Deine App funktioniert. Deine Tests sind grün. Dein Code ist sicher. Und trotzdem wurde deine PayPal-Auszahlungsadresse geändert und das Geld landet nicht mehr bei dir.

In diesem Talk erstellen wir gemeinsam einen einfachen Online-Shop: eine saubere, moderne JavaScript-Anwendung, die auf npm-Paketen basiert, denen Millionen Entwickler täglich vertrauen. Alles wirkt normal. Der Checkout funktioniert. Zahlungen gehen durch. Nichts sieht verdächtig aus. Doch dann wird die Software-Supply-Chain kompromittiert.

Ohne Zugriff auf unser Repository und ohne eine Schwachstelle in unserem eigenen Code auszunutzen, verändert ein manipuliertes Update in einer vertrauenswürdigen npm-Dependency die Zahlungslogik unbemerkt und leitet jede Transaktion auf das Konto eines Angreifers um. Kein Server-Hack. Es wurden keine Zugangsdaten gestohlen. Es war nur ein harmloses „npm install”. Die Anwendung selbst wurde nicht gehackt, wohl aber das Ökosystem, auf dem sie aufbaut.

Dieser Vortrag ist eine praxisnahe, storygetriebene Demonstration dafür, warum es heute nicht mehr ausreicht, nur den eigenen Code abzusichern. Moderne Software besteht aus Tausenden von Drittanbieter-Paketen, die von uns unbekannten Menschen geschrieben wurden, nach Zeitplänen aktualisiert werden, die wir nicht kontrollieren, und mit vollem Vertrauen in Produktionsumgebungen ausgeführt werden. Wird eines dieser Pakete kompromittiert, ist der potenzielle Schaden enorm.

Wir schauen uns an, wie der bösartige Code tatsächlich aussieht, sobald er in der Abhängigkeits-Kette angekommen ist, warum Popularität und hohe Downloadzahlen kein Sicherheitsmerkmal sind und weshalb Supply-Chain-Angriffe so gut skalieren. Anschließend geht es um Verteidigung: konkrete Maßnahmen zur Verifikation von Abhängigkeiten, zur Absicherung des gesamten Software-Lebenszyklus und zur Automatisierung von Vertrauen, damit Sicherheit nicht auf Hoffnung und Bauchgefühl basiert.