Sicherheit der Supply Chain im Jahr 2022 Code vor unbefugtem Zugriff und Manipulationen schützen

Anbieter zum Thema

Yubico GmbH c/o Regus

Insider Research

Confluent Germany GmbH

Windhoff Group

Der Schutz der Supply Chain ist angesichts tausender Eintrittspunkte, die entlang der IT-Infrastruktur überwacht werden müssen, nicht einfach ist. Es gibt jedoch bewährte Verfahren, die in Verbindung mit einer gut geplanten Strategie für die Zusammenarbeit mit Lieferanten und Anbietern dazu beitragen können, das Risiko von Angriffen auf die Supply Chain zu verringern.

Eine Supply Chain umfasst ein breites Spektrum an Beziehungen - es geht nicht nur um die Beförderung physischer Waren oder Komponenten von A nach B. Jedes Unternehmen hat eine Supply Chain. Sie umfasst alle Partnerschaften und Geschäftsbeziehungen, die ein Unternehmen haben kann. Tatsächlich kann sich eine Supply Chain auf jedes Produkt (Software oder Hardware) und jede Dienstleistung beziehen, die zur Entwicklung des eigenen Produkts oder der eigenen Dienstleistung eines Unternehmens verwendet werden. Man sollte sicherstellen, dass die Systeme aller Partner und die Systeme, die Zugang zum Firmennetz haben, ordnungsgemäß gesichert sind. Nur so lässt sich das Risiko von Kompromittierungen der IT-Infrastruktur und den dadurch bedingten Ausfällen im Tagesgeschäft verringern.

Im ersten Schritt gilt es, sich ein Gesamtbild der Supply Chain zu verschaffen. Auf dieser Basis kann man dann Ziele für die Sicherheit der Supply Chain festlegen: Es gilt sicherzustellen, dass alle eingehenden Produkte – beispielsweise eingekaufte Software, von Dritten entwickelter Code oder anderweitige Dienstleistungen – den Ansprüchen an die IT-Sicherheit genügen.

Code-Verwaltung

Unabhängig davon, ob Code verwendet wird, der von internen Teams oder aus externen Quellen entwickelt wurde: Man muss sicherstellen, dass der Codeverwaltungsprozess validiert ist. Vor allem bei der Zusammenarbeit mit externen Ressourcen ist es wichtig, dass Signierschlüssel und Zertifikate sicher aufbewahrt werden, um stets deren Authentizität gewährleisten zu können.

Als Orientierungshilfe können drei wichtige Fragen helfen, die man zur Verwaltung von Quellcode und Softwareprodukten beantworten können sollte (Spoiler: die Antwort auf alle drei Fragen sollte "ja" lauten). Nur durch sorgfältige Prüfung kann sichergestellt werden, dass der Quellcode keine Schwachstellen enthält.

Frage 1: Gibt es ein Quellcode-Verwaltungssystem (SCM)?

Ein gutes SCM stellt sicher, dass die Codeversionen ordnungsgemäß verwaltet werden und dass jede Person, die sich am System anmeldet, mit den entsprechenden Berechtigungen authentifiziert ist. Ein SCM versieht den Code mit einem Zeitstempel und protokolliert seine Aktivitäten, so dass er zu keinem Zeitpunkt unentdeckt manipuliert werden kann. Der SCM muss gut verwaltet werden, um eine Überwachungskette zu schaffen, die ein Gefühl des Vertrauens in den Code vermittelt.

Frage 2: Sind Code Commits und Code ordnungsgemäß signiert?

Die Signierung sollte zum Schutz aller Arten von Softwaremodulen und ausführbaren Dateien eingesetzt werden, einschließlich Softwaretreibern, Anwendungen, Installationsdateien, Skripten und Firmware-Modulen in Fahrzeugen oder Industriesystemen. Code Signing und Code Commit Signing sollten zu den Pflichtfunktionen jedes SCM-Systems gehören. Sobald ein System eingerichtet ist, mussen sichergestellt werden, dass alle beteiligten Entwickler ihre Code Commits ordnungsgemäß signieren können. Hier ist eine kurze Anleitung zum Signieren von Commits in Github.

Frage 3: Gibt es eine Software-Stückliste (SBOM), welche die Komponenten und deren Herkunft identifiziert?

In einer Zeit, in der Entwickler sehr beschäftigt sind und eine riesige Menge an Open-Source-Code zur Verfügung steht, ist es wichtig zu wissen, woher der verwendete Code stammt. Nicht jeder Open-Source-Code ist gleich, und Angreifer kennen viele der bestehenden Schwachstellen. Wenn Open-Source-Code verwendet wird, sollte er offengelegt werden. Die Identifizierung von Open-Source-Komponenten ermöglicht eine schnellere Behebung von Schwachstellen, die in Zukunft auftreten könnten – unabhängig davon, ob es sich um firmeneigenen Code oder um gekaufte Software handelt. In Anbetracht dieser Problematik konzentrieren sich die neuen Anforderungen an die Softwareentwicklung von Behörden speziell auf SBOM, um Sicherheitsrisiken zu verringern.

Experten erwarten 2022 eine globale Welle neuer Vorschriften

Wer die meisten der oben genannten Fragen detailliert beantworten kann, hat bereits einen Vorsprung bei der Vorbereitung auf die neuen Richtlinien für eine sichere Software-Supply Chain. Das BSI hat bereits im vergangenen Jahr neue Gesetzesregelungen zum Schutz kritischer Infrastrukturen verabschiedet. Da sich die Cyber-Bedrohungslage im Angesicht aktueller Konflikte weiter verschärfen dürfte, ist eine Erweiterung der bereits bestehenden Vorschriften nicht ausgeschlossen.

Auch die US-Regierung hat als Reaktion auf ein erhöhtes Aufkommen an Cyberangriffen eine Executive Order erlassen. Darin werden alle Unternehmen, die Software für die US-Regierung bereitstellen zu erhöhten Vorsichtsmaßnahmen verpflichtet. Sie fordern, dass alle Formen von Code vor unbefugtem Zugriff und Manipulationen geschützt werden müssen. Phishing-resistente MFA, wie zum Beispiel der Hardwaresicherheitsschlüssel Yubikey und signierte Code-Commits sind wichtige Sicherheitskontrollen, um die Sicherheit der Supply Chain zu verbessern und die Compliance-Anforderungen zu erfüllen. Eine bessere Übersicht darüber, welche Komponenten verwendet werden und wie der Code sicher verwaltet wird, verbessert die allgemeine Sicherheit und erhöht das Vertrauen der Benutzer.

Über den Autor: Alexander Koch ist VP Sales EMEA bei Yubico.

(ID:48475256)