LGR CMS

Tag: Supply Chain

  • OWASP Top 10 2025: Warum Supply‑Chain‑Risiken jetzt im Fokus stehen

    OWASP Top 10 2025: Warum Supply‑Chain‑Risiken jetzt im Fokus stehen

    LGR Reutlingen – 06 Juni 2026 | Die aktuelle OWASP Top 10 2025 Supply-Chain-Risiken rcken in den Fokus und verändern damit die Spielregeln für Entwickler, Unternehmen und Aufsichtsbehörden. Während künstliche Intelligenz (KI) neue Abwehrmöglichkeiten eröffnet, eröffnet sie gleichzeitig Angreifern bislang unbekannte Angriffsflächen. Die jüngste Aktualisierung der OWASP‑Liste, veröffentlicht am 5. Juni 2026, verschiebt das Augenmerk von einzelnen, veralteten Komponenten hin zu systemischen Schwachstellen im gesamten Software‑Ökosystem.

    Der neue Eintrag A03 trägt den Titel Software Supply Chain Failures und ersetzt die bisherige Kategorie Vulnerable and Outdated Components. Damit wird deutlich, dass Angriffe nicht mehr ausschließlich über fehlerhaften Quellcode, sondern über manipulierte Bibliotheken, Paket‑Repositorien und Build‑Pipelines erfolgen. Ein eindrückliches Beispiel hierfür lieferte das PyPI‑Repository im Mai dieses Jahres, als drei kompromittierte Versionen eines Python‑SDKs für durabletask entdeckt wurden. Das betroffene Paket wird monatlich rund 400.000 Mal heruntergeladen – ein beunruhigender Hinweis auf die potenzielle Reichweite solcher Angriffe.

    OWASP Top 10 2025 Supply-Chain-Risiken rcken in den Fokus

    Die Konsequenzen für Unternehmen sind gravierend. Der EU‑Cyber‑Resilience‑Act, der am 11. September 2026 in Kraft tritt, verlangt von kritischen Infrastrukturen detaillierte Berichte über Lieferketten‑Risiken. Unternehmen müssen nun nicht mehr nur ihre eigenen Code‑Bases auditieren, sondern auch die Herkunft und Integrität sämtlicher Dritt‑Komponenten nachweisen. Die Kombination aus regulatorischem Druck und der zunehmenden Komplexität moderner Software‑Stacks zwingt zu einer ganzheitlichen Sicherheitsstrategie.

    Ein weiteres neues Element der Top‑Liste ist A10 – Mishandling of Exceptional Conditions. Fehlerhafte Ausnahmebehandlungen bleiben ein beliebtes Einfallstor für Angreifer, weil sie oft unbeabsichtigt sensible Informationen preisgeben oder unerwartete Pfade öffnen, die von Exploits ausgenutzt werden können. In der Praxis zeigen Studien, dass rund 30 % der kritischen Schwachstellen auf mangelhafte Fehlerbehandlung zurückzuführen sind.

    KI als zweischneidiges Schwert

    Gleichzeitig entwickelt sich die KI‑gestützte Sicherheitslandschaft rasant. Am 3. Juni 2026 veröffentlichte das Unternehmen Anthropic auf GitHub eine Open‑Source‑Referenzimplementierung, die das KI‑Modell Claude in einen autonomen Code‑Verteidiger verwandelt. Das System analysiert Quellcode, identifiziert potenzielle Schwachstellen, priorisiert sie nach Schweregrad und schlägt automatisierte Patches vor. Dieses Projekt ist Teil von Project Glasswing, das bereits mehr als 150 Organisationen aus über 15 Ländern, darunter Samsung, SK Hynix, die NATO und die EU‑Agentur ENISA, zusammenbringt.

    Die US‑Regierung hat mit einem Exekutivbefehl vom 2. Juni 2026 eine spezialisierte KI‑Cybersicherheits‑Zentrale eingerichtet, die Schwachstellen‑Scans und Patch‑Verteilungen für kritische Infrastrukturen koordiniert. Experten sehen darin einen wichtigen Schritt, um die wachsende Flut an KI‑generiertem Code zu kontrollieren.

    Allerdings birgt KI selbst Risiken: Laut aktuellen Sicherheitsleitfäden besteht lediglich etwa 55 % des KI‑generierten Codes aus Standard‑Sicherheitsprüfungen. Pull‑Requests, die von KI‑Assistenten stammen, enthalten demnach 15‑18 % mehr Sicherheitslücken als solche von menschlichen Entwicklern. Diese Diskrepanz wird besonders deutlich bei der automatisierten Erstellung von PowerShell‑Skripten und bei der Suche nach Zero‑Day‑Lücken.

    Praxisnahe Gegenmaßnahmen

    Um den neuen Bedrohungen zu begegnen, haben Cloud‑Anbieter und Sicherheitsfirmen ihre Angebote angepasst. Amazon Web Services kündigte am 4. Juni mehrere Verbesserungen an, darunter fein granulare Zugriffskontrollen für Verbraucheranwendungen und Werkzeuge zur Identifizierung ungenutzter Verschlüsselungsschlüssel. Für Unternehmen, die KI‑Anwendungen betreiben, empfehlen Sicherheitsexperten eine mehrschichtige Verteidigungsstrategie, die über klassische Datenverwaltung hinausgeht:

    • Implementierung von String‑Verschlüsselung und Kontrollfluss‑Schutz, um Reverse Engineering zu erschweren.
    • Einsatz von Automatisierungs‑Tools zur kontinuierlichen Analyse von Supply‑Chain‑Abhängigkeiten.
    • Regelmäßige Software‑Bill‑of‑Materials (SBOM) Checks, um Herkunft und Version aller Dritt‑Komponenten nachzuverfolgen.
    • Einbindung von KI‑gestützten Code‑Reviews kombiniert mit menschlicher Peer‑Review, um Fehlalarme zu reduzieren.

    Für Remote‑Mitarbeiter empfiehlt die Branche die Nutzung von WPA3 für Heimnetzwerke, die 3‑2‑1‑Backup‑Regel (drei Kopien, auf zwei Medien, eine extern) und die konsequente Durchsetzung von Multi‑Faktor‑Authentifizierung, insbesondere für E‑Mail‑ und Cloud‑Konten.

    Ausblick: Was bedeutet das für die Industrie?

    Die Verschiebung des Fokus hin zu Lieferketten‑Risiken hat bereits erste Auswirkungen auf Investitionen. Unternehmen, die bislang primär in Netzwerk‑Firewalls investiert haben, verlagern Budgets in Richtung Software‑Supply‑Chain‑Management und Automatisierte Schwachstellen‑Scans. Start‑ups, die KI‑gestützte Sicherheitslösungen anbieten, erleben ein starkes Wachstum – ein Trend, den Analysten von Bloomberg als “Sicherheits‑KI‑Boom” bezeichnen.

    Gleichzeitig bleibt die Gefahr durch traditionelle Malware bestehen. Anfang Juni wurde die Ransomware Lalia entdeckt, die gezielt Windows‑Systeme verschlüsselt und Schattenkopien löscht. Parallel dazu steigt das Risiko von Deep‑Fake‑Betrug, bei dem kurze Audio‑Clips ausreichen, um Stimmen zu klonen und Unternehmen zu täuschen.

    Die Kombination aus regulatorischem Druck, technologischem Wandel und der zunehmenden Verbreitung von KI schafft ein Spannungsfeld, in dem Unternehmen flexibel und proaktiv agieren müssen. Die OWASP Top 10 2025 Supply-Chain-Risiken rcken in den Fokus – und damit auch die Notwendigkeit, Lieferketten‑Sicherheit als zentralen Bestandteil der digitalen Resilienz zu begreifen.

  • Regulierung als zweischneidiges Schwert: Was die Experten‑Runde über Europas Batteriezukunft sagt

    Regulierung als zweischneidiges Schwert: Was die Experten‑Runde über Europas Batteriezukunft sagt

    LGR Reutlingen – 01 Juni 2026 | Die Experten‑Runde: Regulierung hilft Europa – und schadet gleichzeitig hat im Rahmen der Automotive Masterminds 2026 in Berlin die aktuelle Lage der europäischen Elektromobilität in den Fokus gerückt. Vertreter aus Industrie, Technologie und Batteriewirtschaft nutzten das Forum für eine schonungslose Bestandsaufnahme, die deutlich machte, dass regulatorische Vorgaben zwar Orientierung bieten, aber gleichzeitig das Wachstum hemmen können.

    Ein zentrales Bild der Diskussion war die nach wie vor stark unterschiedliche Elektrifizierungsrate innerhalb des Kontinents. Während Skandinavien mit Norwegen und Dänemark bereits an der Schwelle zur flächendeckenden Elektromobilität steht, liegen Länder wie Bulgarien oder Rumänien bei weniger als zwei Prozent. Diese Kluft ist weniger ein Zeichen fehlenden Interesses, sondern vielmehr das Resultat struktureller Unterschiede – von Ladeinfrastruktur über staatliche Förderungen bis hin zu regionalen Mobilitätsgewohnheiten.

    Nico Münch, Senior Director of Program Management bei Rimac Technology, verdeutlichte diesen Umstand anhand des kroatischen Gebrauchtwagenmarktes: Ohne ein dichtes Netz an Ladestationen und ohne finanzielle Anreize gibt es kaum Anreiz, ein Elektrofahrzeug zu erwerben. Im Gegensatz dazu habe Norwegen bereits seit Jahren eine flächendeckende Ladeinfrastruktur, was den Umstieg praktisch zur Selbstverständlichkeit machte. Der Schluss aus dieser Beobachtung lautet, dass Europa kein einheitliches Marktumfeld besitzt, sondern ein Flickwerk aus sehr unterschiedlichen Ausgangsbedingungen.

    Vor diesem Hintergrund rückte Franz Geyer, Head of Technology and Strategy bei BMW, die Lieferkettenproblematik ins Zentrum der Debatte. Laut Geyer verbleibe lediglich rund dreißig Prozent der automobilen Wertschöpfung innerhalb Europas, der Rest fließe ins Ausland – vor allem in Form von Zulieferteilen und kompletten Fahrzeugen. Noch gravierender sei die Abhängigkeit von kritischen Rohstoffen wie Graphit, das für fast jede Batteriezelle unverzichtbar sei. China liefere über neunzig Prozent dieses Materials. Ein Exportverbot für Graphit würde demnach sämtliche europäischen Zellfabriken handlungsunfähig machen.

    Holger Oest, General Manager bei Gotion GmbH, erklärte, dass der chinesische Vorsprung vor allem auf einer konsequenten Vertikal‑Integration beruhen solle, die vom Rohstoffabbau bis zum Recycling reicht. Wer die gesamte Kette kontrolliert, sei flexibler, unabhängiger und könne das wettbewerbsfähigste Produkt liefern. Diese Strategie erfordere zudem langfristige Investitionsbereitschaft und die Fähigkeit, Rückschläge zu verkraften – Eigenschaften, die europäische Unternehmen wegen des quartalsweisen Leistungsdrucks häufig fehlen.

    Ein anschauliches Negativbeispiel lieferte das Scheitern des schwedischen Gigafactory‑Projekts Northvolt. Oest kritisierte, dass europäische Unternehmen häufig kurzfristige Renditeziele verfolgen, während chinesische Akteure langfristige Programme von fünf bis zehn Jahren ohne sofortige Gewinnabsicht umsetzen. Diese unterschiedliche Risikobereitschaft erschwere den Aufbau einer konkurrenzfähigen Produktionsbasis in Europa erheblich.

    Geyer plädierte daher für ein diversifiziertes Versorgungsnetzwerk nach dem Prinzip „Europe and Friends“. Länder wie Kanada, Südafrika und verschiedene südamerikanische Staaten zeigten Interesse an einer partnerschaftlichen Zusammenarbeit, um gemeinsam an der Wertschöpfung teilzuhaben. Der vollständige Aufbau aller Kettenstufen ausschließlich in Europa sei aus Kostengründen, Rohstoffknappheit und gesellschaftlicher Akzeptanz unrealistisch.

    Ein weiterer Diskussionspunkt war die Frage, ob Europa überhaupt eigene Zellproduktion in großem Maßstab anstreben solle. Münch argumentierte, dass Europa bereits im Kampf gegen die jahrzehntelange Erfahrung chinesischer und koreanischer Hersteller verliere. Stattdessen solle man die Stärken im Zelldesign und in der Prozessentwicklung ausspielen – ähnlich wie Nvidia seine Chips nicht selbst fertigt, sondern das Design an TSMC auslagert. Durch das Einbringen europäischer Innovationskraft in das Design könnten etablierte Hersteller wie EVE dazu bewegt werden, Werke in Europa zu errichten, ohne dass europäische Unternehmen die gesamte Fertigung von Grund auf neu aufbauen müssten.

    Geyer stimmte zu, betonte jedoch, dass geopolitische Spannungen und Handelskonflikte eine gewisse Eigenfertigungskapazität erforderten. Beide Wege – Design‑Fokus und selective Produktion – müssten parallel verfolgt werden, um sowohl technologische Souveränität als auch wirtschaftliche Resilienz zu gewährleisten.

    Ein Lichtblick in der Produktionstechnik seien aktuelle Prozessinnovationen. Das trockene Coating‑Verfahren könne den Energiebedarf in der Zellfertigung um bis zu fünfzig Prozent senken und gleichzeitig den Flächenverbrauch der Werke reduzieren. Diese Technologie sei bereits für etablierte Chemien wie LFP oder NMC einsetzbar, ohne auf den nächsten großen Technologiesprung warten zu müssen.

    Experten‑Runde: Regulierung hilft Europa – und schadet gleichzeitig – zentrale Erkenntnisse

    Auf die Frage, ob europäische Nachhaltigkeitsinitiativen wie der Batteriepass oder der Carbon Border Adjustment Mechanism zu Wettbewerbsvorteilen führen könnten, reagierte Oest differenziert. Regulierung setze Leitplanken und schaffe gleiche Bedingungen, wirke jedoch gleichzeitig wie ein Importhindernis für Anbieter aus Ländern ohne vergleichbare Auflagen. Der administrative Aufwand erhöhe die Kosten für europäische Unternehmen, ohne die externe Konkurrenz im gleichen Maße zu belasten.

    Geyer ergänzte, dass Nachhaltigkeitsziele allein nicht ausreichen, wenn die industrielle Basis fehlt, um sie zu realisieren. Während China bis 2025 rund dreihundert Gigawattstunden erneuerbarer Energie ausbauen wolle, stehe Deutschland im selben Zeitraum bei lediglich 1,3 Gigawattstunden. Ohne ausreichende Stromversorgung würden selbst die modernsten Batteriefabriken an ihre Grenzen stoßen.

    Ein weiteres Instrument, das bislang zu wenig beachtet werde, seien Power Purchase Agreements – direkte Energiebezugsverträge zwischen Industrie und Erzeugern. Solche Vereinbarungen könnten die Energiewende beschleunigen, ohne den Staatshaushalt zu belasten. Würde dieses Instrument beschnitten, fehle ein wesentlicher Hebel zur Dekarbonisierung der Produktion.

    Die Diskussion machte deutlich, dass Regulierung sowohl Schutzwall als auch Bremse sein kann. Während sie notwendige Standards setzt und den europäischen Markt vor Dumping schützt, kann sie gleichzeitig Innovationsgeschwindigkeit dämpfen, wenn sie zu starr oder zu komplex ist. Ein ausgewogenes Regelwerk, das klare Ziele definiert, aber gleichzeitig Flexibilität für technologische Sprünge lässt, sei entscheidend.

    Zusammengefasst lässt sich festhalten, dass Europa vor einer strategischen Zwickmühle steht: Einerseits die Notwendigkeit, die Abhängigkeit von China zu reduzieren, andererseits die Realisierung, dass ein vollständiger, autarker Batteriezweig in Europa derzeit ökonomisch und ressourcenseitig kaum machbar ist. Die Lösung liege in einer Kombination aus gezielter Eigenfertigung, starkem Fokus auf Design‑ und Prozessinnovation sowie einem breit aufgestellten Netzwerk aus zuverlässigen Partnern außerhalb des Kontinents.

    Für die Branche bedeutet das, dass Unternehmen ihre Investitionsstrategien neu ausrichten müssen: Statt in teure Gigafactories zu stecken, sollten sie in Forschung, Entwicklung und in die Schaffung von Rahmenbedingungen für internationale Kooperationen investieren. Nur so könne Europa langfristig wettbewerbsfähig bleiben, ohne dabei die eigenen Nachhaltigkeitsziele zu gefährden.