SchwachstellenHackerangriffeCloud-Sicherheit

Build Application Firewalls: Neue Verteidigungslinie gegen Supply-Chain-Angriffe

Von CyberDeutsch Redaktion
Build Application Firewalls: Neue Verteidigungslinie gegen Supply-Chain-Angriffe
Zusammenfassung

Die Sicherheit von Softwareentwicklungsprozessen ist zu einem kritischen Schwachpunkt geworden, den Angreifer systematisch ausnutzen. Während traditionelle Sicherheitstools wie Code-Scanner vor allem die fertige Software überprüfen, entstehen schwerwiegende Sicherheitslücken bereits während des Build-Prozesses in CI/CD-Pipelines. Der SolarWinds-Anschlag von 2020 zeigte erstmals das Ausmaß solcher Supply-Chain-Attacken – doch die Branche hat daraus wenig gelernt. Jüngste Vorfälle in 2026, darunter die Kompromittierung der npm-Bibliothek Axios durch nordkoreanische Akteure und mehrere Angriffe auf weit verbreitete Entwicklertools wie Trivy und LiteLLM, belegen, dass diese Anschläge an Häufigkeit zunehmen. Besonders problematisch ist die fehlende Erkennung von Zero-Day-Schwachstellen, die mit modernen KI-Modellen gezielt in den Build-Prozess eingeschleust werden können. Deutsche Unternehmen, insbesondere im Softwarebereich, Fintech und öffentliche Institutionen sind direkt betroffen, da sie oft diese Tools und Libraries nutzen. Build Application Firewalls könnten eine Lösung bieten, indem sie die tatsächliche Laufzeit-Aktivität im Build-Prozess überwachen statt nur statische Code-Analysen durchzuführen.

Das Kernproblem bei aktuellen Sicherheitsansätzen liegt in ihrer Passivität. Traditionelle CI/CD-Scanner überprüfen zwar eingecheckte Abhängigkeiten und den finalen Build, können aber Zero-Day-Schwachstellen, bewusst versteckte bösartige Befehle oder subtile Datenlecks übersehen. Ein Paket kann legitim aussehen, seinen Namen richtig führen und dennoch beim Build heimlich Geheimnisse an externe Server übertragen – etwa an GitHub, was für Scanner “normal” wirkt, da dieses Repository ohnehin als legitime Quelle gilt.

David Pulaski, Co-Gründer von InvisiRisk, verdeutlicht das Problem mit einer Metapher: “Der Scanner ist wie ein Portier, der jemanden einlässt, weil die Einladung gut aussieht. Aber einmal drin, erfüllt diese Person ihre bösartige Aufgabe – etwa indem sie Geheimnisse an einen schlechten Ort postet oder sie an den richtigen Ort, aber zu Unrecht postet.”

Build Application Firewalls ändern diese Dynamik grundlegend. Sie funktionieren nicht präventiv durch Scanning, sondern durch kontinuierliche Überwachung. Sie erfassen jede Aktion im Build-Prozess – welche Netzwerk-Verbindungen hergestellt werden, welche Dateien gelesen oder geschrieben werden, wohin Daten fließen. Verdächtige Muster, die von der erwarteten Norm abweichen, werden blockiert oder gemeldet, unabhängig davon, ob ein bekanntes CVE dahintersteckt.

Ein wichtiger Vorteil liegt auch in der Erstellung genauer Software Bill of Materials (SBOM). Diese Übersichten sind inzwischen regulatorisch gefordert – in den USA durch Präsident Bidens Executive Order 14028, weltweit von zunehmend strengeren Compliance-Anforderungen. InvisiRisk nutzt seine BAF-Daten, um sogenannte TruSBOMs zu erstellen, die nicht aus Manifesten rekonstruiert werden, sondern aus der Live-Beobachtung des gesamten Build-Vorgangs entstehen – inklusive aller Abhängigkeiten und deren Herkunft.

Härtete Runner und klassische Netzwerk-Isolation helfen zwar, doch sie bieten nur DNS-Sichtbarkeit. Eine echte Firewall mit Deep Packet Inspection erkennt hingegen, wenn “Diamanten” – also Geheimnisse – hinausgehen, selbst wenn das Ziel auf den ersten Blick legitim aussieht. In einer Ära, in der KI-Modelle gezielt neue Schwachstellen generieren und Exploits verstecken können, ist dieser Paradigmenwechsel für Unternehmen und Behörden unverzichtbar geworden.

Ähnliche Artikel