Cyberangriffe auf die Software-Supply-Chain können für Unternehmen weitreichende Konsequenzen nach sich ziehen. Aus diesem Grund sollten die Verantwortlichen dafür sorgen, dass die Lieferkette so sicher wie möglich ist. Dabei helfen Zusatztools, mit denen die Sicherheit deutlich erhöht werden kann.
Angriffe auf die Software Supply Chain machen deutlich: Unternehmen können sich nicht mehr blind darauf verlassen, dass Code-Komponenten die sie nutzen auch sicher sind.
(Bild: Eisenhans - stock.adobe.com)
In vielen Fällen bestehen Anwendungen und Lösungen in Unternehmen nicht mehr aus Code-Bestandteilen, die komplett selbst geschrieben oder auf Basis einer gemeinsamen Codeplattform entwickelt wurden. Oft enthalten Anwendungen zusätzliche Komponenten, meistens auf Basis von Open Source. Dabei besteht aber die Gefahr, dass Sicherheitslücken dieser Komponenten auch auf den Rest der Anwendung Auswirkung haben. Dieser externe Code ist leider nicht immer gut dokumentiert.
Um diesen Vorteil zu nutzen, ist es sinnvoll wichtige Informationen der eingesetzten Open Source-Komponenten zu dokumentieren, um damit die Software-Lieferkette auf stabile Beine zu stellen. Bei einer Software-Stückliste (Software Bill of Materials, SBOM) gibt es für jede Anwendung eine umfassende Liste von externen Komponenten und auch deren Version. So lässt sich jederzeit exakt nachverfolgen, wo Nacharbeiten, Aktualisierungen oder Verbesserungen notwendig sind. Wir stellen in diesem Beitrag einige Lösungen aus diesem Bereich vor. Viele bieten einen kostenlosen Einstieg, mit dem Entwickler schnell erste Schritte in der Praxis durchführen und ihren Code schnell absichern können.
App-Scanner und Software-Kataloge helfen bei der Absicherung von Software
Wenn dann noch kein Softwarekatalog vorhanden ist, aus dem hervorgeht aus welchen Bestandteilen eine Software besteht, gehen Unternehmen nahezu unkalkulierbare Risiken ein, weil sie nicht wissen, ob Anwendungen Lücken enthalten, weil bereits die Komponenten Lücken aufweisen, die wiederum von Angreifern ausgenutzt werden. Ein Beispiel dafür ist die Log4j-Schwachstelle. Die Java-Bibliothek ist in vielen Anwendungen enthalten, ohne dass Unternehmen das wissen.
Das Verzichten auf Open Source-Komponenten ist kein sinnvoller Weg, da die Funktionen der Open Source-Komponenten oft notwendig sind, um auch die Funktionalität der Anwendungen bereitzustellen. Stücklisten sind ein wichtiger Ansatz, da dadurch eine Liste vorhanden ist, welche Komponenten in einer Anwendung vorhanden sind. Dadurch lässt sich auch schnell feststellen, ob eine Anwendung auf Grund der Open Source-Komponenten Sicherheitslücken vorhanden sind.
Laut einer Umfrage des Softwareunternehmens Synopsys verwenden inzwischen fast drei Viertel der befragten Unternehmen AppSec-Tools für mehr als die Hälfte ihrer Softwareprojekte. Gartner hat diese Vorgehensweise bereits 2019 als „Application Security Orchestration and Correlation“ bezeichnet. AppSec-Tools in Softwareprojekten und Application Security Testing-Tools stellen zusammen mit entsprechenden Entwicklungs-Pipelines in DevOps-Umgebungen sicher, dass die gelieferten Anwendungen, inklusive aller Komponenten, maximal sicher sind und es in Zukunft auch bleiben. Eine Integration in CI/CD-Pipelines ist in dieser Hinsicht ein weiterer Bestandteil. Die verwendeten AppSec-Scanner laufen in der Pipeline ständig mit und untersuchen integrierte Komponenten.
Crowd Security kann auch gegen Angreifer auf Software-Lieferketten zum Einsatz kommen
Crowd Security kann vor allem dann zum Einsatz kommen, wenn eine Community gemeinsam gegen Cyberkriminelle vorgeht. Tools wie CrowdSec können auf Rechnern der Mitglieder einer Community auch gegen Angriffe auf Log4j vorgehen. Die Mitglieder der Community erhalten Informationen der ausgewerteten Daten und können dadurch ihr eigenes Intrusion Detection System (IDS) aufbauen.
Alle Teilnehmer im System sammeln Daten ein und stellen die Daten den anderen Teilnehmern zur Verfügung. Dadurch haben alle Mitglieder der Community Zugriff auf die Daten der anderen Mitglieder und sind vor Angriffen besser gewappnet. Crowd Security-Systeme arbeiten parallel noch mit Honeypots, um Angreifer anzulocken. Lösungen wie CrowdSec konnten schon Erfolge gegen die Lücken in der Java-Bibliothek Log4j verzeichnen.
Entwickler und Security-Team in perfekter Kooperation: CodeSec
Entwickler können mit Tools aus dem Bereich Interactive Application Security Testing (IAST) dafür sorgen, dass der Code von Beginn an sicher programmiert ist, und daher Sicherheitslücken, so weit es nur möglich ist, vermieden werden. Contrast Security bietet mit CodeSec Tools, mit denen sich SBOMs erstellen und Programmcode auf Sicherheitslücken überprüfen lässt. Der Einstieg in die Software ist kostenlos möglich. Das Tool kann Code testen, eine SBOM erstellen und auch exakt dokumentieren wo es Schwachstellen gibt.
AppSec-Plattform von ShiftLeft kann auch kostenlos genutzt werden
ShiftLeft ist eine Code-Sicherheitsplattform für Entwickler, die SAST, Secrets Detection, Insights, intelligente Software Composition Analysis (SCA) und Sicherheitstraining kombiniert. Die Lösung basiert auf dem Code Property Graph (CPG). Damit ist es möglich den Kontrollfluss, die Programmabhängigkeiten und die Syntaxbäume von Anwendungen in einer einzigen Datenstruktur abbildet. ShiftLeft unterstützt aktuell C#, Go, Java, JavaScript/TypeScript, Kotlin, Python und Scala. Der Free-Plan ist zwar gegenüber den kostenpflichtigen Plänen etwas eingeschränkt, ist für den Einstieg aber mehr als ausreichend.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Snyk scannt eingebettete Open Source und eigenen Code sowie Container
Auch die Lösung von Snyk steht für den Einstieg kostenlos zur Verfügung und kann Programmcode zum Beispiel direkt aus GitHub heraus scannen. Dabei kann das Tool Open Source scannen oder auch den selbst geschriebenen Code.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:quality(80)/p7i.vogel.de/wcms/1b/ed/1bed1a5ca3a2dc167c348e427021f64a/0108731262.jpeg "Tools wie CrowdSec helfen mit einer Community dabei sicherzustellen, dass unsicherer Code schnell erkannt wird. Sinnvoll ist der Einsatz auch bei der Log4j-Lücke.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/3b/29/3b29cdb57e1d990bf904e6cb86575a33/0108731260.jpeg "CrowdSec kann auch in Windows zum Einsatz kommen, also nicht nur von Entwicklern. Die Steuerung kann in der PowerShell erfolgen.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/12/51/1251a7223d55ba17396e6b75dd04261d/0108731261.jpeg "Installieren von CrowdSec auf einem Windows-Server für das Testen nach Sicherheitslücken der eingesetzten Software.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/5d/81/5d812cdc30445269184f803bf74cb3e7/0108731266.jpeg "Mit Szenarions kann CrowdSec auch Sicherheitslücken wie bei Log4j erkennen und Netzwerke absichern.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/37/75/37756b87f396a1428d20a4a8fb47e513/0125125056v1.jpeg "Herkömmliche Tools ignorieren den tatsächlichen Gebrauch, doch die Funktion „Azul Vulnerability Detection“ arbeitet mit produktiven Laufzeitdaten, was das Analysieren tatsächlich genutzter Java-Codepfade erlaubt. (Bild: ghfjfm)")
:quality(80)/p7i.vogel.de/wcms/f5/04/f5042ca90c17b708455122a21b27ea41/0124316477v2.jpeg "Eine Software Composition Analysis ist eine wichtige Sicherheitsmaßnahme in der Softwareentwicklung die auf die Analyse der Zusammensetzung der Codebasis setzt. (Bild: gemeinfrei)")