Compliance-Lexikon · CRA
Supply Chain Risk
auch: Lieferkettenrisiko, Software-Supply-Chain-Risiko
Supply Chain Risk bezeichnet die Risikoexposition einer Organisation durch Abhaengigkeiten von externen Software-Komponenten, Open-Source-Bibliotheken und Entwicklungswerkzeugen - systematisch bewertet hinsichtlich Schwachstellen, Wartungsstatus, Herkunft und Vertrauenswuerdigkeit jeder Abhaengigkeit.
Warum jede moderne Software ein Lieferkettenrisiko traegt
Durchschnittliche Softwareprojekte bestehen heute zu 70-90 Prozent aus Open-Source-Komponenten und Drittanbieter-Bibliotheken. Jede dieser Abhaengigkeiten ist ein potenzielles Risiko: unentdeckte Schwachstellen, mangelnde Wartung durch die Maintainer, boeswillig eingeschleuster Code oder Lizenzprobleme. Eine systematische Risikobewertung der gesamten Software-Lieferkette ist deshalb keine akademische Uebung, sondern operative Notwendigkeit.
Wo Supply-Chain-Risikobewertung gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| CRA | Art. 13 Abs. 5 | Bewertung von Cybersicherheitsrisiken einschliesslich der Software-Lieferkette als Herstellerpflicht. |
| NIST SP 800-161 | vollstaendig | Cybersecurity Supply Chain Risk Management: Umfassender Risikobewertungsrahmen. |
| NIS-2 / BSIG | § 30 Abs. 2g | Lieferkettensicherheit als NIS-2-Mindestmassnahme mit Risikobewertungspflicht. |
| Executive Order 14028 | vollstaendig | US-Anforderungen an Supply-Chain-Risikobewertung fuer Software an Bundesbehoerden. |
| OpenSSF Scorecard | vollstaendig | Offenes Tool zur automatisierten Risikobewertung von Open-Source-Projekten. |
BAM-Objektreferenz
Haeufige Fehler
- Keine systematische Risikobewertung neuer Abhaengigkeiten vor der Integration
- Wartungsstatus von Open-Source-Projekten (verlassene Projekte) nicht geprueft
- Transitive Abhaengigkeiten (Abhaengigkeiten der Abhaengigkeiten) ausser Acht gelassen
- Keine kontinuierliche Ueberwachung auf neue Schwachstellen in bestehenden Abhaengigkeiten
Risikobewertungskriterien fuer Software-Abhaengigkeiten
Eine strukturierte Bewertung pruft: Anzahl und Schwere bekannter Schwachstellen (CVE-Historie), Aktivitaet und Groesse der Maintainer-Community, Update-Frequenz und Reaktionszeit auf gemeldete Schwachstellen, Lizenzkompatibilitaet sowie Reputationsindikatoren wie die OpenSSF Scorecard. Kritische Abhaengigkeiten mit schlechten Bewertungen sollten durch Alternativen ersetzt oder durch zusaetzliche Kontrollen (Sandboxing, eingeschraenkte Berechtigungen) abgesichert werden.
Naechster Schritt
Compliance-Stresstest starten
Kostenloser Stresstest zur Software-Lieferkettenbewertung.