Blinder Fleck in der Cybersecurity: Software-Lieferketten machen Unternehmen angreifbar

BlackBerry-Studie: Eine große Mehrheit berichtet von einem Vorfall innerhalb der vergangenen zwölf Monate. [...]

Die meisten Unternehmen wurden Opfer von Datenverlust. (c) Unsplash
Die meisten Unternehmen wurden Opfer von Datenverlust. (c) Unsplash

Deutsche Unternehmen werden immer wieder von Lücken in und Angriffen auf ihre Software-Lieferkette überrascht. Das geht aus einer neuen Studie von BlackBerry hervor, die auf einer Umfrage unter hundert deutschen IT- und Cybersecurity-Entscheidern basiert. In den vergangenen zwölf Monaten haben 81 Prozent der befragten Unternehmen einen Angriff auf oder eine Schwachstelle innerhalb ihrer Software-Lieferkette festgestellt. Ein erfolgreicher Angriff kann schwerwiegende Folgen für das Geschäft haben.

Angriffe auf deutsche Unternehmen jeder Größe sind keine Seltenheit und die meisten Entscheider verfolgen schon eine Strategie, um sich abzusichern. BlackBerry zeigt allerdings in seiner neuen Studie, dass die Software-Lieferkette ein blinder Fleck in der Sicherheitsstrategie der meisten Unternehmen darstellt. Denn knapp Vier von Fünf Unternehmen (79 Prozent) wurden im vergangenen Jahr auf einen Teil ihrer Software Supply Chain aufmerksam gemacht, der ihnen vorher unbekannt und der ungeschützt war. Die größten Gefahrenpotentiale bergen Schwachstellen in Webbrowsern (30 Prozent) und Betriebssystemen (27 Prozent).

Ein besorgniserregender toter Winkel, denn die Befragten berichten von ernsten Konsequenzen. Die meisten wurden Opfer von Datenverlust (57 Prozent), erlebten finanzielle Einbußen (53 Prozent) und den Verlust von geistigem Eigentum (51 Prozent). Hinzu kommen die Beeinträchtigung des Geschäfts (47 Prozent) und ein Reputationsschaden (40 Prozent). Um sich vollständig von einem Angriff zu erholen brauchten 59 Prozent der Unternehmen meistens länger als eine Woche.

Erfolgversprechende Sicherheitsmaßnahmen sind den Entscheidungsträgern nicht bekannt

Aus der Studie geht hervor, dass Entscheider vor allem auf Datenverschlüsselung (54 Prozent), Schulungen für Mitarbeiter zum Sicherheitsbewusstsein (39 Prozent) und eine Vulnerability Disclosure Policy (39 Prozent) setzen, um ihre Software-Versorgungskette abzusichern. Eine Vulnerability Disclosure Policy legt fest, wie ein ethischer Hacker seine Informationen über entdeckte Schwachstellen in Systemen ermitteln und weitergeben soll.

Eine sehr effektive Methode, um einem Angriff vorzubeugen nutzen lediglich knapp ein Drittel der befragten – die Software Bill of Materials (SBOM) wird nur von 34 Prozent der Unternehmen eingesetzt. In der digitalen Stückliste werden alle Software-Bausteine aufgeführt die eingekauft oder verwendet werden. Eine SBOM erlaubt es schnell und einfach einen Überblick über die eigene Software zu erhalten, sie zu auf Schwachstellen hin zu untersuchen und die Cybersicherheit auszubauen. Die Lösung erlaubt es Akteuren Licht in die die Dunkelstellen ihrer Lieferketten zu bringen.

Auf die Frage, warum die Unternehmen eine Lösung nicht einsetzen, die ihre Cybersicherheitslage verbessern kann, machten die Umfrageteilnehmer ein mangelndes technisches Verständnis (39 Prozent), den Fachkräftemangel (37 Prozent) und das Fehlen wirksamer Tools (34 Prozent) verantwortlich. Es fehlt den Unternehmen sowohl an den nötigen Arbeitsstunden als auch an dem nötigen Wissen, um die Software-Lieferkette abzusichern.

Moderne Lösungen leisten einen wichtigen Beitrag, um zuverlässig eine SBOM automatisch zu erstellen. Sie dienen zudem häufig dazu, Software auf Schwachstellen und handwerkliche Fehler zu überprüfen. Dank ihrer Genauigkeit vermeiden die Lösungen dabei False Positives, was viel Aufwand und Zeit spart. Unternehmen haben mit Lösungen dieser Art die Chance, wirksam ihre Cybersicherheit zu stärken, ohne sich von Fachkräftemangel und fehlemden Know-how ausbremsen zu lassen. Die Studie zeigt, dass bisher nicht einmal jedes fünfte Unternehmen diesen Weg geht.

Zeitkritische Reaktionen keine Priorität

Der kommende Cybersicherheitsstandart NIS2 tritt im Oktober 2024 in Kraft und doch zeigt der Report, dass sich ein Graben zwischen Vorgaben und der Prioritäten der Studienteilnehmer auftut. 64 Prozent der Befragten Unternehmen in der Bundesrepublik müssen sich an die kommenden Vorgaben halten und 54 Prozent fühlen sich sehr gut oder gut auf die neuen Richtlinien vorbereitet. Diese gibt vor, dass betroffene Unternehmen den Behören innerhalb von 24 Stunden nach einem Angriff diesen melden müssen. Trotzdem gibt die große Mehrheit der Unternehmen (71 Prozent) an, das sie mehr als einen Tag benötigen, um eine Sicherheitslücke zu identifizieren. Damit würden Sie die Standards nicht erfüllen und stehen etwaigen Konsequenzen gegenüber.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*