Domäne · D4
Nachhaltigkeit & Lieferketten-Resilienz
„Wie robust ist die technische und geopolitische Lieferkette?"
1. Strategische Bedeutung§
Nachhaltigkeit und Lieferketten-Resilienz erweitert die Bewertung über den Anbieter hinaus auf das gesamte Ökosystem, auf dem der Dienst ruht. Auch ein souverän geführter Anbieter ist verwundbar, wenn er auf monopolisierten Halbleitern, einzelnen Open-Source-Maintainerinnen oder geografisch konzentrierten Rechenzentren beruht.
Diese Domäne adressiert geopolitische Choke Points und stille Abhängigkeiten — Komponenten, die im Normalbetrieb unsichtbar bleiben und im Konfliktfall den Dienst zum Stillstand bringen können.
D4 ist die Domäne der strategischen Vorsorge. Sie verlangt belastbare Diversifikation und realistische Wiederherstellungsannahmen.
2. Kernkriterien§
- Vollständige SBOM der eingesetzten Software
Komponenten, Versionen, Maintainer, Herkunftsländer — laufend aktuell.
- Hardware-Lieferkette
Halbleiter, Netzwerk- und Speicherkomponenten mit Hersteller, Fertigungsstandort und alternativen Bezugsquellen.
- Codebasen-Abhängigkeiten
Identifikation kritischer Abhängigkeiten von einzelnen Repositories, Registern oder Maintainerinnen.
- Geopolitische Choke Points
Komponenten mit konzentrierter Herkunft (Halbleiterfertigung, Glasfaserrouten, DNS-Resolver) und Fallback-Strategien.
- Diversifikation kritischer Komponenten
Mindestens zwei unabhängige Bezugsquellen für jede sicherheits- oder verfügbarkeitskritische Komponente.
- Quellcode-Escrow
Hinterlegung kritischer Komponenten bei vertrauenswürdiger dritter Stelle zur Wiederinbetriebnahme im Ausfallszenario.
- Verfügbarkeit europäischer Alternativen
Dokumentation, für welche Komponenten EU-Alternativen verfügbar, eingeschränkt verfügbar oder nicht verfügbar sind.
3. Prüffragen (Auszug)§
- Welche Komponenten der Lieferkette sind geografisch oder rechtlich konzentriert?
- Existieren für jede kritische Komponente mindestens zwei unabhängige Bezugsquellen?
- Ist die SBOM vollständig, aktuell und maschinenlesbar?
- Welche Open-Source-Komponenten hängen an einzelnen Maintainerinnen oder einer einzigen Codeforge?
- Existiert ein dokumentiertes Wiederherstellungsverfahren bei Ausfall einer geopolitisch kritischen Komponente?
- Liegt ein Quellcode-Escrow-Vertrag für sicherheitskritische Komponenten vor?
- Welche EU-Alternativen sind je Komponente realistisch innerhalb welcher Frist substituierbar?
4. Akzeptierte Evidenz§
- Aktuelle SBOM mit Maintainer- und Herkunftsinformationen
- Hardware-Stückliste mit Fertigungsstandorten und Alternativlieferanten
- Risikobewertung geopolitischer Choke Points
- Quellcode-Escrow-Verträge mit Hinterlegungsstelle
- Substitutionsplan für kritische Komponenten
5. Level-Schwellen in dieser Domäne§
| Level | Mindestanforderung in D4 |
|---|---|
| L0 | Lieferkette weitgehend undokumentiert; keine SBOM. |
| L1 | Vollständige SBOM und Hardware-Lieferkette dokumentiert; Choke Points identifiziert. |
| L2 | Diversifizierte Bezugsquellen für kritische Komponenten; dokumentierte Substitutionsstrategie. |
| L3 | Resilient gegenüber geopolitischen Choke Points; tragfähige EU-Alternativen für jede kritische Komponente. |
6. Anschluss an bestehende Standards§
| Standard | Was abgedeckt ist | Wo EDSO darüber hinausgeht |
|---|---|---|
| NIS2 | Lieferkettensicherheit gefordert | Geopolitische Konzentrationsrisiken nicht systematisch geprüft |
| Cyber Resilience Act (CRA) | Sicherheitsanforderungen an Komponenten | Souveränitätsaspekte nicht adressiert |
| Lieferkettensorgfaltspflichtengesetz | Menschenrechts- und Umweltsorgfaltspflichten | Technische Souveränitäts-Lieferkette nicht abgedeckt |
7. Typische Audit-Befunde§
- SBOM nur für Eigenentwicklung, nicht für Drittkomponenten
- Doppelte Bezugsquelle für Halbleiter, faktisch aber gleiche Foundry
- Kritische Open-Source-Abhängigkeit auf einer einzigen Maintainerin ohne Backup-Maintainer
- Quellcode-Escrow ohne dokumentierte Wiederherstellungs-Übung
- EU-Alternativen genannt, aber funktional nicht äquivalent