternehmen und Software-Herstellern. Solche Compliance-Vorgaben müssen mit strengen Konsequenzen verknüpft und offen an Zulieferer kommuniziert werden. So können Unternehmen unter anderem Software-Tests und deren Häufigkeit, feste Fixzeiten sowie eine Risikotoleranz festlegen. Erfüllen Drittanbieter die Voraussetzungen nicht oder nur teilweise, drohen ihnen Preisnachlässe oder eine Beendigung des Vertragsverhältnisses.

4. Vorteile für Zulieferer hervorheben
Nicht immer ist das Risiko einen Kunden zu verlieren für Drittanbieter Grund genug, Compliance-Vorgaben einzuhalten. Deshalb sollten Unternehmen nicht nur Konsequenzen, sondern auch die mit der Einhaltung verbundenen Vorteile für Zulieferer aufzeigen. Das geschieht am besten anhand realer Daten, wie beispielsweise die Rentabilität einer binär-statischen Analyse im Vergleich zu einem manuellen Penetrationstest zur Aufdeckung von Anwendungsschwachstellen.

5. Zusammen an Innovationen arbeiten
Unternehmen, die sichere Lieferketten entwickeln wollen, sollten sich auch auf ihre Partnerschaft mit ihren Software-Herstellern zurückbesinnen. Wird das Thema Software-Sicherheit etwa als gemeinschaftliches Ziel dargestellt, werden nicht nur Vorgaben von Zulieferern sicher besser akzeptiert, sondern es wird auch leichter, neue Sicherheitskriterien zu etablieren.

Sicherheit an erster Stelle
Zulieferer und Partner helfen Unternehmen oft dabei, schneller, innovativer und kosteneffektiver zu arbeiten. Auch die Software-Branche stellt hier keine Ausnahme dar. Ein Unternehmen kann nicht jede Anwendung selbst entwickeln. Deshalb sollte die Sicherheit von Drittanbieter-Lösungen an erster Stelle stehen. Weitere Best Practice-Beispiele und bereits existierende Initiativen aus der IT können bei der erfolgreichen Einführung von Software-Sicherheitsstandards helfen – unabhängig davon, ob diese intern oder extern eingesetzt werden.
(Veracode: ra)



Veracode: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Stresstest der Europäischen Zentralbank

    Am 2. Januar 2024 hat der Stresstest der Europäischen Zentralbank für große Institute im Euroraum begonnen. Insgesamt sind mehr als 100 Banken betroffen, ein tiefer gehender Test steht im Nachgang für über 20 dieser Banken an. Mit der "Trockenübung" eines Cyberangriffs möchte die EZB Melde- und Wiederherstellungsprozesse der Banken prüfen. Welche größeren Schwachstellen wird die EZB dabei identifizieren?

  • Compliance, Regulierung und betriebliche Risiken

    Betriebsleiter jonglieren täglich mit unterschiedlichen Risiken. Es ist ihre Aufgabe, bestehende Risiken zu bewerten und abzuschwächen sowie Strategien zur Vermeidung künftiger Risiken zu entwickeln. Dabei steht viel auf dem Spiel: Risikofolgen reichen von Produktivitätsverlusten - während die Mitarbeiter mit der Behebung von Fehlern beschäftigt sind - bis hin zu Geldverschwendung, wenn Fristen und Fortschritte nicht eingehalten werden.

  • An der Quelle der Informationen beginnen

    Im Kontext steigender Cyberbedrohungen gewinnt die strikte Einhaltung bzw. Umsetzung entsprechender Compliance-Vorschriften stetig an Bedeutung. Als Bereitsteller kritischer Infrastruktur gilt insbesondere für Finanzunternehmen, IT-Ausfälle und sicherheitsrelevante Vorfälle zu verhindern, um für die Aufrechterhaltung des Betriebs zu sorgen.

  • DORA-Compliance komplex

    Bereits im Januar 2023 ist der Digital Operational Resilience Act (DORA), eine Verordnung der europäischen Union, in Kraft getreten. Umzusetzen ist das EU-Gesetz bis zum 17.01.2025. Obwohl es sich vorrangig an den Finanzsektor richtet, können auch andere Unternehmen, wie beispielsweise IT-Dienstleister davon betroffen sein.

  • Umsetzung der ESG-Verordnung

    Im Sommer 2021 wurde von der EU das "Europäische Klimagesetz" verabschiedet. Es soll helfen, den Klimaschutz spürbar voranzutreiben. Eine der beschlossenen Maßnahmen ist das sogenannte ESG-Reporting, das viele Unternehmen erst einmal vor Herausforderungen stellt.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen