Sie sind hier: Home » Markt » Hinweise & Tipps

Fünf Tipps für eine sichere Software-Lieferkette


Compliance-Vorgaben müssen mit strengen Konsequenzen verknüpft und offen an Zulieferer kommuniziert werden
Bei den Kriterien für die Auswahl des richtigen Software-Herstellers liegt es nahe, zunächst darauf zu achten, dass dieser bereits sichere Anwendungen entwickelt und verkauft

(08.03.16) - Im Durchschnitt stammen heute mehr als die Hälfte der Anwendungen eines Unternehmens (über 62 Prozent) von externen Entwicklern. Unternehmen lagern also die Anwendungsentwicklung vermehrt aus. Gründe dafür sind vielfältig und reichen von nicht vorhandenen internen Kompetenzen sowie Ressourcen bis hin zu Kosteneffizienz. Wie aber können Entscheider sicherstellen, dass die eingekaufte Software sicher genug ist? Schließlich können gerade Cyber-Angriffe einem Unternehmen enormen Schaden zufügen – etwa, wenn Cyber-Kriminelle über Schwachstellen in eingekauften Anwendungen auf sensible Kunden- und/oder Unternehmensdaten zugreifen können.

Arved Graf von Stackelberg, Director Central Europe beim Anwendungssicherheits-Spezialisten Veracode, hat einige Tipps für den sicheren Umgang mit Software-Zulieferern:

1. Den richtigen Zulieferer wählen
Bei den Kriterien für die Auswahl des richtigen Software-Herstellers liegt es nahe, zunächst darauf zu achten, dass dieser bereits sichere Anwendungen entwickelt und verkauft. Doch wie lässt sich das feststellen? In der IT-Branche haben sich noch keine standardisierten Verfahren etabliert, die sichere Hersteller zertifizieren. Das Whitepaper des amerikanischen Financial Services Information Sharing and Analysis Center (FS-ISAC) beschäftigt sich jedoch schon mit Kriterien, die Drittanbieter-Software erfüllen sollte, darunter unter anderem die Analyse der Software-Zusammensetzung sowie binär-statische Analysen zum Aufdecken von Schwachstellen. Bis es feste Standards gibt, müssen sich Unternehmen selbst über die Vorgehensweise der Software-Anbieter informieren.

2. Auf bereits vorhandene Zulieferer vertrauen
Unternehmen und Software-Zulieferer haben oft schon bestehende Beziehungen, die sich nicht von heute auf morgen ändern lassen. Für solche lassen sich etwa die 80/20 Regel und die Low-Hanging-Fruit-Strategie anwenden. Bei der 80/20-Regel identifizieren Unternehmen ihre Top-Software-Zulieferer und beginnen bei diesen mit dem eventuell notwendigen Transformationsprozess. Nach der Low-Hanging-Fruit-Strategie nutzen Unternehmen Zulieferer, die bereits Sicherheitskriterien vorweisen, als positives Vorbild für andere.

3. Compliance-Vorgaben und Konsequenzen
Von großer Bedeutung für die Transformation von Software-Lieferketten sind klar definierte Regeln und Voraussetzungen für die Zusammenarbeit zwischen Unternehmen und Software-Herstellern. Solche Compliance-Vorgaben müssen mit strengen Konsequenzen verknüpft und offen an Zulieferer kommuniziert werden. So können Unternehmen unter anderem Software-Tests und deren Häufigkeit, feste Fixzeiten sowie eine Risikotoleranz festlegen. Erfüllen Drittanbieter die Voraussetzungen nicht oder nur teilweise, drohen ihnen Preisnachlässe oder eine Beendigung des Vertragsverhältnisses.

4. Vorteile für Zulieferer hervorheben
Nicht immer ist das Risiko einen Kunden zu verlieren für Drittanbieter Grund genug, Compliance-Vorgaben einzuhalten. Deshalb sollten Unternehmen nicht nur Konsequenzen, sondern auch die mit der Einhaltung verbundenen Vorteile für Zulieferer aufzeigen. Das geschieht am besten anhand realer Daten, wie beispielsweise die Rentabilität einer binär-statischen Analyse im Vergleich zu einem manuellen Penetrationstest zur Aufdeckung von Anwendungsschwachstellen.

5. Zusammen an Innovationen arbeiten
Unternehmen, die sichere Lieferketten entwickeln wollen, sollten sich auch auf ihre Partnerschaft mit ihren Software-Herstellern zurückbesinnen. Wird das Thema Software-Sicherheit etwa als gemeinschaftliches Ziel dargestellt, werden nicht nur Vorgaben von Zulieferern sicher besser akzeptiert, sondern es wird auch leichter, neue Sicherheitskriterien zu etablieren.

Sicherheit an erster Stelle
Zulieferer und Partner helfen Unternehmen oft dabei, schneller, innovativer und kosteneffektiver zu arbeiten. Auch die Software-Branche stellt hier keine Ausnahme dar. Ein Unternehmen kann nicht jede Anwendung selbst entwickeln. Deshalb sollte die Sicherheit von Drittanbieter-Lösungen an erster Stelle stehen. Weitere Best Practice-Beispiele und bereits existierende Initiativen aus der IT können bei der erfolgreichen Einführung von Software-Sicherheitsstandards helfen – unabhängig davon, ob diese intern oder extern eingesetzt werden.
(Veracode: ra)



Veracode: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Nachhaltigkeitsberichtsstandards

    "Wie steht Ihr Unternehmen beim Thema Nachhaltigkeit da?" ? darauf lässt sich zukünftig nicht mehr mit einem "Och, ganz gut" antworten. Die EU-Richtlinie "Corporate Sustainability Reporting Directive" ("Unternehmensnachhaltigkeitsberichtspflicht", CSRD) sollte bis zum 6. Juli 2024 in nationales Gesetz umgesetzt werden. Sie verpflichtet zunächst börsennotierte Unternehmen mit mehr als 500 Mitarbeitern, im Jahr 2025 rückwirkend für 2024 zu berichten. Nicht irgendwie, sondern gemäß der ESRS, der europäischen Nachhaltigkeitsberichtsstandards. In den Folgejahren wird es dann auch kleinere und nicht börsennotierte Unternehmen treffen.

  • Gehaltsabrechnungen korrekt erstellen

    Bis zu 80 Prozent der Gehaltsabrechnungen sind nicht korrekt und jedes zweite Unternehmen musste daher bereits Strafen zahlen. Neben finanziellen und rechtlichen Folgen beeinträchtigen fehlerhafte Abrechnungen auch die Mitarbeiterzufriedenheit. Internationale Teams verstärken diese Problematik weiter, da das Gehaltsmanagement aufgrund unterschiedlicher landesspezifischer Vorschriften noch komplizierter ist.

  • Sanktionen bei Nichteinhaltung

    Am 5. Juli 2024 veröffentlichte die EU den finalen Gesetzestext zur EU-Lieferkettenrichtlinie, die sogenannte Corporate Sustainability Due Diligence Directive (CSDDD). Nun haben die Mitgliedstaaten zwei Jahre Zeit, die CSDDD in nationales Recht umzuwandeln. Betroffen sind Unternehmen mit mehr als 1.000 Mitarbeitern und einem weltweiten Nettoumsatz über 450 Mio. Euro.

  • Regulierung und Beaufsichtigung von Banken

    Nach der Finanzkrise 2008 war es notwendig, die aufsichtsrechtliche Regulierung der Banken zu verändern. Damit sollte die Finanzstabilität gesichert werden. Seitdem hat sich das europäische Bankensystem als stabil und das Regulierungssystem als wirksam erwiesen, beispielsweise während der Turbulenzen rund um das US-amerikanische Bankensystem im Frühjahr 2023.

  • Prozess zur Zertifizierung des Benutzerzugriffs

    Zugriffs-Zertifizierung beschreibt die unabhängige Prüfung der Zugriffsrechte durch einen Auditor. Dieser untersucht, ob die den Benutzern gewährten Rechte wirklich notwendig sind. Ein gründlicher Prozess zur Zertifizierung des Benutzerzugriffs stellt sicher, dass die digitale Identität jedes Mitarbeiters nur die Berechtigungen hat, welche für die Erfüllung seiner Aufgaben nötig sind. So wird auch die Sicherheit der internen Daten gewährleistet.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen