4 Min. Lesezeit

Durchschnittlich 604 bekannte Schwachstellen stecken in den meistgenutzten Docker-Hub-Container-Images. 84 Prozent aller kommerziellen Codebasen enthalten mindestens eine Open-Source-Schwachstelle. Und der EU Cyber Resilience Act macht ab 2027 Software Bills of Materials zur Pflicht. Für IT-Teams in der Logistik ist Software Supply Chain Security kein optionales Thema mehr – die SBOM-Pflicht rückt näher.

Das Wichtigste in Kürze

• 604 Schwachstellen pro Image: Die 70 meistgenutzten Docker-Hub-Container-Images enthalten im Schnitt 604 bekannte Vulnerabilities, über 40 Prozent davon kritisch oder hoch (NetRise, Dezember 2024).
• 75 Prozent betroffen: Drei von vier Organisationen erlebten innerhalb eines Jahres einen Software-Supply-Chain-Angriff (BlackBerry, 2024).
• 704.102 Schadpakete: Seit 2019 wurden über 700.000 bösartige Pakete in öffentlichen Repositories identifiziert, mit 156 Prozent Wachstum gegenüber dem Vorjahr (Sonatype, 2024).
• SBOM-Pflicht ab 2027: Der EU Cyber Resilience Act verlangt maschinenlesbare Software Bills of Materials für alle digitalen Produkte. Strafen: bis 15 Millionen Euro (EU CRA, 2024).
• NIS2 trifft Logistik direkt: Transport, Lager und Spedition gehören zu den erfassten Sektoren. Meldepflicht: 24 Stunden nach Entdeckung eines Vorfalls.

Warum die Software-Lieferkette das neue Einfallstor ist

Die Angriffsfläche hat sich verlagert. Statt einzelne Unternehmen direkt anzugreifen, kompromittieren Angreifer Software-Komponenten, die Tausende Unternehmen gleichzeitig nutzen. Der XZ-Utils-Vorfall im März 2024 (CVE-2024-3094, CVSS 10.0) demonstrierte das Risiko: Ein einzelner Angreifer unterwanderte über drei Jahre hinweg ein Open-Source-Projekt – ähnlich wie bei der GlassWorm-Kampagne im März 2026 und platzierte eine Backdoor, die Remote Code Execution über SSH ermöglicht hätte. Entdeckt wurde der Angriff nur durch Zufall, als ein Microsoft-Entwickler eine ungewöhnliche Verzögerung bemerkte (CISA Alert, März 2024).

Für die Logistik ist das Risiko besonders hoch. NotPetya bewies 2017, was passiert, wenn ein kompromittiertes Software-Update eine Lieferkette trifft: Maersk verlor den Zugriff auf rund 50.000 Endpunkte und 76 Hafen-Terminals in 130 Ländern. Der Schaden: circa 300 Millionen US-Dollar allein bei Maersk, global geschätzte 10 Milliarden US-Dollar (CSOOnline).

Quelle: NetRise Supply Chain Visibility Study, Dezember 2024

Was in den Containern steckt

Die NetRise-Studie vom Dezember 2024 analysierte die 70 meistgenutzten Docker-Hub-Container-Images und fand durchschnittlich 604 bekannte Schwachstellen pro Image. Über 40 Prozent davon sind als kritisch oder hoch eingestuft. Jedes Image enthält im Schnitt 389 Software-Komponenten, und bei einer von acht Komponenten fehlt jegliches Software-Manifest (Help Net Security, 2024).

Über 45 Prozent der gefundenen Schwachstellen sind zwischen zwei und zehn Jahre alt. Das bedeutet: bekannte, längst gepatchte Sicherheitslücken werden durch veraltete Base Images immer wieder in neue Deployments getragen. Synopsys bestätigt das Muster: 91 Prozent der auditierten kommerziellen Codebasen enthalten Komponenten, die mindestens zehn Versionen veraltet sind (OSSRA Report, 2024).

Die Angriffsvektoren: Schadpakete in öffentlichen Repositories

Sonatype identifizierte bis August 2024 insgesamt 704.102 bösartige Pakete in öffentlichen Repositories wie npm, PyPI und Maven Central. Das Wachstum gegenüber dem Vorjahr: 156 Prozent. 2024 wurden über 400.000 neue Schadpakete entdeckt. Bei 6.600 Mrd. erwarteten Open-Source-Downloads bis Ende 2024 wächst die Angriffsfläche schneller als die Abwehrkapazität (Sonatype, 10. State of the Software Supply Chain Report).

Die Konsequenz für Logistik-IT: Jede Warehouse-Management-Software, jedes Transport-Management-System und jede IoT-Plattform für Flottentracking baut auf Open-Source-Komponenten auf. Wer die Herkunft dieser Komponenten nicht kennt, hat ein blindes Fleck in der eigenen Sicherheitsarchitektur.

Gartner prognostizierte 2022, dass bis 2025 45 Prozent aller Organisationen Software-Supply-Chain-Angriffe erleben würden. Die Realität übertraf die Prognose: BlackBerry-Daten zeigen für 2024 bereits 75 Prozent.Gartner Security Trends 2022 vs. BlackBerry Survey 2024

SBOM: Die Stückliste für Software

Ein Software Bill of Materials listet alle Komponenten einer Anwendung auf, inklusive Versionen, Lizenzen und bekannter Schwachstellen. Was in der physischen Lieferkette selbstverständlich ist (jeder Logistiker kennt den Inhalt seiner Container), fehlt in der Software-Lieferkette oft komplett.

Der SBOM-Markt wächst entsprechend: von circa 1,2 Milliarden US-Dollar 2024 auf prognostizierte 6,2 Milliarden bis 2033, mit einer jährlichen Wachstumsrate von 21,5 Prozent (Anchore, 2025). Großunternehmen stellen 58 Prozent der Anwender. Tools wie Trivy (Open Source, von Aqua Security), Snyk Container und Sysdig generieren SBOMs automatisch als Teil der CI/CD-Pipeline.

CRA und NIS2: Die Regulierung kommt

Der EU Cyber Resilience Act (Verordnung 2024/2847) ist seit Dezember 2024 in Kraft und betrifft alle Produkte mit digitalen Elementen, die in der EU verkauft werden. Ab 11. September 2026 müssen aktiv ausgenutzte Schwachstellen gemeldet werden. Ab 11. Dezember 2027 wird eine maschinenlesbare SBOM Pflicht. Das Format ist nicht vorgeschrieben, Standards wie SPDX und CycloneDX gelten als akzeptiert. Verstösse kosten bis zu 15 Millionen Euro oder 2,5 Prozent des globalen Jahresumsatzes (EU Digital Strategy).

NIS2 trifft die Logistik noch direkter. Transport, Lager, Spedition und Kurierdienste gehören zu den erfassten Sektoren. Unternehmen mit mehr als 50 Mitarbeitern oder über 10 Millionen Euro Umsatz fallen unter die Richtlinie. Die Anforderungen nach Artikel 21 umfassen ausdrücklich die Bewertung und Absicherung aller ICT-Lieferanten und Subunternehmer. Vorfälle müssen innerhalb von 24 Stunden erstgemeldet, innerhalb von 72 Stunden bewertet und innerhalb eines Monats abschliessend berichtet werden. Die persönliche Haftung des Managements bei Fahrlässigkeit verschärft den Druck zusätzlich (nFlo, Dataguard).

Container Security in der Praxis

Der Container-Security-Markt lag 2024 bei 2,87 Milliarden US-Dollar und soll bis 2032 auf 14,09 Milliarden wachsen (MarketsandMarkets). Die Werkzeuge sind ausgereift: Trivy scannt Container Images, Infrastructure-as-Code-Dateien und SBOMs in Sekunden. Sysdig nutzt eBPF für Echtzeit-Erkennung direkt im Kubernetes-Cluster. Snyk Container integriert sich in die IDE und erstellt automatische Fix-Pull-Requests.

Für Logistik-IT-Teams lautet die praktische Empfehlung: Base Images regelmäßig aktualisieren (die 45 Prozent jahrelang bekannter Schwachstellen sind vermeidbar), SBOM-Generierung in die CI/CD-Pipeline einbauen und Registry Scanning vor jedem Deployment erzwingen. Wer NIS2-pflichtig ist, muss diese Maßnahmen ohnehin dokumentieren.

Fazit

Die Software-Lieferkette ist heute die kritischste Angriffsfläche für Logistik-Unternehmen. 604 Schwachstellen pro Container Image, 704.000 Schadpakete in öffentlichen Repositories und ein regulatorisches Umfeld, das Transparenz erzwingt. SBOM, Container Scanning und Supply Chain Security sind keine Innovationsprojekte. Sie sind Compliance-Anforderungen mit Deadline – ähnlich wie die Vendor-Lock-in-Risiken bei VMware.

Häufige Fragen

Was ist eine Software Bill of Materials (SBOM)?

Eine SBOM ist eine maschinenlesbare Liste aller Software-Komponenten einer Anwendung, inklusive Versionen, Lizenzen und bekannter Schwachstellen. Sie macht die Zusammensetzung von Software transparent, ähnlich einer Zutatenliste bei Lebensmitteln. Der EU Cyber Resilience Act macht SBOMs ab Dezember 2027 für alle digitalen Produkte zur Pflicht.

Betrifft NIS2 auch mittelständische Logistikunternehmen?

Ja, wenn sie mehr als 50 Mitarbeiter beschäftigen oder über 10 Millionen Euro Umsatz erzielen. Transport, Lager, Spedition und Kurierdienste gehören explizit zu den erfassten Sektoren. Die Anforderungen umfassen unter anderem die Absicherung aller ICT-Lieferanten und eine Meldepflicht innerhalb von 24 Stunden.

Was ist der Unterschied zwischen CRA und NIS2 bei der Software-Sicherheit?

Der CRA regelt die Sicherheit von Produkten mit digitalen Elementen (Software und Hardware) und richtet sich an Hersteller. NIS2 regelt die Cybersicherheit von Organisationen in kritischen Sektoren und richtet sich an Betreiber. Für Logistik-Unternehmen bedeutet das: CRA betrifft die eingesetzte Software, NIS2 betrifft die Organisation selbst. Beide verlangen Transparenz über die Software-Lieferkette.

Wie finde ich Schwachstellen in meinen Container Images?

Open-Source-Tools wie Trivy (Aqua Security) scannen Container Images in Sekunden und liefern eine detaillierte Liste aller Schwachstellen mit CVSS-Scores. Kommerzielle Plattformen wie Snyk, Sysdig und Aqua Security bieten zusätzlich automatische Fixes, Policy Enforcement und Integration in CI/CD-Pipelines.

Wie häufig sollten Base Images aktualisiert werden?

Mindestens monatlich, bei kritischen Schwachstellen sofort. Die NetRise-Studie zeigt, dass über 45 Prozent der Schwachstellen in Container Images zwischen zwei und zehn Jahre alt sind. Automatisierte Rebuild-Pipelines, die Base Images regelmäßig neu bauen, eliminieren dieses Risiko weitgehend.

Weiterführende Lektüre

• Container Supply Chain Security: Docker und SBOM – cloudmagazin
• NIS2 und SaaS-Lieferkette: Compliance-Lücke – cloudmagazin

Mehr aus dem MBF Media Netzwerk

• GlassWorm: 400+ Entwickler-Tools kompromittiert – SecurityToday
• CSRD und Nachhaltigkeit im Vorstand – Digital Chiefs
• Cyber Resilience Act: Was Hersteller tun müssen – MyBusinessFuture

Quelle Titelbild: Pexels / Markus Spiske (px:2061168)