BSI und ZenDiS legen Strategie für sichere Softwarelieferketten vor

Coding

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Zentrum für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS) haben ein gemeinsames Strategiepapier zur automatisierten Absicherung von Softwarelieferketten veröffentlicht. Ziel der Initiative ist es, die Sicherheit und Resilienz digitaler Verwaltungsinfrastrukturen zu erhöhen – insbesondere im Hinblick auf wachsende geopolitische Risiken und technologische Abhängigkeiten.

Im Fokus steht dabei die Open-Source-Plattform openCode, die Transparenz, Nachvollziehbarkeit und automatisierte Sicherheitsprüfungen in Softwareprojekten ermöglichen soll. Mit einem sogenannten Badge-Programm wird die Qualität von Softwarekomponenten auf Basis definierter Kriterien sichtbar gemacht – beispielsweise in den Bereichen Wartbarkeit oder Nachnutzbarkeit.

Vier zentrale Maßnahmen für mehr Sicherheit

Das Strategiepapier nennt vier zentrale Umsetzungsfelder zur Absicherung von Softwarelieferketten:

  1. Verifizierte Softwareherstellung: Eine hochsichere Build-Infrastruktur soll automatisierte Prüfungen, standardisierte Sicherheitschecks und sofortiges Feedback für Entwicklerinnen und Entwickler ermöglichen.

  2. Souveräne Container-Registry: Ein dezentrales Verzeichnis geprüfter Container-Images bietet eine verlässliche Bezugsquelle und reduziert Abhängigkeiten von nicht-europäischen Plattformen.

  3. Resiliente Verteilinfrastruktur: Durch dezentrale Bereitstellung sollen kritische digitale Dienste auch in Krisensituationen verfügbar bleiben.

  4. Gemeinsame Prüfstandards: Mit dem BSI abgestimmte Qualitätskriterien sollen eine einheitliche Grundlage für Sicherheitsbewertungen und automatisierte Prüfprozesse schaffen.

Reaktion ersetzen durch Prävention

Aktuelle Sicherheitsansätze seien laut Strategiepapier überwiegend reaktiv. openCode hingegen ermögliche einen präventiven Ansatz: Durch kontinuierliche, automatisierte Sicherheitsprüfungen könnten im Fall eines Vorfalls betroffene Systeme zuverlässig identifiziert werden – eine zentrale Voraussetzung für gezielte Warnungen und schnelle Reaktionen.

Europäische Einbettung und digitale Souveränität

Das Modell openCode ist laut BSI und ZenDiS eng anschlussfähig an europäische Digitalstrategien. Es stehe für Prinzipien wie Datenhoheit, Interoperabilität und offene Standards. Die Strategie betont außerdem die Vorteile von Open Source für die öffentliche Verwaltung – etwa mehr Wechselmöglichkeiten, größere Mitgestaltungsspielräume und eine stärkere Verhandlungsposition gegenüber Anbietern.

Schrittweise Umsetzung ab 2025

Die Umsetzung der Strategie soll ab diesem Jahr schrittweise erfolgen. Geplant sind zunächst der Ausbau des Badge-Programms, die Entwicklung eines ersten Container-Registers und die Abstimmung zentraler Qualitätskriterien. Bis 2026 ist die Integration in die nationale Sicherheitsarchitektur vorgesehen – einschließlich Unterstützung für kritische Infrastrukturen und eine dezentrale, krisenfeste Infrastruktur.

Quelle: Bundesamt für Sicherheit in der Informationstechnik

Das Thema Open Source und Digitale Souveränität ist derzeit in aller Munde – auch der neue Koalitionsvertrag zwischen SPD und Union fordert: „Wir wollen ein digital souveränes Deutschland.“ Auf dem diesjährigen IT-Vergabetag blicken wir daher über die klassische IT-Beschaffung hinaus und stellen konkrete Praxisbeispiele sowie aktuelle Entwicklungen und Strategien rund um digitale Souveränität und Open Source in den Mittelpunkt.

Sichern Sie sich jetzt Ihr Ticket unter www.it-vergabetag.de