Die regierungsnahe Stiftung Wissenschaft und Politik (SWP) hat eine Studie unter dem Titel „Eine Achillesferse moderner Streitkräfte – Risiken der Software-Lieferkette und Schutzmöglichkeiten“ veröffentlicht. Darin stellt die Autorin fest:
„Alle Glieder der Lieferkette sind dabei über Software verbunden – sei es durch das Softwareprodukt selbst, seine Komponenten oder über den Zugang zum Softwareprodukt, der beispielsweise einem Dienstleister gewährt wird. Entsprechend können alle Glieder in der Lieferkette von Softwareprodukten, die Streitkräfte nutzen, Einfallstore in militärische Systeme darstellen. Dabei sind gerade kleine und mittlere Unternehmen oder kleinere Open-Source-Software-Projekte (OSS-Projekte) oft schlecht geschützt und daher ein leichtes Ziel für Angreifer:innen. Dazu kommt, dass Streitkräfte üblicherweise keinen Überblick haben über alle Softwareprodukte, die sie nutzen – und erst recht nicht über alle Akteur:innen und Komponenten, die Teil der Lieferketten dieser Produkte sind. Und schließlich haben Streitkräfte keine oder nur sehr begrenzte Kontrolle über große Teile der Lieferkette. Daher sind Software-Lieferketten eine Achillesferse moderner Streitkräfte: Selbst das technologisch fortschrittlichste Militär kann zum Opfer werden von Angriffen, die sich die komplexe Struktur von Software-Lieferketten zunutze machen.“
Diese Problematik verschärft sich natürlich immens durch die angestrebte Beschleunigung und „Entbürokratisierung“ der Beschaffung sowie durch die wachsende Relevanz neuer, von Risikokapital finanzierter Akteure („Defence Startups“, siehe IMI-Studie 2025/02) gerade im Bereich der digitalen Kriegführung und zunehmend autonomer Waffensysteme wie sog. Kamikaze-Drohnen. Dieser Aspekt wird jedoch nur am Rande der SWP-Studie angedeutet:
„In jedem Fall wird der Umgang mit Software-Lieferketten-Risiken ein Balanceakt für Politik und Bundeswehr: Einerseits müssen sie in signifikantem Umfang Ressourcen investieren, um potentiell verheerende Angriffe oder sonstige Unterbrechungen in militärischen Betriebsabläufen zu verhindern oder deren Auswirkungen zu mindern. Andererseits müssen sie die Weichen für »Software-defined Defense« stellen – durch vereinfachte und beschleunigte Beschaffung, den Einsatz und die Aktualisierung von Software und die Förderung eines dynamischen und innovativen Defense-Tech-Ökosystems im eigenen Land.“
