Das Ende der Sorglosigkeit:: Wie NIS-2 und CRA die Spielregeln für Open-Source-Software neu definieren

Advertorial

Die offene, kollaborative Natur von OSS führt oft zu außergewöhnlicher Qualität und Sicherheit, da nach dem Prinzip „viele Augen sehen mehr“ Fehler schneller entdeckt und behoben werden. Ganze Branchen kooperieren in Open-Source-Projekten, um gemeinsame Herausforderungen zu stemmen und zukunftsfähige Standards zu etablieren: zum Beispiel Unternehmen aus dem Bereich Automotive in der Eclipse SDV Working Group zur Beschleunigung der Entwicklung softwaredefinierter Fahrzeuge (SDVs). Auch die EU ist sich dieses Potenzials bewusst und fördert den Einsatz von OSS gezielt, um die digitale Souveränität Europas zu stärken.

Doch die strategische Unabhängigkeit hat eine Kehrseite: Sie schafft eine neue, tiefgreifende Form der technischen Abhängigkeit von einer globalen, oft unübersichtlichen Software-Lieferkette. Jede moderne Anwendung besteht heute aus einem komplexen Gefüge unzähliger OSS-Komponenten, die wiederum von weiteren Bibliotheken abhängig sind. Die wahre Gefahr liegt im Verborgenen: Viele Unternehmen wissen oft gar nicht, welche Elemente genau in ihren Systemen verbaut sind.

Der Log4j-Vorfall Ende 2021 hat dieses Risiko für alle sichtbar gemacht: Eine kritische Lücke in einer einzigen, weitverbreiteten Protokollierungsbibliothek ermöglichte Angreifern die vollständige Übernahme von Servern weltweit und löste eine beispiellose, globale Abwehraktion aus, bei der Unternehmen verzweifelt versuchten, herauszufinden, ob und wo sie verwundbar waren. Log4j war überall. Nicht nur in sichtbaren Anwendungen, sondern auch als Abhängigkeit in anderen Bibliotheken und kommerziellen Produkten. Viele Unternehmen wussten gar nicht, dass und wo sie Log4j einsetzen.

Der regulatorische Rahmen und die zentrale Herausforderung

In diesem Spannungsfeld stellt sich die entscheidende Frage: Wie lässt sich das enorme Innovationspotenzial von Open Source mit den neuen, strengen Sicherheitsanforderungen von NIS-2 und dem Cyber Resilience Act (CRA) in Einklang bringen?

Die EU reagiert mit einem klaren Kurs:

• NIS-2 verpflichtet Betreiber wesentlicher und wichtiger Einrichtungen, im Rahmen ihres Risikomanagements, die Sicherheit ihrer gesamten Lieferkette zu bewerten und abzusichern. Die Verantwortung wird damit über die eigenen Unternehmensgrenzen hinaus auf Software-Zulieferer erweitert.
• Der CRA zielt direkt auf die Produktsicherheit ab und führt praktisch ein „CE-Zeichen“ für Software ein. Hersteller von Produkten mit digitalen Elementen haften künftig für deren Sicherheit über den gesamten Lebenszyklus. Dies schließt explizit alle integrierten Open-Source-Komponenten mit ein und umfasst konkrete Pflichten wie Security-by-Design, die Erstellung einer Software-Inventarliste (Software Bill of Materials, SBOM) und ein verpflichtendes Schwachstellenmanagement.

Dies ist keine rein europäische Entwicklung. Weltweit steigen die Anforderungen an die Sicherheit der Lieferketten, so auch in den Vereinigten Staaten durch das CMMC-Programm (Cybersecurity Maturity Model Certification) für die industrielle Basis des Verteidigungssektors.

Obwohl sich die regulatorischen Mechanismen unterscheiden, ist die Stoßrichtung dieselbe: Von Organisationen wird zunehmend erwartet, dass sie nachweisen, dass Cybersicherheitskontrollen nicht nur auf dem Papier definiert, sondern auch über Drittanbieterbeziehungen und Software-Lieferketten hinweg implementiert und bewertet werden. Für europäische Unternehmen, die international tätig sind oder mit den USA verbundene Verteidigungsökosysteme unterstützen, erhöht dies die Dringlichkeit, wiederholbare und nachweisbasierte Sicherheits- und Prüfpraktiken zu etablieren.

Herausforderung und Chance – eine Neubewertung für die Branche

Katalysator oder Bremse: In den Fluren europäischer Tech-Unternehmen wird diese Frage kontrovers diskutiert. Zweifellos bedeuten diese Pflichten zunächst einen erheblichen Mehraufwand für Dokumentation und Prozesse. Es entstehen neue Haftungsrisiken und die Sorge, dass die Innovationsgeschwindigkeit durch komplexe Compliance-Anforderungen leiden könnte.

Doch diese Betrachtungsweise greift aus Sicht von ISACA, dem globalen Berufsverband für IT-Governance, -Risiko, -Sicherheit, Datenschutz und IT-Audit, zu kurz, denn die Regulierung ist gleichzeitig eine positive Entwicklung, die einen Reifeprozess für den gesamten Markt erzwingt. Sie beendet die „Wild-West-Ära“ der OSS-Nutzung, in der Komponenten oft aus reiner Bequemlichkeit und ohne tiefere Sicherheitsprüfung eingesetzt wurden. Unternehmen, die OSS bisher nur als kostenlosen Steinbruch für Code betrachtet haben, müssen daher radikal umdenken.

Jetzt ist ein bewusstes, risikobasiertes und professionelles Vorgehen gefordert. Dies steigert nicht nur die Sicherheit, sondern hebt auch die Qualität, da nun gut gewartete und transparente OSS-Projekte klar im Vorteil sind. Die neuen Regeln sind somit weniger eine Bremse als vielmehr ein starker Impuls für mehr Sicherheit und Vertrauen in das gesamte digitale Ökosystem.

Struktur, Kompetenz und Wissen heißen die Zauberworte

Um diesen Wandel erfolgreich zu gestalten, sind drei Säulen entscheidend: eine klare Governance, nachweisbare Kompetenz und aktuelles Wissen. In allen Punkten unterstützt ISACA Unternehmen und Fachkräfte mit seiner globalen und herstellerneutralen Expertise. Als Berufsverband mit über 50 Jahren Erfahrung und mehr als 185.000 Mitgliedern weltweit hilft ISACA dabei, Standards für Exzellenz zu etablieren. Dieser ganzheitliche Ansatz, der IT-Audit, Governance, Risiko und Sicherheit verbindet, macht ISACA zu einem vertrauenswürdigen Ratgeber und wichtigem Informationsanbieter in dieser Situation.

• Für die Governance stellt beispielsweise das ISACA-Framework COBIT® den idealen Rahmen, um die von NIS-2 und CRA geforderten Prozesse für Risiko-, Lieferanten- und Schwachstellenmanagement strukturiert aufzusetzen und nachweisbar zu steuern.
• Um die notwendige Kompetenz nachzuweisen, validieren die global anerkannten Zertifizierungen von ISACA genau jene Fähigkeiten, die jetzt erfolgskritisch sind: CISM®-zertifizierte Manager gestalten die Sicherheitsstrategie, CRISC®-zertifizierte Experten managen die neuen Lieferkettenrisiken und CISA®-zertifizierte Auditoren prüfen die Wirksamkeit der Maßnahmen und sichern die Compliance. Darüber hinaus bildet ISACA im Bereich der KI die nächste Generation von Auditoren in den Bereichen Audit (AAIA), Cybersicherheit (AAISM) und Risiko (AAIR) aus. Ebenso schafft ISACA im Hinblick auf branchenspezifische Anforderungen die Fachkräfte für CMMC durch CCA, CCP und CCI.
• Aktuelles Wissen bietet ISACA durch praxisnahe Leitfäden, globale Studien und eine aktive Experten-Community. Sie vermitteln die notwendige Orientierung, um in der dynamischen Regulierungs- und Bedrohungslandschaft fundierte Entscheidungen zu treffen.

Aus Pflicht wird strategischer Vorteil

Die Zukunft der Innovation in Europa wird auf Open Source gebaut. NIS-2 und der CRA schaffen dabei die verlässliche Vertrauensbasis, auf der diese Innovation sicher wachsen kann. Für Unternehmen lautet die entscheidende Frage daher nicht, ob sie ihre Prozesse anpassen, sondern wie sie diesen Wandel als Chance nutzen können.

Wer die neuen Regeln nur als lästige Compliance-Aufgabe begreift, bleibt im Verteidigungsmodus. Wer sie jedoch als Mandat für Exzellenz in Sicherheit und Governance versteht, schafft Vertrauen – und macht es zu seinem entscheidenden Wettbewerbsvorteil.

Mehr dazu hier.