Fünf Tipps für eine sichere Softwarelieferkette

illu cc0 pixabay aa softwareIm Durchschnitt stammen heute mehr als die Hälfte der Anwendungen eines Unternehmens (über 62 Prozent) von externen Entwicklern [1]. Unternehmen lagern also die Anwendungsentwicklung vermehrt aus. Gründe dafür sind vielfältig und reichen von nicht vorhandenen internen Kompetenzen sowie Ressourcen bis hin zu Kosteneffizienz.

Wie aber können Entscheider sicherstellen, dass die eingekaufte Software sicher genug ist? Schließlich können gerade Cyberangriffe einem Unternehmen enormen Schaden zufügen –etwa, wenn Cyberkriminelle über Schwachstellen in eingekauften Anwendungen auf sensible Kunden- und/oder Unternehmensdaten zugreifen können.

Arved Graf von Stackelberg, Director Central Europe beim Anwendungssicherheitsspezialisten Veracode, hat einige Tipps für den sicheren Umgang mit Softwarezulieferern:

  1. Den richtigen Zulieferer wählen

Bei den Kriterien für die Auswahl des richtigen Softwareherstellers liegt es nahe, zunächst darauf zu achten, dass dieser bereits sichere Anwendungen entwickelt und verkauft. Doch wie lässt sich das feststellen? In der IT-Branche haben sich noch keine standardisierten Verfahren etabliert, die sichere Hersteller zertifizieren. Das Whitepaper des amerikanischen Financial Services Information Sharing and Analysis Center (FS-ISAC) beschäftigt sich jedoch schon mit Kriterien, die Drittanbietersoftware erfüllen sollte, darunter unter anderem die Analyse der Softwarezusammensetzung sowie binär-statische Analysen zum Aufdecken von Schwachstellen. Bis es feste Standards gibt, müssen sich Unternehmen selbst über die Vorgehensweise der Softwareanbieter informieren.

  1. Auf bereits vorhandene Zulieferer vertrauen

Unternehmen und Softwarezulieferer haben oft schon bestehende Beziehungen, die sich nicht von heute auf morgen ändern lassen. Für solche lassen sich etwa die 80/20-Regel und die Low-Hanging-Fruit-Strategie anwenden. Bei der 80/20-Regel identifizieren Unternehmen ihre Top-Softwarezulieferer und beginnen bei diesen mit dem eventuell notwendigen Transformationsprozess. Nach der Low-Hanging-Fruit-Strategie nutzen Unternehmen Zulieferer, die bereits Sicherheitskriterien vorweisen, als positives Vorbild für andere.

  1. Compliance-Vorgaben und Konsequenzen

Von großer Bedeutung für die Transformation von Softwarelieferketten sind klar definierte Regeln und Voraussetzungen für die Zusammenarbeit zwischen Unternehmen und Softwareherstellern. Solche Compliance-Vorgaben müssen mit strengen Konsequenzen verknüpft und offen an Zulieferer kommuniziert werden. So können Unternehmen unter anderem Softwaretests und deren Häufigkeit, feste Fixzeiten sowie eine Risikotoleranz festlegen. Erfüllen Drittanbieter die Voraussetzungen nicht oder nur teilweise, drohen ihnen Preisnachlässe oder eine Beendigung des Vertragsverhältnisses.

  1. Vorteile für Zulieferer hervorheben

Nicht immer ist das Risiko einen Kunden zu verlieren für Drittanbieter Grund genug, Compliance-Vorgaben einzuhalten. Deshalb sollten Unternehmen nicht nur Konsequenzen, sondern auch die mit der Einhaltung verbundenen Vorteile für Zulieferer aufzeigen. Das geschieht am besten anhand realer Daten, wie beispielsweise die Rentabilität einer binär-statischen Analyse im Vergleich zu einem manuellen Penetrationstest zur Aufdeckung von Anwendungsschwachstellen.

  1. Zusammen an Innovationen arbeiten

Unternehmen, die sichere Lieferketten entwickeln wollen, sollten sich auch auf ihre Partnerschaft mit ihren Softwareherstellern zurückbesinnen. Wird das Thema Software-Sicherheit etwa als gemeinschaftliches Ziel dargestellt, werden nicht nur Vorgaben von Zulieferern sicher besser akzeptiert, sondern es wird auch leichter, neue Sicherheitskriterien zu etablieren.

Sicherheit an erster Stelle

Zulieferer und Partner helfen Unternehmen oft dabei, schneller, innovativer und kosteneffektiver zu arbeiten. Auch die Softwarebranche stellt hier keine Ausnahme dar. Ein Unternehmen kann nicht jede Anwendung selbst entwickeln. Deshalb sollte die Sicherheit von Drittanbieter-Lösungen an erster Stelle stehen. Weitere Best-Practice-Beispiele und bereits existierende Initiativen aus der IT können bei der erfolgreichen Einführung von Softwaresicherheitsstandards helfen – unabhängig davon, ob diese intern oder extern eingesetzt werden.

[1] Veracode/Quocirca, Studie: Auslagerung des Problems mit der Software-Sicherheit Foto: cc0 pixabay aa