ISO/IEC 18974 - Der Standard für Open-Source-Sicherheit

Die ISO/IEC 18974:2023 definiert Mindestanforderungen für ein Open-Source-Security-Assurance-Programm. Sie ist kein Gesetz, sondern ein freiwilliger internationaler Standard. Trotzdem ist sie faktisch unverzichtbar - denn sie definiert, was als "Stand der Technik" gilt.

Warum ist ein freiwilliger Standard relevant? #

Alle großen EU-Cybergesetze verweisen auf internationale Normen:

• DORA Art. 6 Abs. 2 fordert einen IKT-Risikomanagementrahmen "nach Maßgabe einschlägiger internationaler Normen"
• NIS2 Art. 21 Abs. 1 fordert Maßnahmen "unter Berücksichtigung des Stands der Technik und gegebenenfalls der einschlägigen internationalen Normen"
• CRA EWG 34 verweist auf Sorgfaltsmaßnahmen bei der Integration von Open-Source-Komponenten

Die ISO/IEC 18974 ist der relevanteste Standard für Open-Source-Sicherheit. Wer sie erfüllt, hat einen belastbaren Nachweis der Angemessenheit. Wer sie nicht erfüllt, muss begründen, warum die eigenen Maßnahmen trotzdem ausreichen.

Was fordert die ISO/IEC 18974? #

Der Standard umfasst 16 Kernanforderungen in vier Bereichen:

Governance und Organisation:

• Schriftliche Security-Assurance-Policy (4.1.1)
• Definierte Kompetenzen und Rollen (4.1.2)

Erkennung und Bewertung:

• Bedrohungs-Identifikation in der OSS-Lieferkette (4.1.5 Nr. 1)
• Methode zur Erkennung bekannter Schwachstellen (4.1.5 Nr. 2)
• Follow-up identifizierter Schwachstellen (4.1.5 Nr. 3)
• Kommunikation an Kunden (4.1.5 Nr. 4)
• Post-Release-Monitoring für neue Schwachstellen (4.1.5 Nr. 5)
• Kontinuierliche Security-Tests vor Release (4.1.5 Nr. 6)
• Risiko-Verifizierung vor Release (4.1.5 Nr. 7)
• Risiko-Export an Dritte (4.1.5 Nr. 8)

Schwachstellenmanagement:

• Öffentlicher Vulnerability-Kanal (4.2.1)
• SBOM-Erstellung und -Pflege als kontinuierlicher Prozess (4.3.1)
• Vulnerability Detection pro Komponente (4.3.2 Nr. 1)
• Risiko-Scoring pro Schwachstelle (4.3.2 Nr. 2)
• Dokumentierte Remediation pro Schwachstelle (4.3.2 Nr. 3)
• Post-Release-Monitoring für verteilte Software (4.3.2 Nr. 7)

SBOM-Anforderungen:

• NTIA-Minimum-Elemente: Supplier, Name, Version, Abhängigkeiten, Timestamp (3.1 normative Referenz)

Zertifizierung #

Die Zertifizierung nach ISO 18974 erfolgt über das OpenChain-Programm in einem 18-Monats-Zyklus. Sie ist ein konkreter, auditierbarer Nachweis, den Sie Prüfern und Aufsichtsbehörden vorlegen können.

Wie deckt OTTRIA die ISO 18974 ab? #

OTTRIA erfüllt 14 von 16 Anforderungen direkt - darunter alle technischen und operativen Bereiche: Schwachstellenerkennung, SBOM-Pflege, Risiko-Scoring, Remediation, Post-Release-Monitoring und Kommunikation. Bei der Erkennung bekannter Schwachstellen (4.1.5 Nr. 2) übertrifft OTTRIA den Standard, da neben registrierten CVEs auch Silent Fixes erkannt werden, die in keiner öffentlichen Datenbank auftauchen.

Die verbleibenden zwei Anforderungen - schriftliche Policy-Erstellung und organisatorische HR-Awareness - sind Aufgabe des Kunden. OTTRIA liefert Vorlagen und Beratung dafür zu.

Was bedeutet das für Sie? #

Unabhängig davon, ob DORA, NIS2 oder der CRA für Sie gilt: Die ISO 18974 liefert den Maßstab, an dem Ihre Open-Source-Sicherheitsmaßnahmen gemessen werden. Ein Auditor wird fragen, ob Sie den Stand der Technik einhalten. Mit einer ISO-18974-konformen Umsetzung haben Sie eine klare Antwort.

Weiterlesen #

• Was ist eine SBOM und warum reicht sie nicht?
• Praktische Audit-Vorbereitung
• OTTRIA im Vergleich zu anderen Ansätzen

Sie möchten wissen, wie nah Sie an der ISO 18974 sind? Fordern Sie eine Erstbewertung an.