Von der Lizenz zur Sicherheit mit ISO/IEC 18974

Von der Lizenz zur Sicherheit mit ISO/IEC 18974

Inhaltsverzeichnis

Was haben die Sicherheitsvorfälle Spring4Shell, OpenSSL Heartbleed oder XZ Utils Backdoor gemeinsam? Alles waren Open-Source-Software Komponenten und mit ihnen entstanden zahlreiche Sicherheitsvorfälle durch manipulierte Software innerhalb der Komponenten. Das sind nur wenige Beispiele, die zeigen, wie anfällig Software-Lieferketten sind. Der Einsatz von Open-Source-Software Komponenten ist heute ein integraler Bestandteil in der Softwareentwicklung.

Jeden Tag werden über 20 000 neue Open-Source-Software Komponenten released. In einzelnen Projekten können sich häufig tausende Open-Source-Software Komponenten inklusive ihrer Abhängigkeiten befinden. Daher braucht es verbindliche Standards, welche ein Vertrauen in Software-Lieferketten schaffen und den Unternehmen einen Leitfaden an die Hand geben. ISO/IEC 18974 ist die Antwort auf diesen Bedarf und ergänzt die bestehende Norm ISO/IEC 5230 für Lizenzkonformität um ein Framework für Softwaresicherheit.

Was ist die ISO/IEC 18974 überhaupt?

ISO/IEC 18974:2023 ist ein internationaler Standard für die Sicherheit von Open-Source-Software Komponenten. Dieser Standard wurde von der OpenChain-Initiative entwickelt, genauso wie die ISO/IEC 5230. Ende 2023 wurde die ISO/IEC 18974 veröffentlicht. Während die ISO/IEC 5230 beschreibt, wie Organisationen Lizenzkonformität bei Open Source sicherstellen, legt ISO 18974 den Fokus auf die Sicherheit von Open-Source-Software Komponenten. Der Fokus liegt hierbei besonders auf der Erstellung und Verwaltung von Software Bill of Materials (SBOMs), der Identifizierung von bekannten Schwachstellen (CVEs) und der entsprechenden Reaktion auf Sicherheitsvorfälle. Wie auch schon bei der ISO/IEC 5230 geht es nicht um die tatsächliche Umsetzung also das “Wie”, sondern vielmehr um das “Was” und “Warum”. Das bietet den Unternehmen die Flexibilität, die Norm entsprechend dem Unternehmen individuell zu etablieren.

Was fordert die ISO/IEC 18974 konkret?

Der Standard gliedert sich in vier zentrale Themenbereiche:

  1. Program Foundation: Organisationen müssen dokumentierte Richtlinien zur Open-Source-Sicherheit haben, ihre Mitarbeitenden schulen und Verantwortlichkeiten klar regeln. Der Umfang des Sicherheitsprogramms – z. B. nur für bestimmte Produkte oder unternehmensweit – muss definiert sein.
  2. Rollen & Ressourcen: Es braucht klar benannte Rollen, ausreichende Mittel (Zeit, Geld, Know-how) und Prozesse, um externe Anfragen zu Sicherheitslücken angemessen zu beantworten – z. B. über ein öffentlich erreichbares Security-Kontaktformular.
  3. Inhaltliche Prüfung (SBOM & Security Assurance): Unternehmen müssen jederzeit nachvollziehen können, welche Open-Source-Komponenten in ihren Produkten enthalten sind (SBOM). Für jede Komponente müssen bekannte Schwachstellen erkannt, bewertet und gegebenenfalls behoben werden.
  4. Nachweis und Konformität: Die Einhaltung der Anforderungen muss dokumentiert werden. Eine Konformitätsbescheinigung ist 18 Monate gültig und muss regelmäßig erneuert werden.

Welche Synergien gibt es mit der ISO/IEC 5230?

Unternehmen, die bereits ISO 5230 implementiert haben, können viele Prozesse und Strukturen weiterverwenden beispielsweise für die Richtlinien, für das Policy-Management, die Rollenverteilung oder die Awareness-Programme. Das reduziert den Mehraufwand für die Einführung von ISO 18974 erheblich. Auch eine parallele Einführung beider Standards ist sinnvoll, wenn ein Unternehmen von Anfang an sowohl Lizenz- als auch Sicherheitskonformität abdecken möchte.

Synergien zwischen der ISO/UEC 5230 und der ISO/IEC 18974

Synergien zwischen der ISO/IEC 5230 und der ISO/IEC 18974

SBOMs als zentrales Element beider ISO-Standards Eine Software Bill of Materials (SBOM) ist das digitale Äquivalent einer Zutatenliste. Die SBOM beschreibt alle Open-Source-Komponenten, deren Herkunft, Lizenz und bekannte Schwachstellen. Sowohl die ISO/IEC 5230 als auch die ISO/IEC 18974 sehen SBOMs als kritisches Element. Während bei ISO 5230 vor allem Lizenztransparenz und Compliance im Fokus steht, geht es bei ISO 18974 um mögliche Sicherheitsschwachstellen innerhalb der Komponenten. In der Praxis empfiehlt es sich, SBOM-Prozesse so aufzusetzen, dass sie beiden Standards gleichzeitig gerecht werden.

Die ISO 18974 als Meilenstein für OSS Security

Mit der Einführung von ISO/IEC 18974 wird Open-Source-Sicherheit erstmals auf internationaler Ebene strukturiert adressiert. Das ist nicht nur für Entwicklerteams relevant, sondern auch für Führungskräfte, Compliance- und Procurement-Abteilungen. Vor dem Hintergrund von Regulierungen wie dem Cyber Resilience Act (EU), dem Securing Open Source Software Act (USA) oder DORA (Digital Operational Resilience Act) wird die Einhaltung solcher Standards zunehmend zur Pflicht. ISO 18974 hilft dabei, Prozesse zu professionalisieren, Risiken zu reduzieren und Vertrauen in Produkte zu stärken.

Fazit

Die Einführung von ISO/IEC 18974 lohnt sich, sowohl aus technischer als auch aus strategischer Sicht. Unternehmen, die Open Source professionell einsetzen oder Komponenten an Kunden liefern, profitieren von klaren Sicherheitsprozessen und einer verbesserten Marktposition. Der erste Schritt ist meist die Sichtung der eigenen OSS-Komponenten und die Erstellung einer ersten SBOM. Von dort aus kann ein strukturiertes Sicherheitsprogramm nach ISO/IEC 18974 aufgebaut werden. Dabei kann man Schritt für Schritt, skalierbar und flexibel vorgehen.

Du möchtest mehr zum Thema erfahren?

Vereinbare einen kostenlosen Gesprächstermin mit uns oder sende uns deine Anfrage über unser Kontaktformular.

Termin vereinbaren Anfrage senden
App screenshot
Tags :

Ähnliche Posts

SBOM und der Cyber Resilience Act

SBOM und der Cyber Resilience Act

Der Cyber Resilience Act ist die erste europäische Verordnung, die ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt, die auf dem EU-Markt erhältlich sind. Damit sind nicht nur IoT-Produkte gemeint, sondern auch SaaS-Produkte oder Smartphone Apps. Das bedeutet, dass sich so gut wie alle Softwarehersteller mit dem Thema Cyber Resilience Act beschäftigen müssen. Der Cyber Resilience Act hat verschiedene Anforderungen, unter anderem die Erstellung und Archivierung einer SBOM für das jeweilige Softwareprodukt.

Mehr lesen
VEX erklärt: Welche Schwachstellen sind wirklich relevant?

VEX erklärt: Welche Schwachstellen sind wirklich relevant?

Durch den vermehrten Einsatz von Dritt-Software-Komponenten und die steigende Anzahl an täglichen neuen Schwachstellen führt kein Weg mehr an der systematischen Analyse von Schwachstellen vorbei. Wer sich bereits mit den bekannten CVE-Datenbanken beschäftigt hat, weiß, dass die Flut an gefundenen CVEs oft nur bedingt hilfreich ist. Nicht jede gemeldete Schwachstelle stellt tatsächlich ein Risiko dar, oftmals sind diese nicht relevant für das eingesetzte Produkt, die Konfiguration oder den Nutzungskontext. Hier kommt der VEX-Standard (Vulnerability Exploitability eXchange) ins Spiel.

Mehr lesen
Was bedeutet Software Composition Analysis (SCA)?

Was bedeutet Software Composition Analysis (SCA)?

Durch die vermehrte Nutzung von Open-Source und Third-Party-Komponenten konnten Vorteile wie schnellere Entwicklungszeiten und damit auch die entsprechenden Kosteneinsparungen realisiert werden. Allerdings entstanden natürlich auch entsprechende Risiken im Bereich Informationssicherheit und Compliance. Eine Software Composition Analysis (SCA) hilft, diese Risiken zu identifizieren und zielführend zu reduzieren.

Mehr lesen