Masterclass widmet sich der IT-Sicherheit in der Software Supply Chain
Digitale Produkte und Dienstleistungen sind auf sichere Software angewiesen, um Kundendaten zu schützen und sich gegen Cyberangriffe zu wehren – und Gesetze wie der Cyber Resilience Act nehmen Unternehmen künftig viel stärker in die Pflicht! Mit dieser Botschaft beteiligte sich das Fraunhofer IEM im März 2024 an der branchenübergreifenden Digital-Messe TRANSFORM. Ein Highlight war die Masterclass zum Thema Software Supply Chain Security. Die Wissenschaftler stellten rund 30 Teilnehmer:innen effektive Methoden für eine sichere Softwareentwicklung über die gesamte Wertschöpfungskette vor.
Software ist oft kompliziert und setzt sich aus vielen Teilen – auch Open Source-Komponenten – zusammen, die wiederum voneinander abhängig sind. Dies führt zu einer komplexen Software-Lieferkette und jede Schwachstelle darin kann die Sicherheit des gesamten Produkts oder der Dienstleistung gefährden. „Es wird immer deutlicher, dass Software Security nicht nur ein technisches Thema ist: Von den Entwickler:innen über die Product Owner:innen bis ins Management betrifft es alle Rollen im Entwicklungsprozess“, hebt Dr. Matthias Becker, Abteilungsleiter Sichere Services & Apps am Fraunhofer IEM hervor.
Masterclass bindet unterschiedliche Akteur:innen ein
Aus diesem Grund richtete sich die Masterclass gezielt an Akteur:innen entlang der gesamten Software-Wertschöpfungskette: Entwicklerteams, Product Owner:innen und das Management. „In ersten Gesprächen auf der TRANSFORM haben wir immer wieder gehört, dass Security doch Aufgabe der Security-Abteilung oder der Entwicklungsteams ist. Glücklicherweise konnten wir viele davon überzeugen, dass diese Sichtweise unvollständig ist und Security Aufgabe des gesamten Unternehmens ist“, berichtet Dr. Matthias Becker.
Die Teilnehmer:innen lernten, wie sie ihre Softwareprojekte automatisiert einem Gesundheitscheck unterziehen und somit Gefahren in ihrer Software Supply Chain frühzeitig erkennen können. Die Wissenschaftler des Fraunhofer IEM stellten in diesem Kontext den Software Project Health Analyzer (SPHA) vor, den sie derzeit für die Plattform OpenCoDE des Zentrums für Digitale Souveränität (ZenDiS) und des Bundesinnenministeriums entwickeln. Das anpassbare Kennzahlensystem bewertet etwa die Security und die Qualität von Softwareprojekten und deren Open-Source-Komponenten.
Security-Gesetzgebung: Gut gerüstet für CRA, NIS-2 und Co.
Die Masterclass des Fraunhofer IEM bereitete die Teilnehmer:innen auch auf neue rechtliche Vorgaben im Bereich Software Sicherheit vor: Neue Gesetze wie der Cyber Resilience Act, Digital Operational Resilience Act und NIS-2 verpflichten Unternehmen, die IT-Sicherheit ihrer Software Supply Chain zu gewährleisten. „Wir konnten unsere Teilnehmer:innen sensibilisieren – hatten aber auch Zeit, erste Lösungsansätze aufzuzeigen. Das ist gerade bei einem so komplexen Thema wie Software Security sehr wichtig. Wir wollen schließlich nicht weiter verunsichern, sondern aufzeigen, dass es für Unternehmen jeder Größe und Branche gute Lösungsansätze gibt, das Thema anzugehen und sich zu verbessern“, betont Jan-Niclas Strüwer, Wissenschaftler am Fraunhofer IEM.