Kontakt
Headerbild
Wege zu sicheren Softwarelieferketten
Aufzeichnung des Experten-Webinars beim Behördenspiegel

Sichere Softwarelieferketten in Behörden: SBOM, Vulnerability Management & NIS2 im Praxiseinsatz

Moderne Fachverfahren in Behörden sind längst keine reinen Eigenentwicklungen mehr. Frameworks, Bibliotheken, Container-Images, Cloud-Services und Entwicklungswerkzeuge bilden komplexe Softwarelieferketten – und damit eine stetig wachsende Angriffsfläche. Gleichzeitig steigen Sicherheits- und Compliance-Anforderungen durch IT-Sicherheitsgesetz, NIS2 und den EU Cyber Resilience Act. 

In diesem Webinar des Behördenspiegels zeigten unsere Experten, wie Verwaltungen Transparenz über ihre Softwarelieferketten gewinnen, Sicherheitsrisiken pragmatisch managen und regulatorische Anforderungen umsetzen können – ohne ihre ohnehin knappen Ressourcen zu überfordern.

Sehen Sie sich unsere Webinar-Aufzeichnung an und erfahren Sie, wie Sie SBOM, Vulnerability Management und klare Prozesse in Ihrer Behörde etablieren.

Eckhard Malcherek

Eckhard Malcherek

Senior Manager Solutions
OPITZ CONSULTING Public

Kontakt aufnehmen

Bitte akzeptieren Sie die Marketing-cookies um das Video anzuschauen.

Vertrauen durch Transparenz – warum Softwarelieferketten heute kritischer denn je sind

Angriffe über die Softwarelieferkette gehören heute zu den relevantesten Bedrohungen – gerade für kritische Infrastrukturen und öffentliche Verwaltung. Schon eine kompromittierte Bibliothek, ein manipuliertes Container-Image oder ein unsicher konfiguriertes Build-System kann dazu führen, dass Fachverfahren tage- oder wochenlang ausfallen. 

In der Webinar-Aufzeichnung beleuchten unsere Referenten,

  • wie aus „normalen“ Abhängigkeiten in Java-, JavaScript- und Container-Umgebungen systemische Risiken entstehen,
  • warum Verwaltungen trotz Vergabeverfahren und Zulieferern die Verantwortung für sichere Softwarelieferketten tragen,
  • welche Rolle Wirtschaftlichkeit, Digitalisierung und gesetzliche Vorgaben in der Praxis spielen – und wo Sicherheit erfahrungsgemäß „unter die Räder“ kommt. 

Die Baum-Metapher aus dem Vortrag macht das greifbar: Was an der Oberfläche stabil aussieht, kann im Wurzelwerk – also in Bibliotheken, Frameworks, Tools und Infrastruktur – schleichend geschwächt werden. Genau dort setzen Transparenz und strukturiertes Risikomanagement an.

Aus dem Inhalt

Ein Kernbaustein der Webinaraufzeichnung ist das Konzept der Software Bill of Materials (SBOM). Die Referenten zeigen, wie eine SBOM als „Stückliste der Software“ hilft: 

  • alle eingesetzten Komponenten und Versionen zu inventarisieren,
  • transitive Abhängigkeiten sichtbar zu machen (z. B. in Maven/Gradle, npm),
  • bekannte Schwachstellen (CVEs) automatisiert gegen diese Liste zu prüfen,
  • Update-Bedarf und technische Schulden schneller zu erkennen. 

Im Webinar wird u. a. diskutiert: 

  • wie SBOMs im Build-Prozess automatisiert erzeugt werden können,
  • wie sich SBOM-Informationen zentral sammeln und auswerten lassen,
  • wie Behörden mit einfachen, pragmatischen Schritten starten können – von ersten Einzelscans bis zu kontinuierlichen Prüfungen im CI/CD- und Betriebsprozess. 

Dazu kommen Beispiele aus der Praxis, etwa: 

  • Log4Shell / Log4j – warum ein vertrautes Logging-Framework zur kritischen Schwachstelle werden konnte,
  • npm-Würmer und kompromittierte Maintainer-Accounts – wie Angreifer über beliebte Open-Source-Pakete in Behördenlandschaften eindringen,
  • geänderte Strategien von Anbietern (z. B. Secure Images plötzlich nur noch gegen Bezahlung) und was das für das eigene Risikomanagement bedeutet. 

Statt nur auf den „Liefermoment“ zu schauen, betrachten die Referenten die komplette Software-Lifecycle-Perspektive: 

1. Analyse & Design

  • Sicherheitsanforderungen und Bedrohungsmodelle von Anfang an mitdenken
  • Designentscheidungen, die spätere Härtung und Updates erleichtern 

2. Entwicklung & Auswahl von Komponenten 

  • Einsatz von Open-Source-Bibliotheken und kommerziellen Bausteinen bewusst steuern
  • typische Stolperfallen beim Umgang mit Abhängigkeiten und Build-Tools 

3. Test & Qualitätssicherung 

  • technische Sicherheitsprüfungen (z. B. Penetrationstests, Dependency Scans)
  • Einsatz von SBOM-basierten Vulnerability-Scans schon in der CI-Pipeline 

4. Deployment & Betrieb 

  • Härtung von Servern, Containern und Plattformen (z. B. OpenShift)
  • Sicherstellung der Herkunft (Signaturen, trusted Registries)
  • Patch- und Vulnerability-Management im laufenden Betrieb

5. Kontinuierliche Verbesserung 

  • Ereignisse aus dem Betrieb (Incidents, Alerts) zurück in Analyse und Design spiegeln
  • Prozesse iterativ schärfen, statt auf das „perfekte Zielbild“ zu warten 

Das Webinar zeigt an mehreren Praxisbeispielen, wie Verwaltungen hier leichtgewichtig starten und später schrittweise professionalisieren können – vom einfachen SBOM-Scan bis zu zentralen Plattformteams und automatischen Blockaden unsicherer Artefakte.

NIS2, Cyber Resilience Act (CRA), IT-Sicherheitsgesetz, DSGVO und BSI-Grundschutz erhöhen den Druck – und gleichzeitig die Klarheit darüber, was von Behörden erwartet wird. 

Im Webinar diskutieren wir: 

  • welche Anforderungen diese Regelwerke an Risikomanagement, Transparenz und Dokumentation stellen,
  • welche Maßnahmen als Stand der Technik verstanden werden können (z. B. SBOM, nachvollziehbare Security-Prozesse, klare Verantwortlichkeiten),
  • wie Verwaltungen das Thema Softwarelieferkette in Ausschreibungen, Verträgen und Service-Level-Agreements verankern können,
  • warum es wichtig ist, nicht nur auf „Schuldfragen“, sondern vor allem auf die Vermeidung realer Schäden zu schauen. 

Die Referenten geben dabei keine juristische Beratung, ordnen die Regulierung aber aus Sicht von Softwarearchitektur und Betrieb ein – praxisnah und umsetzungsorientiert.

Mit zunehmender Komplexität von Softwarelandschaften steigt der Bedarf an automatisierter Auswertung. SBOM-Daten und strukturierte Vulnerability-Informationen bilden eine ideale Grundlage, um: 

  • Schwachstellen automatisch zu korrelieren und zu priorisieren,
  • Konfigurationen und Abhängigkeiten mit KI-unterstützten Tools zu analysieren,
  • natürlichsprachliche Abfragen („Wo sind wir von Log4j betroffen?“) über SBOM-Daten zu ermöglichen. 

In der Webinar-Aufzeichnung wird deutlich: Wer heute Transparenz über seine Softwarelieferkette schafft, legt damit gleichzeitig die Basis, um künftig auch LLM-basierte Assistenzsysteme sinnvoll einzusetzen – ob für Reporting, Risikobewertung oder die Kommunikation mit Fachbereichen und Management.

Moderation: 

Frederik Steinhage
Redaktion, Behörden Spiegel 

Referenten:

  • Tim Teulings, Senior Solution Architekt, OPITZ CONSULTING 
    Unterstützt Softwareentwicklungsteams dabei, moderne Anwendungen schnell, robust und sicher aufzubauen – mit Schwerpunkt auf Modernisierung, Integration, Architekturen und Entwicklungsprozessen. 
     
  • Philipp Kürsten, Lead Consultant, OPITZ CONSULTING Deutschland 
    Verfügt über langjährige Erfahrung in Entwicklungsprojekten und im Umgang mit modernen DevOps-Werkzeugen. Spezialisiert auf Vulnerability Management, Container-Plattformen und sichere Softwarelieferketten im Enterprise- und Behördenumfeld.

Was Sie in dieser Aufzeichnung erwartet

Nach dem Webinar können Sie besser einschätzen: 

  • Wo in Ihrer Behörde heute Risiken in der Softwarelieferkette entstehen
  • Wie Sie mit SBOM eine belastbare Transparenz über eingesetzte Softwarekomponenten herstellen
  • Welche pragmatischen Schritte Sie mit begrenzten Ressourcen zuerst angehen sollten
  • Wie Sie Anforderungen aus NIS2, Cyber Resilience Act und IT-Sicherheitsgesetz in Ihrer Organisation verankern
  • Wie Hersteller- und Betreiberrollen sinnvoll zusammenspielen und wo Sie welche Verantwortung einfordern sollten
  • Wie Sie aus ersten Pilotprojekten schrittweise einen gelebten Sicherheitsprozess aufbauen

Für wen ist das Video interessant?

Die Aufzeichnung richtet sich an: 

  • Verantwortliche für IT-Sicherheit und Informationssicherheit in Behörden
  • IT-Leiterinnen und Digitalisierungsverantwortliche im öffentlichen Sektor
  • Architekten, DevOps-Teams und Betreiber von Fachverfahren
  • Beschaffungsverantwortliche, die Anforderungen an Softwarelieferanten definieren
  • Projektleitungen, die individuelle Softwareentwicklungsprojekte steuern

DevOps für moderne und sichere Softwareentwicklung

Unsere DevOps-Experten sorgen dafür, dass Entwicklungs- und Betriebsprozesse so gestaltet werden, dass Sicherheit, Geschwindigkeit und Qualität gleichermaßen profitieren. Automatisierte Pipelines, sichere Build-Umgebungen und nachvollziehbare Softwarelieferketten sind zentrale Bausteine, um Fachverfahren robust und zukunftsfähig zu betreiben. 

Wir helfen Ihnen, mit DevOps-Ansätzen konkrete Mehrwerte für Ihre Organisation zu schaffen. Erfahren Sie mehr darüber und kontaktieren Sie uns.

Zu DevOps bei OPITZ CONSULTING

Blogserie: SBOM & IT-Sicherheit – Transparenz in komplexen Softwarelandschaften

Die Blogserie zeigt praxisnah, wie SBOMs als zentrales Werkzeug für Transparenz, Compliance und modernes Vulnerability Management eingesetzt werden können. Anhand konkreter Beispiele wird erklärt, wie Organisationen schrittweise ein Sicherheitsniveau etablieren, das regulatorischen Anforderungen wie NIS2 oder dem Cyber Resilience Act gerecht wird. 

Ideal für IT-Verantwortliche in Behörden, die wissen möchten, wie sie den Wandel zu sichereren Softwarelieferketten nachhaltig gestalten.

Zur Blogserie „SBOM & IT-Sicherheit“

Nehmen Sie jetzt Kontakt auf

Zweispaltig
Mit diesem Häkchen stimmen Sie unseren Datenschutzbestimmungen zu.*
*Pflichtfelder
Newsletter
Die neuesten Fachartikel und Videos direkt ins Postfach?
Mit unserem Newsletter-Service informieren wir Sie regelmäßig über neue Publikationen und Angebote zu den aktuellen IT-Herausforderungen. Natürlich kostenlos und jederzeit abbestellbar.
Jetzt abonnieren