Das Ende des vorausgesetzten Vertrauens: Security by Construction im Zeitalter der CRA

Verordnung (CRA) definiert Sicherheit in Software neu: Sie muss nachweisbar sein, nicht nur behauptet. Ihre Grundprinzipien – Security by Design, Rückverfolgbarkeit von Komponenten und kontinuierliches Schwachstellen-Management – verbinden gesetzliche Anforderungen mit architektonischer Notwendigkeit. Auch wenn Fintech- und andere Digitalunternehmen nicht automatisch unter ihren Geltungsbereich fallen, setzt die CRA den faktischen Nachweisstandard für moderne Infrastrukturen. Klassische Linux-Distributionen mit vererbten Binärpaketen und reaktiven Patch-Zyklen erfüllen diese Anforderungen nicht.

Die Entwicklung hin zu minimalen, distroless und verifizierbaren Systemen verwirklicht letztlich, was Ken Thompson 1984 formulierte: Vertrauen lässt sich nicht hineinprüfen – es muss beim Bauen entstehen.