Wir verwenden Cookies für Analyse und Fehlerbehebung.

Zurück zum Blog
Dr. Philip Empl

PSIRT-Reifegrad von Zulieferern: So bewerten Sie die Incident-Response-Fähigkeit Ihrer Lieferkette

PSIRT-ReifegradLieferkettensicherheitCRA-ComplianceBSI TR-03183Tracer

PSIRT-Reifegrad von Zulieferern: So bewerten Sie die Incident-Response-Fähigkeit Ihrer Lieferkette — bevor es zu spät ist

Der PSIRT-Reifegrad — die Fähigkeit Ihres Zulieferers, Schwachstellen zu erkennen, zu behandeln und offenzulegen — entscheidet darüber, ob ein Fehler in einer Drittkomponente eingedämmt bleibt oder in Ihr Produkt kaskadiert. Der EU Cyber Resilience Act gilt nicht nur für Ihr Produkt, sondern für jede Komponente darin. Wenn Ihr Zulieferer eine Schwachstelle nicht beherrscht, wird sie zu Ihrer Schwachstelle.

Ihr Produkt ist nur so sicher wie Ihr schwächster Zulieferer

2024 traf die MOVEit-Schwachstelle nicht nur Progress Software. Sie kaskadierte durch Tausende von Organisationen, die MOVEit in ihre Workflows integriert hatten — Organisationen, die keinerlei Einblick in die Fähigkeit von Progress Software hatten, Sicherheitslücken zu erkennen, darauf zu reagieren und diese offenzulegen.

Das war kein Software-Bug. Das war ein Versagen der Lieferkettensicherheit.

Und mit dem Inkrafttreten des EU Cyber Resilience Act (CRA) im September 2026 wird ein solches Versagen zur rechtlichen Haftung. Artikel 13(6) ist eindeutig: Hersteller müssen bei der Integration von Drittkomponenten Sorgfaltspflichten einhalten. Anhang I, Teil II verlangt, dass Schwachstellen durch Sicherheitsupdates behoben werden können — einschließlich Schwachstellen in Komponenten, die Sie nicht selbst entwickelt haben.

Die Frage lautet nicht mehr „Hat mein Zulieferer eine Schwachstelle?" — sondern „Kann mein Zulieferer damit umgehen, wenn eine auftritt?"

Diese Frage hat einen Namen: PSIRT-Reifegrad.

Was ist PSIRT-Reifegrad — und warum sollten Sie ihn messen?

Ein Product Security Incident Response Team (PSIRT) ist die organisatorische Funktion, die für die Identifizierung, Verwaltung und Offenlegung von Schwachstellen in den Produkten eines Unternehmens verantwortlich ist. Das FIRST (Forum of Incident Response and Security Teams) hat das PSIRT Services Framework veröffentlicht, das definiert, wie ein ausgereiftes PSIRT aussieht.

PSIRT-Reifegrad beschreibt, inwieweit ein Zulieferer diese Fähigkeiten operationalisiert hat:

  • Schwachstellenannahme — Können externe Sicherheitsforscher Schwachstellen melden? Gibt es einen öffentlichen Kanal?
  • Coordinated Vulnerability Disclosure (CVD) — Hat der Zulieferer eine veröffentlichte CVD-Richtlinie mit definierten Fristen?
  • security.txt — Veröffentlicht der Zulieferer eine maschinenlesbare RFC 9116-Datei unter /.well-known/security.txt?
  • Advisory-Veröffentlichung — Gibt der Zulieferer Sicherheitshinweise im CSAF- oder VEX-Format heraus?
  • Erreichbarkeit — Kann man das Security-Team tatsächlich kontaktieren?

Ein Zulieferer mit hohem PSIRT-Reifegrad wird Schwachstellen früh erkennen, die Offenlegung verantwortungsvoll koordinieren und Patches schnell bereitstellen. Ein Zulieferer mit niedrigem Reifegrad lässt Sie ungeschützt — und unter dem CRA werden Sie es sein, der das den Regulierungsbehörden erklären muss.

Das Problem: Niemand misst das

Hier liegt die Marktlücke, über die niemand spricht:

SBOM-Tools (Cybellum, OneKey, FOSSA, Snyk) zeigen Ihnen, welche Komponenten in Ihrem Produkt stecken und welche CVEs sie betreffen. Das ist wertvoll. Aber es sagt nichts darüber aus, ob die Organisation hinter dieser Komponente tatsächlich auf die nächste Schwachstelle reagieren kann.

GRC-Plattformen (ServiceNow, OneTrust, ComplyDo) bewerten die Zulieferer-Compliance auf organisatorischer IT-Ebene — ISO 27001-Zertifizierungen, SOC 2-Berichte, Fragebogen. Aber sie evaluieren keine Produktsicherheits-Incident-Response-Fähigkeiten.

Threat-Modeling-Tools (IriusRisk, ThreatModeler) helfen bei der Risikoanalyse in der Designphase. Aber sie haben keinerlei Zulieferer-Intelligence.

Das Ergebnis? Ein blinder Fleck. Sie wissen, was in Ihrer Lieferkette steckt (SBOM), und vielleicht wissen Sie, ob Ihr Zulieferer ein Audit bestanden hat (GRC), aber Sie haben keine Ahnung, wie sich Ihr Zulieferer verhält, wenn an einem Freitagnachmittag ein Zero-Day auftaucht.

Diese Verhaltensbereitschaft ist PSIRT-Reifegrad. Und bis jetzt gab es keine systematische Methode, ihn zu bewerten.

Wie eine PSIRT-Bewertung von Zulieferern konkret aussieht

Bei Complioty haben wir den Tracer entwickelt, um diese Lücke zu schließen. Hier ist das Bewertungsmodell:

Signal 1: security.txt — Vorhandensein und Qualität

RFC 9116 definiert einen Standard, über den Organisationen ihre Sicherheitskontaktdaten kommunizieren. Gemäß BSI TR-03183 ist dies eine empfohlene Praxis für die CRA-Konformität.

Tracer prüft:

  • Existiert /.well-known/security.txt?
  • Enthält sie ein Contact-Feld?
  • Gibt es einen Policy-Link (CVD-Richtlinie)?
  • Ist ein gültiges Expires-Datum vorhanden?
  • Wird PGP-Verschlüsselung angeboten?

Eine vollständige, aktuelle security.txt signalisiert, dass ein Zulieferer die Schwachstellenannahme ernst nimmt. Eine fehlende oder abgelaufene ist ein Warnsignal.

Signal 2: CVD-Richtlinie

Veröffentlicht der Zulieferer eine Richtlinie zur koordinierten Schwachstellenoffenlegung? Eine CVD-Richtlinie definiert:

  • Wie Schwachstellen gemeldet werden können
  • Erwartete Reaktionszeiten
  • Koordinierungsprozess für die Offenlegung
  • Safe-Harbor-Bestimmungen für Sicherheitsforscher

Unter dem CRA sind Hersteller verpflichtet, CVD-Prozesse zu haben. Wenn Ihr Zulieferer keine hat, ist er nicht nur unreif — er könnte non-compliant sein.

Signal 3: Advisory-Veröffentlichungsfähigkeit

Veröffentlicht der Zulieferer Sicherheitshinweise? In welchem Format?

  • CSAF (Common Security Advisory Format) — Maschinenlesbar, BSI-empfohlen, CRA-konform
  • VEX (Vulnerability Exploitability eXchange) — Kommuniziert, ob eine Schwachstelle ein bestimmtes Produkt tatsächlich betrifft
  • Freitext-Advisories — Besser als nichts, aber nicht automatisierbar

Tracer bewertet, ob der Zulieferer einen sichtbaren Advisory-Feed hat und ob dessen Format automatische Verarbeitung unterstützt.

Signal 4: Verifizierung der Rechtsform

Ist der Zulieferer, wer er vorgibt zu sein? Tracer gleicht Zuliefererdaten mit der GLEIF-Datenbank (Global Legal Entity Identifier Foundation) ab, um den Status der Rechtsform und die Konzernstruktur zu verifizieren. Das ist wichtig, weil:

  • CRA-Pflichten der Kette der Rechtsträger folgen
  • Fusionen, Übernahmen und Briefkastenfirmen die Verantwortlichkeit verschleiern können
  • Regulierungsbehörden ein klares rechtliches Ziel für die Durchsetzung benötigen

Signal 5: Compliance-Framework-Abgleich

Tracer bewertet die Zulieferer-Bereitschaft anhand der BSI TR-03183, der Technischen Richtlinie des Bundesamts für Sicherheit in der Informationstechnik zur CRA-Umsetzung. Dies umfasst:

  • Anforderungen an den Schwachstellenbehandlungsprozess
  • Pflichten zur SBOM-Bereitstellung
  • Mechanismen zur Bereitstellung von Sicherheitsupdates
  • Kommunikation zum End-of-Support

Von der Bewertung zur Aktion: Der Tracer-Workflow

Tracer bewertet Zulieferer nicht nur — er treibt einen strukturierten Anreicherungs-Workflow:

1. CreateSupplier     → Zulieferer mit Basisdaten registrieren
2. IdentifyCompany    → Websuche, Domain-Crawling, Unternehmensidentifikation
3. EnrichMetadata     → GLEIF-Verifizierung, Geokodierung, normalisierte Daten
4. AnalyzePSIRT       → security.txt, Kontaktermittlung, PSIRT-Signalbewertung
5. CheckCompliance    → BSI TR-03183 Gap-Analyse, Readiness-Scoring

Jeder Schritt löst Domain Events aus, die den nächsten anstoßen, und baut ein umfassendes Zulieferer-Sicherheitsprofil auf — ohne manuelle Recherche.

Das Ergebnis: eine klare, evidenzbasierte Übersicht, welche Zulieferer CRA-ready sind, welche Verbesserung benötigen und welche ein inakzeptables Risiko für die Compliance-Position Ihres Produkts darstellen.

Warum das jetzt wichtig ist

Der CRA-Zeitplan ist eng:

  • September 2026: Pflichten zur Schwachstellenbehandlung und -meldung treten in Kraft
  • 2027: Vollständige Konformitätsbewertungsanforderungen gelten

Wenn Ihr Produkt Drittkomponenten enthält — und jedes Produkt tut das —, hängt Ihre Compliance von der Fähigkeit Ihrer Zulieferer ab, mit Schwachstellen umzugehen. Am Tag der Durchsetzung zu entdecken, dass ein kritischer Zulieferer kein PSIRT, keine security.txt und keine CVD-Richtlinie hat, ist keine vertretbare Position.

Beginnen Sie jetzt mit der Bewertung. Der CRA honoriert keine guten Absichten — nur Sorgfaltspflicht.

Der geschlossene Kreislauf: Tracer im Complioty-Ökosystem

Tracer arbeitet nicht isoliert. Er ist Teil einer Product-Security-Plattform mit vier Apps:

  • Designer identifiziert Bedrohungen in der Designphase — einschließlich Angriffsvektoren in der Lieferkette
  • Observer aggregiert Vulnerability Intelligence — einschließlich Advisories aus den CSAF-Feeds Ihrer Zulieferer
  • Tracer bewertet, ob Zulieferer diese Schwachstellen tatsächlich handhaben können
  • Notifier verwaltet Ihren eigenen CVD-Prozess — damit Sie praktizieren, was Sie von Ihrer Lieferkette verlangen

Wenn Observer ein neues CVE für eine Komponente eines Zulieferers erkennt, den Tracer als PSIRT-unreif eingestuft hat, wissen Sie nicht nur, dass Sie eine Schwachstelle haben — Sie wissen, dass Sie ein Lieferkettenrisiko haben. Das ist der Unterschied zwischen Schwachstellenmanagement und Lieferkettensicherheit.

Bereit, die Incident-Response-Fähigkeit Ihrer Lieferkette zu bewerten? Kontaktieren Sie uns, um Tracer in Aktion zu sehen.

Bereit, Ihre Lieferkette zu bewerten?

Cyber Resilience Act

11. September 2026.

Ab dann ist Product Security gesetzliche Pflicht.

176
Tage
:
15
Std.
:
27
Min.
:
35
Sek.

Wissen allein reicht nicht. Handeln zählt.

Setze die Erkenntnisse direkt um. Complioty macht Product Security umsetzbar.

Kostenloser CRA-Quick Scan