Supply Chain Security: Wie Sie mit Rancher Prime 3.0 Ihre Softwarelieferkette sicherer machen

Neue Richtlinien und Gesetze wie NIS-2 und der europäische Cyber Resilience Act (CRA) verpflichten Unternehmen zu einem besseren Schutz Ihrer Software Supply Chain. Rancher Prime 3.0 unterstützt Unternehmen bei dieser Aufgabe: Die aktuelle Version unserer Enterprise Container Management-Plattform bietet Erweiterungen, die die Sicherheit der Softwarelieferkette verbessern und so die Einhaltung der neuen Vorschriften erleichtern.

Sicherheitsexperten beobachten seit einigen Jahren eine deutliche Zunahme von Angriffen auf die Softwarelieferkette. Laut einer Studie von Gartner waren allein zwischen April 2022 und April 2023 61 Prozent aller US-Unternehmen direkt von einer Software Supply Chain-Attacke betroffen. Die Europäische Agentur für Cybersicherheit (Enisa) stuft daher die Risiken innerhalb der Softwarelieferkette als größte Gefahr für die Cybersicherheit bis zum Jahr 2030 ein.

Aus Sicht der Angreifer ist die Software Supply Chain aus zwei Gründen ein besonders attraktives Ziel. Zum einen erreichen Cyberkriminelle mit einer einzigen erfolgreichen Attacke auf einen Softwareanbieter in der Regel dessen gesamte Kundschaft. Dieser „verdeckte“ Ansatz potenziert die Wirkung des Angriffs und die mögliche finanzielle Ausbeute um ein Vielfaches. Zum anderen sind vor allem kleinere Softwarelieferanten oft schlechter gegen Cyberrisiken gewappnet als ihre Kunden. So können Angreifer die hochgerüsteten Abwehrsysteme umgehen, mit denen Großkonzerne ihre wertvollen Daten schützen.

Welche weitreichenden Folgen eine Attacke auf die Softwarelieferkette haben kann, zeigten in der Vergangenheit unter anderem die Beispiele Solarwinds, Kaseya, Log4j und 3CX. Die Absicherung der Software Supply Chain hat daher für Unternehmen heute höchste Priorität – auch aus Compliance-Gründen. Die EU-Cybersicherheitsrichtlinie NIS-2 fordert von allen betroffenen Organisationen, mögliche Cyberrisiken in ihrer Lieferkette kontinuierlich zu bewerten und entsprechende Sicherheitsmaßnahmen zu ergreifen. Spätestens bis Oktober 2024 wird NIS-2 in Deutschland in nationales Recht umgesetzt sein.

Auch der geplante Cyber Resilience Act (CRA), der soeben vom EU-Parlament verabschiedet wurde, rückt das Thema Supply Chain Security in den Fokus. Um die Sicherheit von digitalen Produkten und Dienstleistungen im EU-Binnenmarkt zu erhöhen, verlangt die Verordnung, die Herkunft von Software zu identifizieren und zu dokumentieren. Dazu gehört auch die Erstellung einer Software Bill of Material (SBOM) – also einer Aufstellung aller Komponenten, die in einer Softwareanwendung enthalten sind. Mit Hilfe der SBOM können Anwender schnell feststellen, ob sie von neu auftretenden Fehlern oder Sicherheitslücken betroffen sind. Die formalen und fachlichen Vorgaben für die Erstellung und Verarbeitung von Software-Stücklisten gemäß CRA wurden vom BSI in der Technischen Richtlinie TR-03183 definiert.

Mit Rancher Prime 3.0 die Supply Chain Security stärken

SUSE unterstützt seine Kunden dabei, die neuen Anforderungen an eine sichere Softwarelieferkette zu erfüllen. Mit dem Release von Rancher Prime 3.0 stellen wir Unternehmen drei wichtige Erweiterungen für die vertrauenswürdige Softwarebereitstellung zur Verfügung:

• Rancher Prime ist ab sofort nach Supply-chain Levels for Software Artifacts (SLSA) zertifiziert. Dieses von Google entwickelte Framework zielt darauf, die Integrität von Software über den gesamten Entwicklungs- und Distributionsprozess hinweg zu gewährleisten. Maßnahmen wie ein automatisierter Build-Prozess und eine vollständige Herkunftsdokumentation schützen die Software vor Manipulationen und ermöglichen eine sichere Nachverfolgbarkeit des Quellcodes.
• Mit Rancher Prime 3.0 stellen wir eine laufend aktualisierte SBOM zur Verfügung und bieten unseren Kunden damit vollständige Transparenz über die eingesetzten Softwarekomponenten. Diese Software-Stückliste entspricht den Vorgaben, die künftig für Unternehmen und Organisationen in hochregulierten Branchen gelten, und ist ein wichtiger Baustein für ein durchgängiges Sicherheits- und Risikomanagement.
• Die OCI Prime Registry für Rancher Prime 3.0 stellt zudem sicher, dass Kunden ausschließlich signierte und vertrauenswürdige Software-Artefakte verwenden. Dies erleichtert es Unternehmen, eine Security-First-Strategie für ihre Container-Umgebung umzusetzen.

Mehr über die Einsatzmöglichkeiten und Neuerungen von Rancher Prime 3.0 erfahren Sie hier: https://www.suse.com/c/meet-rancher-prime-3-0/