Eine Achillesferse moderner Streitkräfte: Risiken der Software-Lieferkette und Schutzmöglichkeiten

Moderne Streitkräfte sind enorm abhängig von Softwareprodukten. Diese sind das Ergebnis komplexer Geflechte aus Software-Anbietern, Dienstleistern, Softwarekomponenten und weiteren Unternehmen, die zusammen die Software-Lieferkette bilden. Bei "herkömmlichen" Cybersicherheitsvorfällen verschaffen sich Bedrohungsakteur:innen in der Regel direkt Zugang zu ihrem Ziel. Im Gegensatz dazu haben Risiken der Software-Lieferkette ihren Ursprung an einer vorgelagerten Stelle der Lieferkette und erzeugen dann an anderer Stelle einen Effekt - häufig bei den Endnutzer:innen. Streitkräfte sind besonders anfällig für diese Risiken. Vorfälle im militärischen Bereich, bei denen die Software-Lieferkette eine Rolle spielte, haben militärische Betriebsabläufe unterbrochen oder böswilligen Akteuren Wirtschaftsspionage, politische Spionage und Sabotage ermöglicht. Der Bundespolitik und der Bundeswehr stehen mehrere Maßnahmen zur Verfügung, um die Streitkräfte vor den Auswirkungen der Risiken der Software-Lieferkette zu schützen. Dabei müssen Entscheidungsträger:innen zunächst für unterschiedliche Einsatzbereiche von Software ein angemessenes Schutzniveau festlegen, um die Balance zu wahren zwischen dem Schutz vor den Risiken auf der einen und Funktionalität, Kosten und Einsatzgeschwindigkeit auf der anderen Seite. Die Bundesregierung und die Bundeswehr sollten einerseits Maßnahmen ergreifen, um einen bewussten Umgang der Streitkräfte mit den Risiken der Software-Lieferkette zu ermöglichen und sich selbst zu schützen; andererseits sollten sie Software-Anbieter dazu bringen, die Angreifbarkeit ihrer Produkte zu reduzieren. Durch die Kombination beider Ansätze kann diese mögliche Bedrohung in Schach gehalten werden.