Manipulierte Pakete in Software-Lieferketten können Millionen Systeme kompromittieren, bevor jemand es bemerkt. Über 50 Prozent der Firmen sehen laut WEF die Supply Chain als größte Herausforderung. Big-Data- und Open-Source-Experte Lars Francke erklärt, warum lange CVE-Listen täuschen: Entscheidend ist der Kontext, nicht die Anzahl der Schwachstellen.
Open Source ermöglicht durch Transparenz kontinuierliche Community-Überprüfung der Software-Lieferkette. Software Bills of Materials machen alle Komponenten nachvollziehbar. Nur wer seine Supply Chain kennt, kann sie auch schützen.
Ransomware war gestern. Statt sich durch Firewalls zu hacken oder Passwörter abzugreifen, schleusen heute viele Cyberkriminelle ihre Schadcodes direkt in die Werkzeuge ein, auf die Entwickler jeden Tag vertrauen. Die Angriffe auf npm, Asus oder PyPI-Tokens zeigen, wie verwundbar moderne Software-Lieferketten sind: Ein einziges manipuliertes Paket kann Millionen Systeme kompromittieren, bevor jemand überhaupt merkt, dass etwas nicht stimmt. Welche Rolle spielen dabei Open und Closed-Lösungen? Und was sollten Unternehmen für ein effektives Schwachstellenmanagement beachten? Das haben wir uns auch bei Stackable gefragt.
Ob Closed Source oder Open Source beim Thema Sicherheit die bessere Wahl ist, darüber werden sich IT-Experten wohl nie einig werden. Fest steht aber, dass Cyberkriminelle beide Systemarten gleichermaßen ins Visier nehmen. Ein relativ neues Phänomen bei quelloffener Software ist, dass die Täter es auf die Supply Chain abgesehen haben. Also auf fertige Programmier-Bausteine, die Entwickler innerhalb der eigenen Software als Zuliefermodule für bestimmte kleine und große Funktionen einbinden. Bei einer Befragung für den letztjährigen Global Cybersecurity Outlook des World Economic Forum (WEF) gaben über 50 Prozent der Organisationen an, dass dies für sie die größte Herausforderung darstellt.
Einen großen Zwischenfall gab es etwa 2019 – das Sicherheitsunternehmen Kaspersky taufte ihn auf den Namen „ShadowHammer“. Dabei wurde das Dienstprogramm Asus Live Update mit einem Backdoor-Trojaner infiziert, der über einen C2-Server weitere Payloads herunterladen konnte. Ein weiteres bekanntes Beispiel ist der Angriff auf GitHub Actions um PyPI-Tokens zu exfiltrieren. Und erst vor wenigen Monaten erwischte es den Paketmanager npm gleich doppelt: Bei einer ersten Attacke erbeuteten die Täter die Zugangsdaten eines Entwicklers und veröffentlichten manipulierte Pakete. Kurz darauf wurde ein Paket mit einem Wurm infiziert, das jede Woche millionenfach heruntergeladen wird.
Beispiele gibt es jedenfalls genug, das zeigt schon diese Momentaufnahme. Was Unternehmen daraus mitnehmen sollten: Die digitale Supply Chain muss genauso gesichert werden wie die physische. In einem Umfeld, bei dem Personen mit böswilligen Absichten für Chaos sorgen können, egal ob Open Source, Closed Source oder im Mix, ist das natürlich leichter gesagt als getan. Was gibt es also für Optionen? Mehr Kapazitäten in die eigene Security zu stecken reicht meist nicht aus und ist nach unserer Erfahrung häufig auch nur schwer in der Praxis umzusetzen. Viele Unternehmen müssen daher darauf vertrauen, dass ihre Softwarelieferanten die eigene Supply Chain absichern. Und da Kontrolle bekanntlich besser als Vertrauen ist, sollten die Lieferanten ein möglichst transparentes Konzept bieten – so unsere Erfahrung.
„Bei proprietären Anbietern muss man Vertrauen haben, während man bei Open Source die Kontrolle hat - und das ist bekanntlich besser.“ sagt Lars Francke, CTO und Mitgründer von Stackable.
(Bild: Stackable)
Als Hersteller einer Data Platform mit unterschiedlichen Open Source-Komponenten auch wir auf eine sichere Lieferkette angewiesen sind Und deshalb haben wir eine spezielle Strategie für unsere Kunden und Partner entwickelt.
Dafür war es zuerst nötig, sich von einem hartnäckig haltenden Vorurteil zu verabschieden. In Sicherheitsreports ist häufig von hunderten offener „Common Vulnerabilities and Exposures“, sogenannten CVEs, zu lesen. Auf den ersten Blick wirken diese Berichte sehr beunruhigend, dabei sind sie meist eher irreführend. Eine lange Liste mit CVEs steht nämlich nicht unbedingt für Unsicherheit – während wenige Einträge nicht automatisch Sicherheit bedeuten. Viel wichtiger ist es, wie relevant die Schwachstelle im jeweiligen Kontext ist.
Ein anschauliches Beispiel aus unserer täglichen Arbeit: Bei dem für Fernzugriffe genutzten Programm OpenSSH gibt es einige bekannte Schwachstellen in der CVE-Datenbank. Und oft schlagen Sicherheitsscanner Alarm, wenn sie in der verwendeten Version eine bekannte CVE entdecken. Ein Risiko gibt es deshalb aber nicht unbedingt. Wir nutzen das Programm beispielsweise nur als Client bzw. um Verbindungen nach außen aufzubauen. Und deshalb sind CVEs bei den serverseitigen Funktionen von OpenSSH für uns nicht von Bedeutung – an anderen Stellen aber natürlich schon.
Wichtig ist es deshalb, bei jedem Sicherheitshinweis Aufwand und Nutzen abzuwägen und sich auf die realen Gefahren zu fokussieren. Es gilt sozusagen herauszufinden, wann der Wolf wirklich kommt. Und dazu gibt es unterschiedliche Möglichkeiten: Wir vergleichen beispielsweise Listen von Vulnerabilities, bei denen eine Ausnutzung nachgewiesen ist, mit CVE-Einträgen. Und wir behalten Exploit-Quellen wie das Proof-of-Concept-Repos auf GitHub oder Metasploit im Auge. Zudem setzen wir auch auf Exploit Prediction Scoring Systeme, kurz EPPS, um die Wahrscheinlichkeit eines Vulnerability-Exploits realistisch einzuschätzen. Letztendlich geht es darum zu evaluieren, ob ein Einfallstor wirklich ausgenutzt wird – nicht, ob es vorhanden ist.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Und lohnt sich dieser Aufwand? Absolut! Wir wollen vor allem ein stabiles Produkt abliefern und es nicht durch vorschnelle Patches unnötig aus dem Gleichgewicht bringen. Das Ziel ist nicht eine möglichst hohe Update-Frequenz, sondern zuverlässige Sicherheit. Und um dieses Ziel zu erreichen, ist der klare Fokus auf Open Source das beste Mittel.
Aktuelle Umfragen zeigen: Open Source fristet kein Nischendasein, sondern ist bei vielen Unternehmen zu einem festen Bestandteil geworden. Im aktuellen Open Source Monitor der Bitkom gaben mehr als 70 Prozent der Befragten an, Open Source in verschiedenen Bereichen einzusetzen. Auf die Frage, welche Themen für sie am wichtigsten sind, antworteten die meisten Teilnehmer: Funktionalität und Sicherheit.
Wie eine Software, bei der jeder User den Quellcode ansehen und ändern kann, für mehr Sicherheit sorgt, ist für Laien vermutlich nicht gleich ersichtlich. Schließlich bekommen so auch Kriminelle Einblick in potentielle Schwachstellen und können sie ausnutzen. Dabei ist es aber gerade diese Transparenz, die für ein sehr hohes Maß an Sicherheit sorgt. Durch die Zusammenarbeit der globalen Community ist der Code unter permanenter Beobachtung. So werden Schwachstellen rasch identifiziert und beseitigt. Und das oft viel schneller als bei proprietären Lösungen, bei denen niemand von außerhalb Zugriff auf den Code hat und Sicherheitsrisiken meist nicht mal öffentlich werden. Kurz gesagt: Bei proprietären Anbietern muss man Vertrauen haben, während man bei Open Source die Kontrolle hat - und das ist bekanntlich besser.
Open Source war deshalb auch für uns das optimale Werkzeug, mit dem wir Sicherheit und Funktionalität kombinieren können. Alles, was wir entwickeln, ändern, anpassen, können alle User jederzeit nachverfolgen. Wir haben die komplette Kontrolle über den Quellcode und das Endprodukt – und dadurch können wir immer nachvollziehen, wie Schwachstellen entstehen. Darüber hinaus erstellen wir für jedes Container-Image unserer Datenplattform eine öffentliche SBOM, also ein Software-Bill-of-Materials, mit der die Bestandteile des Produkts transparent werden und wir alle genutzten Komponenten nach potentiellen Risiken durchleuchten können.
Nur wer seine Supply Chain kennt, kann sie auch schützen. Und dabei kommt es auf Sorgfalt an: Nicht jede Schwachstelle ist eine Gefahr, aber trotzdem verdient jede Aufmerksamkeit. Es gilt, das Schwachstellenmanagement als fortlaufenden Prozess zu betrachten. Wer darüber hinaus auf quelloffene Lösungen setzt, verbessert seine Sicherheitslage entscheidend.
Über den Autor: Lars Francke gehört zu den gefragtesten Big Data- und Open Source-Experten im deutschsprachigen Raum. Über 10 Jahre hat er seine Expertise als Berater und Committer in verschiedenen Unternehmen und Organisationen eingebracht. 2020 hat er zusammen mit Sönke Liebau das Unternehmen Stackable gegründet.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b9/91/b991bd81f0235828d2b7b3f2bd25b322/0129914165v2.jpeg "Open Source ermöglicht durch Transparenz kontinuierliche Community-Überprüfung der Software-Lieferkette. Software Bills of Materials machen alle Komponenten nachvollziehbar. Nur wer seine Supply Chain kennt, kann sie auch schützen. (Bild: © KanawatTH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/c2/93c217f8c3dfcc30929e572b9256ebd0/0129912533v2.jpeg "Ein gezielter Angriff auf ein Fertigungsunternehmen zeigt: Selbst mit KI-Erkennung im Einsatz kann ein Ransomware-Angriff durchschlagen, wenn die Verteidigung nicht automatisiert eingreift. (Bild: © Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5e/c1/5ec1a50d8d17b2038b5e8330a5e193d6/0129923595v2.jpeg "Die Sicherheitsbehörden aus den USA, UK, Neuseeland, Australien und Kanada warnen vor Angriffen auf Cisco Catalyst SD-WAN. Wenige Angriffe laufen bereits. (©Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/e0/f7e04a8bb9ca542c7fe162788b8e59a1/0129964725v1.jpeg "Prepare. Protect. Perform. Die ISX 2026 liefert relevante und praxisnahe Inhalte für Informationssicherheitsbeauftragte, CISOs und Security-Experten. (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/32/62/32620eb62e7bf8901adb3e3c64e6a101/0129882648v1.jpeg "Ransomware-Angriffe auf OT-Systeme stiegen 2025 um 64 Prozent bei 3.300 betroffenen Organisationen. Dragos identifizierte drei neue Angreifergruppen, die industrielle Prozesse analysieren, um physische Schäden zu verursachen. (Bild: © zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/5c/075ce15538303055047431eafabf0121/0129531873v1.jpeg "Commvault-CPO Rajiv Kottomtharayil: „Unternehmen müssen Cyberangriffen, die zunehmend auf Backup-Umgebungen abzielen, einen Schritt voraus sein.“ (Bild: Commvault)")
:quality(80)/p7i.vogel.de/wcms/04/92/049241d64160979bbcff397d28d51bd2/0129753548v2.jpeg "Cyberkriminelle nutzen die Content-Type-Confusion-Schwachstelle aus, indem sie manipulierte Webhook-Requests mit falschem Content-Type senden und darüber ein gefälschtes „files“-Objekt einschleusen. So können sie lokale Dateien und Secrets auslesen und Schadcode schmuggeln. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f3/7d/f37dc8c76ed53109bcb9f0685833b476/0129556118v1.jpeg "Die neue App soll Unternehmen helfen, die eigene Krisen-Resilienz zu überprüfen. (Bild: © Wanan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/72/8d/728dab2675f137b5fbc4a34a78fc1229/0129736660v2.jpeg "Forschende der ETH Zürich hätten mit eigenen Servern insgesamt 25 Angriffe auf die Passwortmanager von Bitwarden, Lastpass und Dashlane demonstrieren können, bei denen schon normale Browseraktionen ausgereicht hätten, um Tresore zu kompromittieren Passwörter auszulesen. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/6f/796f58c5fdc82409d32656596b85f091/0129978261v2.jpeg "Das Centro in Oberhausen sowie das Westfield in Hamburg sind auf ähnliche Weisen attackiert worden. (Bild: anaumenko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b1/9c/b19ccd8ab4cac6cef1ff7a428eb1fcdf/0126593157v1.jpeg "Data Sanitization verhindert Datenlecks durch irreversibles Unbrauchbarmachen oder Löschen von Daten auf Speichermedien. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/b5/c6/b5c61e5f31b62d92c0f27faa46795cd0/0126861941v2.jpeg "Der Wurm „Shai-Hulud“ ist ein sich selbstverbreitender Supply-Chain-Schädling, der über kompromittierte Maintainer-Accounts in npm-Pakete eindringt, dort bösartigen Code einfügt und so automatisch weitere Pakete infiziert und neu veröffentlicht. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/17/071777879046e5c3fe439bf33688ea58/0116975583.jpeg "Gartner prognostiziert, dass bis 2025 45 Prozent der Unternehmen Angriffe auf ihre Software-Lieferketten erleben werden. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/bd/93bd2c1a427d9411551d17d36128c759/0128222866v2.jpeg "In der Artikelreihe der Technischen Hochschule Augsburg erläutern wir die Hintergründe und Anforderungen des Cyber Resilience Acts. Im zweiten Teil erfahren Sie, welche Produkte überhaupt betroffen sind, was die Sicherheitsanforderungen des CRA sind und wie Hersteller mit Schwachstellen umgehen sollten. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fb/38/fb385bd446ac187621e82690b4552676/0125276151v2.jpeg "Der CVSS-Score ist derzeit die gängigste Methode für Unternehmen, das Risiko einer Sicherheitslücke einzuschätzen. JFrog zufolge ist dieses Bewertungssystem unzureichend. (Bild: © Egor - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/97/af97245494f5ed2d9e7a5e85d635821e/0129347165v2.jpeg "Am 15. September 2025 schlug der Entwickler Daniel Pereira Alarm: Er entdeckte, dass das beliebte npm-Paket „@ctrl/tinycolor“ mit Malware infiziert worden war. (Bild: © Creative_Bringer - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fb/38/fb385bd446ac187621e82690b4552676/0125276151v2.jpeg "Der CVSS-Score ist derzeit die gängigste Methode für Unternehmen, das Risiko einer Sicherheitslücke einzuschätzen. JFrog zufolge ist dieses Bewertungssystem unzureichend. (Bild: © Egor - stock.adobe.com)")