Softwarelieferketten als Sicherheitsrisiko

Eine Studie von Juniper Research besagt, dass Cyberangriffe auf Softwarelieferketten die Weltwirtschaft bis 2026 jährlich 80,6 Milliarden US-Dollar an Umsatzeinbußen und Schäden kosten werden, wenn es nicht zu einem Paradigmenwechsel kommt. [...]

Foto: ArekSocha/Pixabay

Ein anschauliches Beispiel für das Dilemma durch unsichere Software lieferte der Log4J-Angriff. Ende des Jahres 2022 wurde eine Sicherheitslücke in Log4J bekannt. Folgen waren eine Welle von Cyberangriffen und die weitreichende Verunsicherung der Investoren.

Die Krux daran: Für Unternehmen und Entwickler ist es kaum möglich, auf derlei Open-Source-Bausteine zu verzichten. Denn zum einen sind sie tief in bestehenden Anwendungen verankert, zum anderen sind sie kaum zu ersetzen, da sie in viele oftmals unzugängliche Landschaften wie zum Beispiel IoT-Systeme integriert wurden.

Nach einem Angriff auf die Softwarelieferkette berichteten 1.500 Befragte einer BlackBerry Studie von erheblichen Betriebsunterbrechungen (59 Prozent), Datenverlusten (58 Prozent) und negativen Folgen für die Reputation (52 Prozent), wobei neun von zehn Unternehmen (90 Prozent) bis zu einem Monat für die Wiederherstellung benötigten. Die Folgen eines Angriffs sind also nicht zu unterschätzen.

„Unternehmen kämpfen mit einer unübersichtlichen und schwierig zu managenden Softwarelieferkette, die sie anfällig für Angriffe macht“, erklärt Ulf Baltin, Managing Director, DACH bei BlackBerry. „Um sich resilienter aufzustellen, sollten Verantwortliche auch hier auf einen Secure by Design-Ansatz setzen. Dadurch sichern Unternehmen langfristig ihre Profitabilität.“

Der Experte erklärt, wie sich gezielt verhindern lässt, dass sich Softwarekomponenten aus externen Quellen zum Risikofaktor für Unternehmen jeglicher Größe entwickeln.

Einen möglichen Lösungsansatz bieten den Unternehmen sogenannte Software Bills of Material (SBOM), die sie dabei unterstützen, ihre Softwarelieferketten zu verstärken und zu sichern.

Der Hintergrund: Nur wenn sich Unternehmen intensiv mit ihren Lieferanten auseinandersetzen, können sie die gesamte Bandbreite ihrer Softwarelieferkette erfassen und die damit verbundenen Risiken erkennen. Empfehlenswert sind daher strenge Ausschreibungsverfahren für mehr SBOM-Transparenz, um die Konformität der Lieferanten sicherzustellen.

Eine SBOM funktioniert analog zur Stückliste bei physischen Produkten als formale, strukturierte Dokumentation, die die Komponenten eines Softwareprodukts und ihre Beziehungen innerhalb der Softwarelieferkette beschreibt.

Insofern gibt sie Auskunft über die Pakete und Bibliotheken innerhalb einer Anwendung sowie über deren Beziehung untereinander und zu anderen Projekten – ein entscheidender Faktor im Fall von wiederverwendetem Code und von Open Source-Komponenten.

Zeitaufwand realistisch einschätzen

Viele Entwickler, die sich blind auf den Code von Drittanbietern verlassen, schaffen komplexe Gebilde in Softwareform, die jedoch nur so sicher sind wie ihre schwächste Komponente. Gravierende Schwachstellen können die Folge sein. Daher verpflichtet die Regierung Joe Bidens in den USA Unternehmen bereits, ein SBOM zu verwenden.

Allerdings ist das mit erheblichem Zeitbedarf für die Analysten verbunden, die mit dem Erstellen von SBOM beauftragt sind. Derweil konnten einige KI-gestützte Lösungen wie BlackBerry Jarvis vergleichbare Ergebnisse innerhalb weniger Minuten produzieren.

Ungeachtet der konkret eingesetzten Sicherheitslösung tun CSOs und andere Verantwortliche gut daran, innerhalb ihrer Unternehmen das Thema Cybersicherheit bekannt und zur täglichen Routine zu machen. Denn Softwareelemente in der Lieferkette können regelrecht „unter dem Radar fliegen“.

Nur durch Bewusstseinsbildung und den Aufbau gesicherter Prozesse können die Sicherheitsanforderungen erfüllt werden. Ein Bereich, der oft vernachlässigt wird, ist die Sicherheit der Produktion.

Dort nimmt die Zahl der Angriffe auf die OT-Infrastruktur in den vergangenen Jahren rasant zu. Entscheider sollten daher bei der Auswahl einer Cybersicherheitslösung darauf achten, dass diese den gesamten Produktlebenszyklus end-to-end abdeckt – im IoT-Kontext sowohl offline als auch online.

*Bernhard Lauer beschäftigt sich seit Jahrzehnten mit IT-Themen und bereitet diese als Autor und Redakteur auf – unter anderem für die dotnetpro. Programmieren gelernt hat er mit dem C64 und Basic. Er hat über die Anfänge von Java, JavaScript, HTML und .NET berichtet und sich zuletzt mit Python beschäftigt, nicht zuletzt deshalb, weil es ohne Semikolons auskommt ;-).


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*