Der US-Think-Tank Atlantic Council, der auf Internationale Beziehungen spezialisiert ist, hat einen Report "Breaking Trust: Shades of Crisis Across an Insecure Software Supply Chain" veröffentlicht. Darin will der Council aufzeigen, dass die Unsicherheit der Software-Lieferkette eine "Hauptquelle" für nationale Sicherheitsrisiken sowohl für öffentliche als auch für private Organisationen sei.

Im Gegensatz zum physischen Aspekt von Geräten werde Software ständig aktualisiert. Das bedeute, dass die Lieferkette für Software lang ist und vollständig davon abhänge, dass die Benutzer ihren Anbietern und Entwicklern vertrauen.

Für den Report haben die Autoren 115 Angriffe auf Software-Lieferketten in den letzten zehn Jahren untersucht – und wie sich diese Angriffe verändert haben. "Das Sicherheitsrisiko in der Lieferkette wächst", schreiben sie, "und manifestiert sich zunehmend in Schäden für Software-Anwender." In einer zusammenhängenden Software-Umgebung würden erfolgreiche Angriffe vom Endziel wegwandern und sich verstärkt auf die schwächsten Glieder in der Lieferkette fokussieren.

Der Report macht dabei die folgenden Haupttrends aus:

Die Autoren geben auch Empfehlungen an die Tech-Industrie und politische Entscheidungsträger ab, wie die Sicherheit der Lieferkette erhöht werden kann. Das vermutlich Nützlichste sei "die Unterstützung für weitgehend kompatible Standards sowie Werkzeuge anzubieten, um die Belastung der Entwickler durch ein sicheres Software-Lieferkettenmanagement zu verringern". Weiter soll Open Source besser geschützt werden: "Die politische Gemeinschaft muss die Bemühungen, Open-Source-Projekte sicherer zu machen, unterstützen." Sonst würde ein innovatives Ökosystem verdorren.

Der ausführliche Report mit zahlreichen Beispielen von Angriffen auf die Lieferkette kann auf der Website des Atlantic Council kostenlos als PDF heruntergeladen werden.