Das US-Verteidigungsministerium (DoD) befindet sich mitten in einer tiefgreifenden Reform seiner Software-Beschaffungsprozesse. Mit der Ankündigung, den Kampf gegen veraltete Methoden beim Erwerb von Software aufzunehmen, reagiert das Pentagon auf die zunehmenden Herausforderungen, die sich aus der rasanten Entwicklung der Technologie und der wachsenden Komplexität der Lieferketten ergeben. Im Zentrum dieser Initiative steht das sogenannte Software Fast Track (SWFT) Programm, das unter der Leitung von Katie Arrington, der Chief Information Officer (CIO) des DoD, vorangetrieben wird. Ziel ist es, Software schneller, sicherer und mit höherer Transparenz zu beschaffen sowie die Freigabeprozesse erheblich zu beschleunigen, ohne dabei Kompromisse bei der Sicherheit einzugehen. In der Vergangenheit galt die Beschaffung von Software beim DoD oft als langsam und bürokratisch.
Komplexe Freigabeverfahren und fehlende Transparenz über die Herkunft und Sicherheit der eingesetzten Softwareprodukte behinderten nicht nur die Agilität, sondern gefährdeten auch die Sicherheit. Die weit verbreitete Nutzung von Open Source Software mit Beiträgen von Entwicklern aus aller Welt stellt das DoD dabei vor zusätzliche Herausforderungen. Open Source Projekte bieten zwar enorme Vorteile durch Innovationskraft und gemeinschaftliche Entwicklung, eröffnen aber gleichzeitig potenzielle Sicherheitsrisiken, wenn Herkunft und Qualität des Codes nicht nachvollziehbar oder kontrollierbar sind. Katie Arrington beschreibt in einem offiziellen Memo die dringende Notwendigkeit, Cybersecurity und Supply Chain Risk Management (SCRM) im DoD deutlich zu modernisieren und an die Geschwindigkeit heutiger Softwareentwicklung anzupassen. Lange Genehmigungszyklen und fehlende Sichtbarkeit in der Lieferkette behinderten eine agile und kontinuierliche Auslieferung sicherer Softwarelösungen.
Wichtige Fragen dabei sind, wie man die Herkunft von Softwarecode sicher nachvollziehen kann, wie effektiv Softwareprodukte auf Schwachstellen getestet werden und wie man besser auf sich rasch verändernde Bedrohungslagen reagiert. Die neuen Anforderungen und Standards im Rahmen des SWFT-Programms befinden sich noch in der Ausarbeitung, doch das DoD hat bereits mehrere Anfragen zur Informationsbeschaffung (Request for Information, RFI) veröffentlicht. Dabei suchen die Verantwortlichen aktiv den Dialog mit der Industrie und der Forschungscommunity, um unter anderem den Einsatz von Künstlicher Intelligenz (KI) bei der automatisierten Sicherheitsprüfung von Software zu evaluieren. Zudem sollen praktikable und wirksame Maßnahmen im SCRM definiert werden, um Lieferkettenrisiken systematisch zu minimieren. Kernziel der Initiative ist es, durch klare und einheitliche Sicherheitsanforderungen sowie eine straffe aber transparente Prüf- und Freigabestruktur sicherzustellen, dass neue Softwareprodukte schnell und sicher in den Einsatz gelangen können.
Dabei wird großer Wert auf Informationsaustausch gelegt, um Erkenntnisse über Bedrohungen und Schwachstellen gemeinsam zu nutzen und schneller reagieren zu können. Durch die deutlich beschleunigte Einführung sicherer Softwarestücke will das DoD die Einsatzfähigkeit und Resilienz der Streitkräfte signifikant erhöhen. Die Umsetzung des SWFT-Programms ist ambitioniert. Innerhalb von nur 90 Tagen soll ein konkreter Rahmenplan stehen, der die nächsten Schritte, Rolle der beteiligten Akteure und technische Vorgaben detailliert beschreibt. Das Vorgehen orientiert sich an der Prämisse, dass die Streitkräfte mit den besten und modernsten Software-Werkzeugen ausgestattet werden müssen, ohne Beratungs- oder Genehmigungsprozesse unnötig zu verlängern oder gar zu wiederholen.
In den letzten Jahren haben mehrere Sicherheitsvorfälle die Verwundbarkeit von Software und Lieferketten im DoD mehrfach offengelegt. Malwares, die Beschaffungssysteme kompromittierten, oder Datenlecks bei Partnerunternehmen haben gezeigt, wie kritisch und zugleich komplex das Thema Software-Sicherheit ist. Die häufigsten Angriffsvektoren sind dabei Schwachstellen in der eingesetzten Software, oft auch bei Open Source Komponenten, deren Herkunft selten lückenlos nachvollzogen wird. Diese Vorfälle verdeutlichen, warum eine Modernisierung und vereinheitlichte Standards in der Softwarebeschaffung heute dringlicher sind denn je. Ein weiterer wichtiger Punkt ist die interne Nutzung sicherer Kommunikationskanäle.
Trotz aller Bemühungen werden Pentagon-Geschäfte teilweise noch über unsichere Messenger-Apps abgewickelt. So berichtete die Presse kürzlich über Sicherheitsvorfälle bei der Nutzung von Open Source basierenden Signal-Klonen, die von Regierungsmitarbeitern verwendet werden. Die mangelnde Sicherheit solcher privaten Kommunikationswege stellt ein zusätzliches Risiko dar und erschwert die transparente Kontrolle über sensitive Informationen. Ehemalige Geheimdienstexperten warnen davor, dass persönliche Geräte und kommerzielle Apps an vielen Stellen nicht den Anforderungen der Geheimhaltung genügen. Neben dem DoD setzen auch andere Behörden wie die Cybersecurity and Infrastructure Security Agency (CISA) auf strengere Sicherheitsmaßnahmen bei Software und IT-Systemen.
Programme wie das „Known Exploited Vulnerability“ (KEV) zwingen Regierungsstellen dazu, kritische Sicherheitslücken innerhalb kürzester Zeit zu schließen, um Angriffe möglichst zu verhindern. Diese Maßnahmen sind Teil einer umfassenderen Sicherheitsstrategie, die alle Staatsorgane mit einbezieht. Die Modernisierung der Softwarebeschaffung im US-Verteidigungsministerium kann als Teil einer breiteren Bewegung gesehen werden, die innovative Technologien schneller nutzbar machen und zugleich die Sicherheit auf ein neues Niveau heben will. Es gilt, traditionelle und teils überholte Verfahren aufzubrechen, die zu langsam und intransparent sind, und stattdessen agile, automatisierte und KI-unterstützte Prozesse zu etablieren. Die Herausforderung ist es, die Vorteile von Open Source Software weiterhin zu nutzen, ohne die damit verbundenen Sicherheitsrisiken zu vernachlässigen.
Open Source bleibt auch im Verteidigungsbereich unverzichtbar, vor allem wegen der Innovationsstärke und der globalen Entwicklungsgemeinschaft. Gleichzeitig muss die Herkunft des Codes vollständig nachvollziehbar und der Sicherheitsstatus transparent gestaltet werden, um Manipulationen und Hintertüren auszuschließen. Insgesamt zeigt die Ankündigung des Pentagon, den Kampf gegen veraltete Softwarebeschaffungsprozesse aufzunehmen, dass sich das US-Militär den modernen Herausforderungen der Cyberwelt stellt. Große Hoffnungen ruhen auf dem SWFT-Programm, das nicht nur schnellere Abläufe ermöglicht, sondern auch die Sicherheit der eingesetzten Software signifikant erhöhen soll. Dies wird nicht nur den Schutz sensibler Informationen verbessern, sondern auch die Einsatzfähigkeit der amerikanischen Streitkräfte stärken.
