nexalign

Glossary term

Supply Chain Risk

Also: Lieferketten-Risiko, Software Supply Chain Risk

Risiken aus der Software- und Hardware-Lieferkette: kompromittierte Open-Source-Pakete, Build-Pipeline-Angriffe, Updates mit Backdoors, Sub-Lieferanten ohne Audit-Trail. Pflicht-Adressierung in NIS2 Art. 21 Buchstabe d und DORA Art. 28 (Sub-Outsourcing).

Bekannte Vorfälle: SolarWinds (2020 Update-Kompromittierung), Log4Shell (2021 CVE-2021-44228), 3CX (2023 Doppel-Supply-Chain), XZ Utils (2024 Backdoor in Open-Source-Lib).

Standards und Frameworks: NIST SSDF (Secure Software Development Framework), SLSA (Supply-chain Levels for Software Artifacts), OWASP SCVS, Cyber Resilience Act für Hardware. SBOM und VEX sind technische Pflichtbausteine.

Pruef-Fälle: NIS2 verlangt Lieferketten-Sorgfalt explizit. DORA Art. 28 verlangt vor jedem ICT-Drittanbieter-Vertrag Eignungsprüfung inklusive Sub-Lieferanten. EU Cyber Resilience Act ab 2027 verpflichtet Hersteller zu Sicherheits-Anforderungen über den Produktlebenszyklus.

Related terms

SBOM

Maschinenlesbares Inventar aller Komponenten einer Software inkl. Versionen, Lizenzen und Abhängigke

CVE

Globaler Identifier für öffentlich bekannte Sicherheits-Schwachstellen in Software und Hardware. For

TPRM

Disziplin und Tool-Kategorie zur Steuerung von Risiken aus externen Anbietern (SaaS, Cloud, Outsourc

SASE

Gartner-Architekturkategorie, die Netzwerk- (SD-WAN) und Security-Funktionen (SWG, CASB, ZTNA, FWaaS

Schrems II

EuGH-Urteil vom 16. Juli 2020, das den EU-US Privacy Shield für ungueltig erklärte und Standardvertr

SOC 2 Type 2

Prüfbericht eines US-Wirtschaftsprüfers nach AICPA-Standard SSAE 18, der die Wirksamkeit der Kontrol

Sovereign Cloud

Cloud-Angebot, in dem nicht nur Daten, sondern auch Operations, Personal, Schlüssel und Jurisdiktion

SSE

Subset von SASE ohne SD-WAN-Anteil. Bündelt SWG, CASB, ZTNA und (zunehmend) DLP/RBI in einer Cloud-P

← Alle BegriffeBook a demo →