Homepage
All Cases
Zuletzt aktualisiert:
Autor: Okay Güler

Client Success Story

Uhren Symbol4 min.

Absicherung der Software-Supply-Chain für einen Marktführer in der Industrieautomation - CRA-ready und resilient by Design

Ein modernes und überprüfbares Sicherheitsframework für die Software-Supply-Chain in kritischen Fertigungs- und OT-Umgebungen - entwickelt für regulatorische Konformität, operative Sicherheit und nachhaltige Transparenz.

A space conveyor belt of code artifacts moving through glowing security gates. Each gate stamps the artifact with a trust sigil. Astronaut engineers oversee the process, holding scanner tools that emit light beams.

Der Impact auf einen Blick  

Das Projekt führte zu einer vollständig abgesicherten Software-Supply-Chain für ein führendes Unternehmen der Industrieautomation – im Einklang mit den Anforderungen des Cyber Resilience Acts (CRA), der DSGVO, IEC 62443 und ISO 27001. Der strategische Wandel ermöglichte eine Reduktion kritischer Software-Schwachstellen um bis zu 75 Prozent, eine Beschleunigung der Release-Zyklen um bis zu 80 Prozent sowie vollständige Komponententransparenz durch den Einsatz von Software Bills of Materials (SBOMs). Gleichzeitig wurde die Integrität aller ausgelieferten Artefakte durch das SLSA-Framework nachvollziehbar und manipulationssicher verankert. 

 

Ausgangslage und Herausforderung  

Wie viele moderne Industrieunternehmen agierte dieses Unternehmen in einer komplexen Hybrid-Cloud-Umgebung, die sowohl IT- als auch Operational Technology (OT)-Systeme unterstützte. Die Softwareentwicklung für Automatisierungs- und Steuerungssysteme war auf zahlreiche interne Teams und externe Zulieferer verteilt – mit jeweils unterschiedlichen Tools und variierendem Sicherheitsbewusstsein. 

So entstand ein klassisches Szenario: Die Komplexität der Software-Supply-Chain hatte die Sicherheitsgovernance überholt. Zu den kritischen Schwachstellen zählten unter anderem keine eindeutige oder aktuelle Software Bill of Materials (SBOM), inkonsistente Sicherheitskontrollen zwischen Teams und unsichere CI/CD-Pipelines ohne geschützte Artefaktverwaltung oder Commit-/Build-Signierung. 

 

Was auf dem Spiel stand 

Ohne eine strategische Neuausrichtung war das Unternehmen erheblichen und weiter wachsenden Risiken ausgesetzt, die seine Kernprozesse bedrohten: 

  • Regulatorisches Risiko: Hohes Risiko der Nicht-Konformität mit geltenden Vorschriften wie der DSGVO, mögliche Audit-Fehlschläge im Hinblick auf ISO 27001 sowie die Unfähigkeit, die neuen strengen Anforderungen der EU-Verordnung CRA und der Norm IEC 62443 für industrielle Steuerungssysteme zu erfüllen. 
  • Supply-Chain-Schwachstellen: Ohne eine SBOM fehlte jegliche Transparenz über verwundbare Open-Source- oder kommerzielle Abhängigkeiten.
    Ohne nachvollziehbare Software-Herkunft war die Produktlinie potenziell anfällig für Malware-Injektion und Manipulationsangriffe, die direkte Auswirkungen auf industrielle Prozesse haben könnten. 
  • Operatives Chaos: Unsichere und uneinheitliche CI/CD-Pipelines verursachten Reibung zwischen Teams und führten zu Sicherheitslücken.
    Das Fehlen automatisierter Sicherheitsmechanismen bedeutete, dass Schwachstellen häufig erst spät im Zyklus entdeckt wurden – was zu Release-Verzögerungen von fünf oder mehr Tagen führte. 
  • Geschäftsrisiko: Ein kompromittierter Software-Release hätte zu Produktionsausfällen, zur Störung von Fertigungsprozessen, zur Kompromittierung von OT-Systemen und sogar zu physischen Sicherheitsrisiken führen können – mit potenziell irreparablem Schaden für die Markenreputation in Bezug auf Verlässlichkeit und Sicherheit.

 

Unser Ansatz: So sind wir vorgegangen 

Wir haben ein Security-by-Design-Framework implementiert, indem wir eine umfassende Bedrohungsanalyse und die grundlegende Neugestaltung des gesamten Software-Delivery-Lebenszyklus durchgeführt haben. Der Ansatz war transformativ, nicht nur technisch: 

  • Proaktives Threat Modeling & Architektur-Reviews: Das Projekt begann mit einer tiefgehenden Analyse potenzieller Angriffsvektoren auf Basis des MITRE ATT&CK for Supply Chain Frameworks sowie der Überprüfung kritischer Schnittstellen (SSO, WAFs, IAM), um Risiken zu priorisieren. 
  • Transparenz durch SBOMs: Wir haben uns zur Erstellung einer Software Bill of Materials (SBOM) für jede Anwendung verpflichtet. Dies ermöglichte eine vollständige Bestandsaufnahme aller Softwarekomponenten, automatisierte Schwachstellenanalysen und eine schnelle Reaktion auf neu entdeckte Bedrohungen. 
  • Absicherung der Build-Pipeline mit SLSA: Zum Schutz vor Manipulation wurde das Supply-chain Levels for Software Artifacts (SLSA) Framework eingeführt. Die CI/CD-Umgebung wurde gemäß Zero-Trust-Prinzipien (MFA, RBAC) gehärtet, kryptografische Code-Signierung durchgesetzt und eine überprüfbare Software-Herkunft etabliert. 
  • Governance by Design: Risikobasierte Sicherheits-Pipelines (Guardrails) wurden definiert und mit automatisierten Tools für Static Application Security Testing (SAST), Dynamic Application Security Testing (DAST) und Software Composition Analysis (SCA) integriert. Eine vertrauenswürdige Container- und Code-Repository wurde aufgebaut, um Deployments zu standardisieren und abzusichern. 
  • Runtime Protection: Zur Sicherstellung durchgängiger Sicherheit wurde eine Echtzeitüberwachung implementiert – durch die Anbindung eines SIEM-Systems für Log-Analyse und den Einsatz KI-basierter Verhaltensanomalie-Erkennung. Zudem wurde eine SOAR-Plattform zur automatisierten Incident Response integriert, mit der kompromittierte Builds isoliert oder schädliche Injektionen blockiert werden konnten. 
  • Strukturiertes Third-Party Risk Management: Ein formales Governance-Modell für Lieferantensicherheit wurde etabliert – mit automatisierter Bewertungslogik zur Sicherstellung, dass alle Drittanbieter SBOM-Nachverfolgung und Best Practices der Sicherheit einhielten.

 

Greifbare Erfolge aus der Zusammenarbeit 

Das dreimonatige Engagement schuf eine sichere Grundlage für die Softwareentwicklung des Unternehmens, wobei die Partnerschaft verlängert wurde, um die langfristige Sicherheitsreife voranzutreiben:  

  • Deutlich schnellere Software-Releases: Sicherheitsbedingte Verzögerungen wurden von über fünf Tagen auf unter 24 Stunden pro Release reduziert, wodurch die Zyklen um bis zu 80 % beschleunigt wurden.  
  • Deutliche Reduzierung der Schwachstellen: Durch automatisiertes Scannen und Validieren wurde ein Großteil der Schwachstellen vor der Bereitstellung erkannt, wodurch kritische Befunde um bis zu 75 % reduziert werden konnten. 
  • Automatisierte Compliance und reduziertes Risiko: Das neue Framework stellte die Einhaltung der regulatorischen Anforderungen sicher, sodass Audits ohne festgestellte Verstöße erfolgreich bestanden wurden und die Risiken durch Dritte um 60 % reduziert werden konnten.  
  • Überprüfbare Integrität der Artefakte: Kritische Anwendungen erreichten SLSA Level 2, wodurch eine überprüfbare Herkunft gewährleistet und der Schutz vor Manipulationen im Build- und Release-Prozess erheblich verstärkt wurde. 
  • Internes Sicherheits-Know-how: Die Teams des Kunden wurden mit dem Fachwissen ausgestattet, um ihre Sicherheitspraktiken in der Software-Lieferkette aufrechtzuerhalten und weiterzuentwickeln und so die Sicherheit nachhaltig in ihren Prozessen zu verankern. 

Machen Sie Ihre Lieferkette im Finanzsektor zur Stärke

Gemeinsam mit uns analysieren Sie Ihre Finanz-Supply-Chain, decken verborgene Abhängigkeiten auf und entwickeln robuste Kontrollen – Schritt für Schritt zu mehr Sicherheit und Stabilität.

Supply-Chain-Analyse anfragen
Okay

Okay

CEO
Okay ist unser CEO und Gründer. Seit über einem Jahrzehnt arbeitet er an der Schnittstelle von Technologie, Business und Security – mit der Überzeugung, dass Security keine technische Pflichtübung ist, sondern eine strategische Grundlage für nachhaltiges Wachstum. Er berät CISOs, CTOs und Technologieführungskräfte dabei, Security als Business-Strategie zu verankern. Ihn beschäftigt besonders die Frage, wie Organisationen in einer Welt, in der Vertrauen der entscheidende Wettbewerbsvorteil ist, innovativ entwickeln können.

Insights

Insights

Zum Beitrag: Einheitliche DevSecOps- und Supply-Chain-Security
Three astronauts in a spaceship stand in front of a holographic command map.

Client Success Story

Globale SAFe-Programme sicher steuern – DevSecOps by Design

Einheitliche DevSecOps- und Supply-Chain-Security

Einheitliche DevSecOps- und Supply-Chain-Security: So meistern Unternehmen komplexe, globale Entwicklungsprogramme.

Weiterlesen
Zum Beitrag: Cloud-Sicherheit im öffentlichen Sektor: Erfolgsstrategien für Deutschlands digitale Verwaltung
An astronaut is working on a galactic cloud construction site building a cloud.

Secure by Design

Cloud-Sicherheit im öffentlichen Sektor

Cloud-Sicherheit im öffentlichen Sektor: Erfolgsstrategien für Deutschlands digitale Verwaltung

Erfahren Sie, wie Institutionen des öffentlichen Sektors mit modernen Sicherheitsmodellen wie Zero Trust und CSPM die Herausforderungen rund um Datenschutz, Legacy-Systeme und Regulatorik meistern und wie eine risikobasierte Strategie Cloud-Initiativen erfolgreich macht.

Weiterlesen
Zum Beitrag: Von unkontrollierten Uploads zum Sicherheitsalbtraum
A computer standing on a desk in a spaceship with a file upload screen.

Secure by Design

Von unkontrollierten Uploads zum Sicherheitsalbtraum

Von unkontrollierten Uploads zum Sicherheitsalbtraum

Ein einziges ungesichertes Upload-Feld kann Ihr gesamtes System gefährden. Entdecken Sie die Risiken unbeschränkter Datei-Uploads, echte Angriffsbeispiele und praxisnahe Schutzmaßnahmen.

Weiterlesen
Alle Beiträge entdecken

CLOUDYRION verbindet IT-Sicherheit mit einer Sicherheitskultur, die Ihre Projekte stärkt. Wir entwickeln gemeinsam sichere Architekturen, Prozesse und Lösungen, die Ihre IT-Strategie und Unternehmenskultur optimal unterstützen

CLOUDYRION GmbH
Kesselstr. 3
40221 Düsseldorf
info@cloudyrion.com+49 (0) 211 94251211
Zu unserem Instagram AccountZu unserem LinkedIn AccountZu unserem Xing AccountZu unserem Spotify AccountZu unserem Kununu Account