Sie sind hier: Home » Markt » Hinweise & Tipps

Fünf Tipps für eine sichere Software-Lieferkette

Compliance-Vorgaben müssen mit strengen Konsequenzen verknüpft und offen an Zulieferer kommuniziert werden
Bei den Kriterien für die Auswahl des richtigen Software-Herstellers liegt es nahe, zunächst darauf zu achten, dass dieser bereits sichere Anwendungen entwickelt und verkauft

(08.03.16) - Im Durchschnitt stammen heute mehr als die Hälfte der Anwendungen eines Unternehmens (über 62 Prozent) von externen Entwicklern. Unternehmen lagern also die Anwendungsentwicklung vermehrt aus. Gründe dafür sind vielfältig und reichen von nicht vorhandenen internen Kompetenzen sowie Ressourcen bis hin zu Kosteneffizienz. Wie aber können Entscheider sicherstellen, dass die eingekaufte Software sicher genug ist? Schließlich können gerade Cyber-Angriffe einem Unternehmen enormen Schaden zufügen – etwa, wenn Cyber-Kriminelle über Schwachstellen in eingekauften Anwendungen auf sensible Kunden- und/oder Unternehmensdaten zugreifen können.

Arved Graf von Stackelberg, Director Central Europe beim Anwendungssicherheits-Spezialisten Veracode, hat einige Tipps für den sicheren Umgang mit Software-Zulieferern:

1. Den richtigen Zulieferer wählen
Bei den Kriterien für die Auswahl des richtigen Software-Herstellers liegt es nahe, zunächst darauf zu achten, dass dieser bereits sichere Anwendungen entwickelt und verkauft. Doch wie lässt sich das feststellen? In der IT-Branche haben sich noch keine standardisierten Verfahren etabliert, die sichere Hersteller zertifizieren. Das Whitepaper des amerikanischen Financial Services Information Sharing and Analysis Center (FS-ISAC) beschäftigt sich jedoch schon mit Kriterien, die Drittanbieter-Software erfüllen sollte, darunter unter anderem die Analyse der Software-Zusammensetzung sowie binär-statische Analysen zum Aufdecken von Schwachstellen. Bis es feste Standards gibt, müssen sich Unternehmen selbst über die Vorgehensweise der Software-Anbieter informieren.

2. Auf bereits vorhandene Zulieferer vertrauen
Unternehmen und Software-Zulieferer haben oft schon bestehende Beziehungen, die sich nicht von heute auf morgen ändern lassen. Für solche lassen sich etwa die 80/20 Regel und die Low-Hanging-Fruit-Strategie anwenden. Bei der 80/20-Regel identifizieren Unternehmen ihre Top-Software-Zulieferer und beginnen bei diesen mit dem eventuell notwendigen Transformationsprozess. Nach der Low-Hanging-Fruit-Strategie nutzen Unternehmen Zulieferer, die bereits Sicherheitskriterien vorweisen, als positives Vorbild für andere.

3. Compliance-Vorgaben und Konsequenzen
Von großer Bedeutung für die Transformation von Software-Lieferketten sind klar definierte Regeln und Voraussetzungen für die Zusammenarbeit zwischen Unternehmen und Software-Herstellern. Solche Compliance-Vorgaben müssen mit strengen Konsequenzen verknüpft und offen an Zulieferer kommuniziert werden. So können Unternehmen unter anderem Software-Tests und deren Häufigkeit, feste Fixzeiten sowie eine Risikotoleranz festlegen. Erfüllen Drittanbieter die Voraussetzungen nicht oder nur teilweise, drohen ihnen Preisnachlässe oder eine Beendigung des Vertragsverhältnisses.

4. Vorteile für Zulieferer hervorheben
Nicht immer ist das Risiko einen Kunden zu verlieren für Drittanbieter Grund genug, Compliance-Vorgaben einzuhalten. Deshalb sollten Unternehmen nicht nur Konsequenzen, sondern auch die mit der Einhaltung verbundenen Vorteile für Zulieferer aufzeigen. Das geschieht am besten anhand realer Daten, wie beispielsweise die Rentabilität einer binär-statischen Analyse im Vergleich zu einem manuellen Penetrationstest zur Aufdeckung von Anwendungsschwachstellen.

5. Zusammen an Innovationen arbeiten
Unternehmen, die sichere Lieferketten entwickeln wollen, sollten sich auch auf ihre Partnerschaft mit ihren Software-Herstellern zurückbesinnen. Wird das Thema Software-Sicherheit etwa als gemeinschaftliches Ziel dargestellt, werden nicht nur Vorgaben von Zulieferern sicher besser akzeptiert, sondern es wird auch leichter, neue Sicherheitskriterien zu etablieren.

Sicherheit an erster Stelle
Zulieferer und Partner helfen Unternehmen oft dabei, schneller, innovativer und kosteneffektiver zu arbeiten. Auch die Software-Branche stellt hier keine Ausnahme dar. Ein Unternehmen kann nicht jede Anwendung selbst entwickeln. Deshalb sollte die Sicherheit von Drittanbieter-Lösungen an erster Stelle stehen. Weitere Best Practice-Beispiele und bereits existierende Initiativen aus der IT können bei der erfolgreichen Einführung von Software-Sicherheitsstandards helfen – unabhängig davon, ob diese intern oder extern eingesetzt werden.
(Veracode: ra)

Veracode: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>

Meldungen: Markt / Hinweise & Tipps

Compliance-Anforderungen im Griff
Seit dem 01.01.2023 gilt das neue Lieferkettensorgfaltspflichtengesetz in Deutschland für Unternehmen mit mehr als 3.000 Beschäftigten. Ab Anfang 2024 wird es auch für Firmen mit mehr als 1.000 Mitarbeitenden zur Pflicht. Unternehmen müssen nun einen umfassenden Katalog von Verboten beachten, wozu unter anderem Zwangs- und Kinderarbeit sowie Missachtung von Gesundheitsschutz zählen.
Verstöße gegen Compliance-Vorgaben
Wachsende Datenberge, aufwändige manuelle Prozesse und strenge gesetzliche Vorgaben: Die Arbeit von Legal- und Compliance-Teams steht vor großen Herausforderungen. Exterro, Anbieter von Legal-GRC-Software, die E-Discovery, digitale Forensik, Datenschutz und Cybersecurity-Compliance vereint, hat drei Trends definiert, die die Branche in den nächsten Monaten prägen werden.
Die hohe Kunst der AGB
Allgemeine Geschäftsbedingungen - kurz AGB - gelten für viele Unternehmer als Fluch und Segen zugleich. Doch wer die Antwort auf die Frage sucht, welche Regelungen in den AGB enthalten sein müssen, wird wohl überrascht sein, denn die Lösung lautet: gar keine.
Google verbannt "3rd Party Cookies" in 2024
Nutzer sorgen sich schon lange darum, was mit ihren Spuren im Netz geschieht. Das Internet soll auch daher jetzt datenschutzfreundlicher werden. Dafür stehen nicht nur Regeln wie die DSVGO, sondern auch die Ankündigung, dass Google Cookies von Marketingdienstleistern ("3rd Party Cookies") 2024 aus dem Chrome-Browser verbannt. Das Online-Marketing wird also in Zukunft anders funktionieren. Wie können sich Unternehmen darauf vorbereiten? Diese drei Aspekte sollten Sie auf der Rechnung haben.
LkSG: Aus der Pflicht eine Kür machen
Das Lieferkettengesetz zwingt zurzeit viele Unternehmen sich systematisch mit ihren Lieferketten und ihrem Lieferantenmanagement zu befassen. Dies ist zunächst zwar eine lästige Pflicht; doch darin ruht auch die Chance, im Markt ein nachhaltiges Profil zu zeigen.

Steuerliche Behandlung des Fuhrparks Pauschalierung ein steuerrechtliches Wahlrecht

Fachartikel

Cyberkrieg: Wenn der Verhandlungspartner fehlt
Produzenten und Versorger in den Bereichen Energie, Wasser, Finanzwesen und Gesundheit sowie Industrieunternehmen geraten zunehmend ins Visier von Angreifern. Die Folge: millionenschwere Produktionsausfälle und Versorgungsengpässe, bis hin zur Gefährdung von Menschenleben. Jüngste Beispiele sind etwa Attacken auf die größte Pipeline der USA, die irische Gesundheitsbehörde oder ein Vorfall in einem kroatischen Umspannwerk, der Europa an den Rand eines Strom-Blackouts führte.
Nutzung von "Compliance-Storage"
Auf dem Weg zur Digitalisierung von Akten müssen Unternehmen gesetzliche Vorgaben, Branchenanforderungen sowie Vorschriften für spezielle Akten oder Steuerunterlagen berücksichtigen. Das macht ihnen die Wahl einer geeigneten IT-Lösung nicht unbedingt leichter. Eine Orientierungshilfe bieten hier Zertifizierungen die den Nachweis für die Konformität der Archivierungsmaßnahmen mit gesetzlichen Vorschriften wie der GoBD oder der Schweizer GeBüV erbringen. In Zusammenarbeit mit Daniel Spichty, Partner beim Schweizer Kompetenzzentrum Records Management, gibt DMS-Spezialist Kendox einen Überblick über den Status Quo, die Anforderungen sowie Herausforderungen und fasst zusammen, worauf Unternehmen zukünftig bei der digitalen Archivierung achten müssen und warum die GeBüV als Benchmark für Compliance-Anforderungen gilt.