Angriffe auf Software-Lieferketten wie bei SolarWinds, XZ-Utils oder npm zeigen: Vertrauen allein reicht nicht mehr. CRA und NIS2 fordern erstmals, dass Software ihre Sicherheit technisch belegt – nachvollziehbar und überprüfbar. Hersteller müssen sichere Entwicklung attestieren, Betreiber diese Nachweise validieren. Sicherheit wird zur überprüfbaren Eigenschaft.
CRA und NIS2 fordern überprüfbare Software-Sicherheit. Hersteller müssen sichere Entwicklung attestieren, Betreiber diese Nachweise durch SBOM und Provenance validieren.
Software ist zu einem Produkt globaler Zusammenarbeit geworden: Hunderte Bibliotheken, Open‑Source‑Komponenten und eigener Code fließen über automatisierte Build‑Pipelines in moderne Anwendungen ein. Eine Komplexität, die ihren Preis hat: Angriffe wie die Backdoor-Platzierungen im sogenannten „Sunburst“-Hack und XZ-Utils sowie kompromittierte CI/CD‑Systeme verdeutlichen, wie verwundbar Software‑Lieferketten geworden sind – und wie stark sie zunehmend in den Fokus von Hackerangriffen geraten.
Ein Kontext, in dem unter anderem der Cyber Resilience Act (CRA) und die NIS2 Richtlinie Abhilfe schaffen sollen. Erstmals existiert ein regulatorischer Rahmen, der Sicherheit nicht nur fordert, sondern für beide Enden der Supply Chain verbindlich macht: Der Hersteller muss belegen können, dass seine Software sicher entstanden ist. Der Betreiber muss überprüfen, ob diese Nachweise plausibel und vollständig sind.
Der CRA definiert Mindeststandards für die Entwicklung und Wartung von Software. Er verlangt, dass Sicherheit von Beginn an Teil des Entwicklungsprozesses ist. Dazu gehören nachvollziehbare Entwicklungs- und Build‑Prozesse, verpflichtende Sicherheitsmaßnahmen, ein dokumentierter Umgang mit Schwachstellen und vor allem Transparenz: Über eine Software Bill of Materials (SBOM) müssen Hersteller offenlegen, welche Komponenten sie verwenden. Updates müssen sicher ausgeliefert werden und damit signiert und eindeutig dem Hersteller zuzuordnen sein – ein Schutz gegen manipulierte oder eingeschleuste Artefakte.
NIS2 nimmt dagegen die Betreiber in die Pflicht. Unternehmen, die kritische Dienste anbieten, müssen sicherstellen, dass die eingesetzte Software vertrauenswürdig ist und dass Hersteller ihre Produkte nachweislich sicher bauen. Die Verantwortung endet nicht beim Softwarekauf: Betreiber müssen Herkunft, Integrität und Aktualität der eingesetzten Software prüfen, Risiken dokumentieren und regelmäßig bewerten.
Aus beiden Perspektiven entsteht ein durchgängiges Modell von Verantwortung.
Dass sich der Fokus der Regulierungen auf die Lieferkette verschiebt, ist die logische Konsequenz aus der Weiterentwicklung der Angriffsvektoren. Immer mehr erfolgreiche Angriffe nehmen ihren Anfang in der Entstehung einer Anwendung. Wenn böswillige Akteure eine Build‑Pipeline kompromittieren oder manipulierte Open‑Source‑Bibliotheken in ein Produkt schleusen, lässt sich der Schaden kaum noch begrenzen. Eine einzige Schwachstelle kann sich potenziert auf hunderte oder tausende nachgelagerte Systeme auswirken.
In Unternehmensnetzwerken und Produktionsumgebungen können operative Störungen bei kritischen Geschäftsprozessen auftreten sowie sensible Daten entwendet oder vernichtet werden. Ausfälle in kritischen Infrastrukturen können sogar erhebliche gesellschaftliche oder gesamtwirtschaftliche Folgen nach sich ziehen.
Daher definieren CRA und NIS2 eine gemeinsame Erwartung: Software muss nicht nur funktionieren, sie muss nachweislich sicher entstehen. Das verändert die Dynamik zwischen Herstellern und Betreibern grundlegend. Sicherheit ist nicht länger eine Frage des Vertrauens. Sie muss lückenlos überprüfbar sein – und überprüft werden.
Integrität und Provenance: Die neuen Eckpfeiler echter Software-Sicherheit
Zwei Konzepte rücken damit in den Mittelpunkt: Software-Integrität und Software-Provenance.
Integrität beschreibt die Frage, ob ein Softwareartefakt unverändert und echt ist. Digitale Signaturen, Hashes und nachprüfbare Build‑Prozesse ermöglichen es Betreibern, Updates kryptografisch zu validieren, bevor sie in produktive Systeme gelangen. Nur wenn die Quelle zweifelsfrei identifizierbar ist und potenzielle Manipulationen zuverlässig erkannt werden können, kann ein Update als vertrauenswürdig gelten.
Provenance geht einen Schritt darüber hinaus. Sie beschreibt den kompletten Entstehungsprozess eines Artefakts: Wo wurde es gebaut, mit welchen Komponenten, mit welchen Sicherheitsmechanismen? Stammt es aus einer reproduzierbaren, manipulationssicheren Pipeline? Standards wie SLSA oder signierte SBOMs liefern hier erstmals maschinenlesbare und fälschungssichere Nachweise.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die Provenance-Daten sind der Schlüssel, anhand dessen Betreiber nachweisen können, dass sie ihrer Sorgfaltspflicht aus NIS2 nachkommen – und Hersteller die Vorgaben des CRA erfüllen.
In der Praxis ist es wirtschaftlich jedoch kaum zu bewerkstelligen, dass tausende Anwender eines Produkts den Hersteller jeweils selbst überprüfen. Entsprechend können zu diesem Zweck spezialisierte Software-Supply-Chain-Security-Plattformen wie etwa SignPaths DevSec360 zum Einsatz kommen. Ihr zentraler Vorteil besteht darin, dass sie solche Nachweise automatisiert und kryptografisch abgesichert erzeugen.
Ähnlich wie eine notarielle Beglaubigung, stellen diese einmalig sicher, dass der Entwicklungsprozess tatsächlich so ablief wie die Dokumentation dies beschreibt. Hersteller müssen so nicht länger auf Dokumente oder manuelle Auditberichte verweisen, sondern können die Einhaltung eines sicheren Software Development Lifecycle direkt im Build‑Prozess attestieren lassen. Signierte Provenance‑Daten, SBOMs oder Build‑Attestierungen bilden einen nicht manipulierbaren Nachweis der Entstehung.
Betreiber können diese Nachweise dann automatisiert prüfen und validieren. So lässt sich etwa vor jedem Deployment prüfen, ob die Signatur eines Artefakts gültig ist, ob die mitgelieferten Provenance‑Informationen ausreichend sind, und ob die SBOM mit dem tatsächlichen Inhalt des Artefakts übereinstimmt. Somit werden jene Nachweise validierbar, die vom Hersteller bereitgestellt werden müssen. Compliance ist damit nicht länger eine administrative Zusatzaufgabe, sondern integrierter Teil der technischen Qualitätssicherung.
Für alle nötig: Eine überprüfbare Ende-zu-Ende-Vertrauenskette
Nur wenn Hersteller ihre Software konsequent attestieren lassen und Betreiber diese Nachweise automatisiert prüfen, kann eine echte Ende-zu-Ende-Vertrauenskette entstehen. Jede Komponente, jedes Update und jeder Build‑Schritt müssen nachvollziehbar werden. Erst dann ist Sicherheit nicht länger nur ein Ergebnis guter Prozesse, sondern eine überprüfbare Eigenschaft eines Produkts.
Den zentralen Schlüssel hierzu bildet ein automatisierter, Zero-Trust-basierter und regulatorisch belastbarer Sicherheits-Layer, der die gesamte Software-Entwicklung und -Auslieferung lückenlos abdeckt.
CRA und NIS2 schaffen dafür die regulatorischen Grundlagen. Sie verpflichten Hersteller und Betreiber, Transparenz und Nachvollziehbarkeit in den Mittelpunkt zu stellen und ermöglichen damit erstmals, Softwarevertrauen durch objektive, maschinenlesbare Nachweise zu untermauern. Europa geht damit einen Schritt voran: weg von freiwilligen Standards, hin zu verbindlicher, überprüfbarer Software‑Sicherheit.
Über die Autoren: Stefan Wenig ist Gründer und CEO von SignPath. Florian Lukavsky ist Chief Innovation Officer von SignPath.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/bd/e8/bde8a5d7b7849edc4eabd65c8fd51234/0130163936v2.jpeg "Nutzen Hacker die Sicherheitslücke EUVD-2026-12570 / CVE-2026-3888 erfolgreich aus, können sie Root-Rechte erlangen und dadurch vollständigen Zugriff auf das System erhalten, was ihnen ermöglichen könnte, kritische Systemdateien zu manipulieren, persönliche Daten zu stehlen oder Malware zu installieren. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/62/5d/625dd4f343e305d929e442997906cba8/0130193004v2.jpeg "Die Hacker gelangen an die Daten von asgoodasnew-Kunden, indem sie eine Sicherheitslücke in einem Zahlungsmodul ausnutzten, das von dem Drittanbieter Oxid eShop bereitgestellt wurde. (©MicroOne - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/19/50/1950954f6d13515c8f17410f2dc0954b/0130399939v2.jpeg "Bei einer Cyberattacke Ende März auf Die Linke, wurden Mitarbeiterdaten gestohlen. Mitgliederdaten sind von dem Vorfall nicht betroffen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/46/97/4697933f44abb619988f1b2044aa8f55/0128888135v1.jpeg "Ärztinnen und Ärzte nutzen häufiger KI als ihre medizinischen Fachangestellten. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f0/28/f028df8ccd13e82c2e4852a9be84564f/0130316618v2.jpeg "Cyber-physische Systeme verschmelzen IT und OT. Manipulation von kritischen Maschinen oder Geräten kann Produktionsausfälle oder sogar Lebensgefahr verursachen. (Bild: © Chopang.studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/35/84/3584337f6e823e3ab1d8c47935d9449a/0130155465v2.jpeg "Die CISA warnt vor zwei aktiv ausgenutzten Schwachstellen im Wing FTP Server: EUVD-2025-21020 / CVE-2025-47813, die es Angreifern ermöglicht, den lokalen Installationspfad der Anwendung zu ermitteln, und die kritische EUVD-2025-21009 / CVE-2025-47812, die zu Remote Code Execution führen kann. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/b8/71b89342d5495344574b15b04a52df74/0130317518v2.jpeg "CRA und NIS2 fordern überprüfbare Software-Sicherheit. Hersteller müssen sichere Entwicklung attestieren, Betreiber diese Nachweise durch SBOM und Provenance validieren. (Bild: © Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/83/80832d33f44c7d00f2e5b873efb154de/0130371229v1.jpeg "Der Bundestag hat die Entwürfe zum Data Act und zum Daten Governance Gesetz mit Änderungen verabschiedet. Nun können die EU‑Vorgaben in deutsches Recht umgesetzt werden. (Bild: Casiana Malaia's via Canva)")
:quality(80)/p7i.vogel.de/wcms/de/92/de92f58a279ad049bc265bade34417bd/0130135264v2.jpeg "Besonders GitHub ist von GlassWorm betroffen, da Angreifer den Schadcode in weit verbreitete Repositories einschleusen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/76/be/76be41bcde463802c9329eded5d45c6f/0130237353v1.jpeg "Identitätssysteme wie Entra ID kontrollieren den Zugang zu kritischen Flughafen-Systemen. Ein Ausfall legt den gesamten Betrieb lahm. (Bild: © WICHAI – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/72/83729b923e87317b94edad7d73b89051/0130146252v2.jpeg "Keycloak ermöglicht Single Sign-on und Identitätsmanagement mit Open-Source-Freiheit, erfordert aber erhebliches Spezialwissen für Konfiguration und produktiven Betrieb. (Bild: © THAWEERAT - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/9c/259c3c848c25e584592e4ea7928f5fe3/0126593157v1.jpeg "Eine Cloud Native Application Protection Platform (CNAPP) ist eine Sicherheitsplattform mit umfassenden Sicherheitsfunktionen für ein ganzheitliches Sicherheitskonzept zum Schutz cloudnativer Anwendungen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/af/97/af97245494f5ed2d9e7a5e85d635821e/0129347165v2.jpeg "Am 15. September 2025 schlug der Entwickler Daniel Pereira Alarm: Er entdeckte, dass das beliebte npm-Paket „@ctrl/tinycolor“ mit Malware infiziert worden war. (Bild: © Creative_Bringer - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/16/0c1616e7d4fe49725f7853570acefd7f/0112150345v4.jpeg "Gefahr gebannt? Wohl kaum; im Gespräch mit uns vermutet Dr. Pfeifer hinter den Angreifern auf die xz-Tools potentielle Wiederholungstäter. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/a4/82/a482b10466fe1e02cef427898577953f/0123523984v2.jpeg "Security-Experten von Sphera ermittelten im Jahr 2023 einen Anstieg von 62 Prozent gegenüber 2022 bei cyberbedingten Lieferkettenproblemen. (Bild: Aidas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9c/c1/9cc1a5c571cee9fb15acf60a07b230e1/0129075722v4.jpeg "Der Cyber Resilience Act fordert ab 2027 Security by Design, OTA-Updates, SBOMs und 24-Stunden-Meldungen für vernetzte Produkte. (Bild: © Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/fc/4cfcd4772748b18f538f0157b1cbdf8f/0127931875v2.jpeg "In 28 Prozent der Fälle gab es der Bitkom-Umfrage zumindest den Verdacht, dass ein Zulieferer das Einfallstor für Cyberkriminelle war. (Bild: Bitkom Research 2025)")
:quality(80)/p7i.vogel.de/wcms/07/17/071777879046e5c3fe439bf33688ea58/0116975583.jpeg "Gartner prognostiziert, dass bis 2025 45 Prozent der Unternehmen Angriffe auf ihre Software-Lieferketten erleben werden. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/03/0303ccc7d677075a1b793250917ada59/0129386519v1.jpeg "Das vertraute Admin-Werkzeug Notepad++ wurde zwischen Juni und Dezember 2025 zum Trojanischen Pferd: Die staatliche APT-Gruppe Lotus Blossom kaperte die Update-Infrastruktur für gezielte Spionage, während die Cybercrime-Bande Black Cat parallel gefälschte Download-Seiten streute. (Bild: © Art_spiral - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/7a/637a2bfec49b3d45e54e48da84f6d3cd/0128524440v2.jpeg "2026 verknüpfen Angreifer kompromittierte Software-Lieferketten mit der Übernahme exponierter Edge-Geräte. Verkürzte Exploit-Fenster machen Segmentierung, überprüfbare Provenienz und schnelle Patches zentral. (Bild: © anaumenko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c5/cf/c5cfcb9be4f93fad382f7051b6a28ad0/0126746504v2.jpeg "OT-Security schützt vernetzte Produktionsanlagen vor Ransomware und senkt das Risiko kostspieliger Betriebsunterbrechungen. (Bild: Dall-E / KI-generiert)")