Fremder Code in Ihrer Software: die Lieferkette und der CRA

Sie kaufen nie nur eine Software — Sie kaufen ihre Lieferkette mit

Wenn Sie eine Software beschaffen oder entwickeln lassen, denken Sie an den Anbieter, den Funktionsumfang und den Preis. Was selten zur Sprache kommt: In fast jedem Programm steckt zu großen Teilen Code, den nicht der Anbieter geschrieben hat. Moderne Software wird aus frei verfügbaren Bausteinen zusammengesetzt — kleinen, geteilten Code-Paketen, die anderswo entstehen und millionenfach wiederverwendet werden. Das ist nicht nachlässig, sondern völlig normal und seit Jahren Branchenstandard.

Der Haken: Wer einen viel genutzten Baustein kapert, bekommt nicht ein Produkt in die Hand, sondern alle, die ihn einbauen. Genau das ist in den vergangenen Wochen mehrfach passiert. Und genau hier setzt eine neue EU-Regulierung an, die das Thema für jeden Software-Einkäufer und -Anbieter ab 2026 sehr konkret macht.

Dieser Beitrag ordnet ein, was dahintersteckt — aus der Sicht von Menschen, die Software beschaffen und verantworten, nicht aus der eines Entwicklers.

Auf einen Blick

• Software besteht heute größtenteils aus fremden, geteilten Bausteinen — ein kompromittierter Baustein landet automatisch in vielen Produkten.
• In den letzten Wochen wurden mehrere weit verbreitete Paket-Sammlungen gekapert; betroffen waren teils über hundert Bausteine zugleich.
• Der EU Cyber Resilience Act (CRA) macht Sicherheit über die Lieferkette ab 2026/2027 zur Pflicht für alle, die Produkte mit digitalen Elementen in der EU anbieten.
• Eine SBOM — eine Stückliste der verbauten Bausteine — ist das wichtigste Werkzeug, um im Ernstfall schnell zu wissen, ob man betroffen ist.

Was die Software-Lieferkette überhaupt ist

Stellen Sie sich Software wie ein montiertes Produkt vor. Der Anbieter liefert das Endprodukt, aber viele Einzelteile kauft er zu — aus einem riesigen, offenen Fundus geteilter Bausteine, die andere bereitstellen und pflegen. Jeder dieser Bausteine bringt oft selbst wieder zugekaufte Teile mit. So entsteht eine Lieferkette, die mehrere Ebenen tief reicht und die kaum jemand vollständig im Kopf hat.

Für die Hersteller ist das ein großer Vorteil: Niemand muss das Rad neu erfinden, Software entsteht schneller und günstiger. Der Preis dafür ist eine Abhängigkeit, die man von außen nicht sieht. Ein einziger manipulierter Baustein wirkt wie ein verunreinigtes Zulieferteil in einer Fabrik — er wandert unbemerkt in alles, was darauf aufbaut.

Was in den letzten Wochen passiert ist

Im Juni 2026 häuften sich genau solche Vorfälle. Sie betrafen den weltweit größten Sammelplatz für solche Bausteine, das sogenannte npm-Register.

Mitte Juni übernahm ein Angreifer eine bekannte Entwickler-Organisation in diesem Register und schleuste Schadcode in über 140 Pakete ein. Das Einfallstor war ein nie entzogener Zugang eines früheren Mitwirkenden — kein technischer Bruch, sondern ein vergessenes Türschloss. Die betroffenen Pakete kamen laut Auswertung zusammen auf über 1,1 Millionen Abrufe pro Woche. Microsoft führte den Angriff auf eine bekannte Angreifergruppe zurück. Eines der gekaperten Pakete gehört zufällig zu einem Werkzeug aus dem KI-Umfeld — das ist hier aber Nebensache; der Mechanismus ist bei jeder Art von Baustein derselbe.

Dieser Fall stand nicht allein. Anfang Juni wurden rund 32 Pakete eines großen Software-Anbieters mit einem Schädling versehen, der Zugangsdaten abgreift und sich selbst weiterverbreitet. Parallel verfolgten Sicherheitsforscher eine weitere Welle über knapp 60 manipulierte Pakete und im April einen Angriff auf einen der meistgenutzten Bausteine für die Datenkommunikation im Web überhaupt. Branchenauswertungen zufolge haben sich solche Angriffe auf die Lieferkette im Jahr 2025 etwa verdoppelt; der durchschnittliche wirtschaftliche Schaden pro Vorfall wird je nach Anbieter mit über 1,5 Millionen Euro angegeben. Diese Zahlen stammen aus Erhebungen von Sicherheitsunternehmen, nicht aus amtlicher Statistik — die Größenordnung ist die eigentliche Botschaft.

Das Muster ist immer ähnlich: Nicht das Endprodukt wird angegriffen, sondern ein Baustein weit unten in der Kette. Von dort verteilt sich das Problem von selbst.

Was der Cyber Resilience Act bringt — und ab wann

Die EU hat auf diese Entwicklung mit dem Cyber Resilience Act reagiert, kurz CRA. Vereinfacht gesagt: Wer in der EU ein Produkt mit digitalen Elementen verkauft — von der App über vernetzte Geräte bis zur Software für Geschäftskunden —, muss künftig nachweisen, dass er sich auch um die Sicherheit der verbauten Fremdkomponenten kümmert.

Drei Termine sind für die Einordnung wichtig:

• Seit dem 11. Juni 2026 dürfen offiziell benannte Stellen die Konformität von Produkten nach dem CRA bewerten. Hersteller können sich also prüfen lassen.
• Ab dem 11. September 2026 gilt eine Meldepflicht für Schwachstellen, die aktiv ausgenutzt werden. Wer ein betroffenes Produkt anbietet, muss solche Vorfälle innerhalb enger Fristen melden.
• Ab Dezember 2027 gibt es für betroffene Produkte kein CE-Kennzeichen mehr ohne CRA-Konformität — und ohne CE-Kennzeichen keinen Verkauf in der EU.

Für Sie als Einkäufer heißt das: Sicherheit über die Lieferkette wird vom freiwilligen Qualitätsmerkmal zur regulatorischen Pflicht. Anbieter, die heute schon transparent damit umgehen, sind morgen im Vorteil — und Sie als Kunde profitieren direkt davon.

Was Sie jetzt tun sollten

Sie müssen für all das kein Software-Experte werden. Es genügt, die richtigen Fragen zu stellen und ein paar Dinge schriftlich einzufordern.

Bei individuell entwickelter Software lassen Sie sich von Ihrem Dienstleister zweierlei geben: erstens eine SBOM — eine Stückliste aller verbauten Fremdbausteine samt Version. Tritt irgendwo ein Vorfall auf, lässt sich damit in Minuten statt Tagen klären, ob Ihr Produkt die betroffene Komponente überhaupt enthält. Zweitens einen dokumentierten Prozess, wie diese Fremdbausteine überwacht und im Bedarfsfall aktualisiert werden. Eine Software, die einmal gebaut und nie wieder angefasst wird, sammelt mit jedem Monat mehr ungepatchte Lücken an.

Bei Standardsoftware achten Sie darauf, wie der Anbieter mit Schwachstellen umgeht. Veröffentlicht er Sicherheitslücken offen und zeitnah? Gibt es einen klaren Meldeweg und nachvollziehbare Update-Zyklen? Ein Anbieter, der hier transparent ist, nimmt Ihnen Arbeit und Risiko ab. Schweigen an dieser Stelle ist ein Warnzeichen.

Wenn Sie selbst Produkte mit digitalen Elementen in der EU anbieten — eine App, ein vernetztes Gerät, eine Software für Ihre Kunden —, sollten Sie den CRA-Fahrplan kennen und die genannten Termine im Blick behalten. Die Pflichten kommen gestaffelt, aber sie kommen. Wer das frühzeitig einplant, vermeidet Hektik kurz vor den Stichtagen. Übrigens verlangen auch immer mehr öffentliche IT-Ausschreibungen bereits heute eine SBOM — wer eine vorweisen kann, hat hier einen Startvorteil.

Fazit

Die Software-Lieferkette ist kein technisches Detail für Entwickler, sondern eine Frage von Beschaffung und Verantwortung. Sie können nicht jeden einzelnen Baustein prüfen — aber Sie können Anbieter und Dienstleister auswählen, die wissen, was sie verbauen, und es belegen können. Genau das wird mit dem CRA zur Voraussetzung für den Verkauf in der EU.

Das ist der Punkt, an dem wir helfen: an der Schnittstelle zwischen Beschaffung und Sicherheit. Wir prüfen mit Ihnen, welche Anforderungen an Lieferkette und Nachweise zu Ihren Produkten und Verträgen passen, formulieren sie verständlich für Ausschreibung oder Lastenheft und sortieren ein, wo der CRA Sie konkret betrifft. Sprechen Sie uns an — wir sagen Ihnen nüchtern, worauf es in Ihrem Fall ankommt.