BlackBerry 06.06.2023, 12:33 Uhr

Software-Lieferketten als Sicherheitsrisiko

Eine Studie von Juniper Research besagt, dass Cyberangriffe auf Software-Lieferketten die Weltwirtschaft bis 2026 jährlich 80,6 Milliarden US-Dollar an Umsatzeinbussen und Schäden kosten werden, wenn es nicht zu einem Paradigmenwechsel kommt.
(Quelle: dotnetpro.de)
Ein anschauliches Beispiel für das Dilemma durch unsichere Software lieferte der Log4J-Angriff. Ende des Jahres 2022 wurde eine Sicherheitslücke in Log4J bekannt. Folgen waren eine Welle von Cyberangriffen und die weitreichende Verunsicherung der Investoren. Die Krux daran: Für Unternehmen und Entwickler ist es kaum möglich, auf derlei Open-Source-Bausteine zu verzichten. Denn zum einen sind sie tief in bestehenden Anwendungen verankert, zum anderen sind sie kaum zu ersetzen, da sie in viele oftmals unzugängliche Landschaften wie zum Beispiel IoT-Systeme integriert wurden.
Nach einem Angriff auf die Software-Lieferkette berichteten 1500 Befragte einer BlackBerry-Studie von erheblichen Betriebsunterbrechungen (59 %), Datenverlusten (58 %) und negativen Folgen für die Reputation (52 %), wobei neun von zehn Unternehmen (90 %) bis zu einem Monat für die Wiederherstellung benötigten. Die Folgen eines Angriffs sind also nicht zu unterschätzen.
«Unternehmen kämpfen mit einer unübersichtlichen und schwierig zu managenden Software-Lieferkette, die sie anfällig für Angriffe macht», erklärt Ulf Baltin, Managing Director, DACH bei BlackBerry. «Um sich resilienter aufzustellen, sollten Verantwortliche auch hier auf einen Secure-by-Design-Ansatz setzen. Dadurch sichern Unternehmen langfristig ihre Profitabilität.» Der Experte erklärt, wie sich gezielt verhindern lässt, dass sich Software-Komponenten aus externen Quellen zum Risikofaktor für Unternehmen jeglicher Grösse entwickeln.
Einen möglichen Lösungsansatz bieten den Unternehmen sogenannte Software Bills of Material (SBOM), die sie dabei unterstützen, ihre Software-Lieferketten zu verstärken und zu sichern. Der Hintergrund: Nur wenn sich Unternehmen intensiv mit ihren Lieferanten auseinandersetzen, können sie die gesamte Bandbreite ihrer Software-Lieferkette erfassen und die damit verbundenen Risiken erkennen. Empfehlenswert sind daher strenge Ausschreibungsverfahren für mehr SBOM-Transparenz, um die Konformität der Lieferanten sicherzustellen.
Eine SBOM funktioniert analog zur Stückliste bei physischen Produkten als formale, strukturierte Dokumentation, welche die Komponenten eines Software-Produkts und ihre Beziehungen innerhalb der Software-Lieferkette beschreibt. Insofern gibt sie Auskunft über die Pakete und Bibliotheken innerhalb einer Anwendung sowie über deren Beziehung untereinander und zu anderen Projekten – ein entscheidender Faktor im Fall von wiederverwendetem Code und von Open-Source-Komponenten.
Zeitaufwand realistisch einschätzen
Viele Entwickler, die sich blind auf den Code von Drittanbietern verlassen, schaffen komplexe Gebilde in Software-Form, die jedoch nur so sicher sind wie ihre schwächste Komponente. Gravierende Schwachstellen können die Folge sein. Daher verpflichtet die Regierung Joe Bidens in den USA Unternehmen bereits, ein SBOM zu verwenden. Allerdings ist das mit erheblichem Zeitbedarf für die Analysten verbunden, die mit dem Erstellen von SBOM beauftragt sind. Derweil konnten einige KI-gestützte Lösungen wie BlackBerry Jarvis vergleichbare Ergebnisse innerhalb weniger Minuten produzieren.
Ungeachtet der konkret eingesetzten Sicherheitslösung tun CSOs und andere Verantwortliche gut daran, innerhalb ihrer Unternehmen das Thema Cybersicherheit bekannt und zur täglichen Routine zu machen. Denn Software-Elemente in der Lieferkette können regelrecht «unter dem Radar fliegen». Nur durch Bewusstseinsbildung und den Aufbau gesicherter Prozesse können die Sicherheitsanforderungen erfüllt werden. Ein Bereich, der oft vernachlässigt wird, ist die Sicherheit der Produktion. Dort nimmt die Zahl der Angriffe auf die OT-Infrastruktur in den vergangenen Jahren rasant zu. Entscheider sollten daher bei der Auswahl einer Cybersicherheitslösung darauf achten, dass diese den gesamten Produktlebenszyklus End to End abdeckt – im IoT-Kontext sowohl offline als auch online.

Bernhard Lauer
Autor(in) Bernhard Lauer



Das könnte Sie auch interessieren