Paradigmenwechsel im Software-Supply-Chain-Management erforderlich Wie Unternehmen ihre Software-Lieferketten schützen können

Anbieter zum Thema

PresseBox - unn | UNITED NEWS NETWORK GmbH

Insider Research

Confluent Germany GmbH

BlackBerry Deutschland GmbH

Der Einsatz externer Open-Source-Bausteine in Softwareprodukten birgt Gefahren für die Sicherheit – ein Secure-by-Design-Ansatz hilft Unternehmen, ihre Software-Supply-Chain zu schützen und Schäden im Ernstfall zu begrenzen.

Wiederholt ist es in den vergangenen Jahren zu massiven Sicherheitsvorfällen aufgrund von Schwachstellen in der Software-Supply-Chain gekommen. Da die Angreifer zur Verbreitung ihrer Schadcodes die Softwarelieferkette ausnutzen, sind jedes Mal unzählige Parteien Opfer.

Anfang Juni zählte unter anderem Siemens Energy dazu, als die russische Gruppe Cl0p einen Ransomware-Angriff auf MOVEit Transfer vollzog. Der Schutz der Software-Supply-Chain vor Bedrohungen gehört deshalb zu den dringlichsten Aufgaben der Cybersicherheit.

Wie heikel die Situation ist, zeigt eine Studie von Juniper Research: Cyberangriffe auf Softwarelieferketten werden für die Weltwirtschaft bis zum Jahr 2026 jährlich schätzungsweise 80,6 Milliarden US-Dollar an Kosten für Umsatzeinbußen und Schäden verursachen, wenn kein Paradigmenwechsel beim Cybersecurity-Management in der Softwarelieferkette stattfindet.

Doch besonders die Softwarelieferkette ist für Unternehmen unübersichtlich und schwer zu managen. Die gute Nachricht: Sie können sich gegenüber Attacken trotzdem resilienter aufstellen – mit einem Secure-by-Design-Ansatz.

Solarwinds – ein Name, der auch drei Jahre später immer noch ein Begriff ist, weil die Supply-Chain-Attacke auf das gleichnamige Softwareunternehmen einen bis dato unerreichten Umfang hatte. Vermutlich staatliche Akteure hatten ein Leistungsmonitoring-System des US-Unternehmens mit Schadcode infiltriert. Wegen der enormen Verbreitung der Lösung waren Tausende von Systemen betroffen, als die Malware im Rahmen eines Solarwinds-Produkt-Updates eingeschleust wurde. Zu den Opfern zählten auch US-Regierungsbehörden.

Ein weiteres Beispiel für das Softwarelieferkettendilemma ist der Log4J-Angriff. Ende des Jahres 2021 wurde die Sicherheitslücke in der weitverbreiteten Softwarebibliothek Log4J bekannt. Als vielfach genutzte Bibliothek für Java, eine der populärsten Programmiersprachen weltweit, hilft sie Softwareanwendungen, ihre vergangenen Aktivitäten zu protokollieren. Allein in den ersten 72 Stunden nach Bekanntwerden verzeichneten Cybersicherheitsexperten mehr als 800.000 Versuche, die Sicherheitslücke auszunutzen.

Die Krise schlug weite Kreise: Sowohl auf Einzelhandels- und Technologieunternehmen als auch auf Finanzdienstleister und Behörden wurden Angriffe verübt. Betroffen waren ebenfalls die meisten Softwareanbieter. Log4J wurde oftmals nicht wissentlich in den Produkten genutzt, die Bibliothek und damit die Schwachstelle hielt aber über ungeprüfte Softwarelieferketten wie ein Trojanisches Pferd Einzug in die Systeme der Nutzer.

Gefährlicher Industriestandard

Die Log4J-Krise zeigt ein branchenübergreifendes Problem: Unternehmen setzen in ihrer IT-Infrastruktur auf Open-Source-Lösungen und Open Files. Das ist seit Jahren Industriestandard. Um mit den Riesenschritten der Digitalisierung rasch mithalten zu können, sind Open-Source-Bausteine für Unternehmen und Softwareentwickler unverzichtbar geworden.

Grundsätzlich ist die Nutzung von Open-Source-Software und -Bibliotheken ein begrüßenswerter Ansatz, wenn diese über die Lebenszeit einer Lösung supportet werden. Heute sind sie oft tief in bestehende Applikationen verankert und lassen sich kaum auszutauschen. So kommt es vor, dass Unternehmen, die Software an Verbraucher und Geschäftskunden liefern oder Software in ihrer Hardware-Lösung integrieren, auf Drittanbieter als Softwarelieferanten zurückgreifen, deren Arbeitsweise und Hilfsmittel, die sie nutzen, nicht im Detail kennen.

Obwohl oder weil das Konzept der Open-Source-Software die Grundlage für einen Großteil der heutigen digitalen Welt liefert, fehlt in der Regel eine systematische Kontrolle der Softwarelieferkette. Das kann schwerwiegende Konsequenzen haben. In einer BlackBerry-Studie mit 1.500 IT-Entscheidungsträgern und Cybersecurity-Führungskräften in Nordamerika, Großbritannien und Australien sahen sich 59 Prozent mit erheblichen Betriebsunterbrechungen nach einem Angriff auf die Softwarelieferkette konfrontiert.

Zu den Nachwirkungen gehörten auch Datenverluste (58 Prozent) und negative Auswirkungen auf den Ruf (52 Prozent). Zudem benötigten neun von zehn Unternehmen (90 Prozent) bis zu einem Monat für die Wiederherstellung. Die Folgen eines Angriffs sind also nicht zu unterschätzen. Hinzu kommt, dass die Auswirkungen auch an die Kunden entlang der Lieferkette weitergegeben werden können.

Die Vielzahl an Open-Source-Bausteinen in der Tiefe der Softwareinfrastrukturen macht es Verantwortlichen in Unternehmen schwer, den Überblick zu behalten und die Softwarelieferkette cybersicher zu managen. Doch es ist nur eine Frage der Zeit, bis die nächste große Schwachstelle aufgedeckt wird. Was können Unternehmen also tun, um sich darauf vorzubereiten? Die Antwort liefert ein Security-by-Design-Ansatz.

Wissen, wer welche Software liefert

Wenn Entwickler sich bei der Programmierung von hochkomplexen Softwareprodukten bedenkenlos auf Drittanbieter-Code verlassen, müssen sie sich im Klaren darüber sein, dass das Endprodukt nur so sicher ist wie die schwächste Komponente. Schwachpunkte mit schwerwiegenden Konsequenzen für die Sicherheit der Endnutzer können die Folge sein. Eine Möglichkeit, die Softwarelieferkette im Unternehmen zu überblicken und zu sichern, ist eine Software Bill of Material (SBOM).

Vergleichbar mit einer Stückliste in der physischen Produktion gibt die SBOM als strukturierte Dokumentation Aufschluss über die Komponenten eines Softwareprodukts und die Beziehungen innerhalb der Softwarelieferkette. So sind den Verantwortlichen die Pakete und Bibliotheken innerhalb einer Anwendung sowie deren Beziehung untereinander und zu anderen Projekten bekannt. Dieser Faktor ist insbesondere bei wiederverwendetem Code und Open-Source-Komponenten von entscheidender Bedeutung.

SBOM-Lösungen wurden vor dem Hintergrund entwickelt, dass Unternehmen nur dann ihre gesamte Softwarelieferkette erfassen und die damit verbundenen Risiken kennen können, wenn sie auch über ihre Lieferanten im Bilde sind. Bei der Ausschreibung für ein geeignetes Produkt sollten Verantwortliche strenge Kriterien für SBOM-Transparenz ansetzen. Auch muss die Lösung sicherstellen, dass die Softwarelieferanten aktuelle gesetzliche Vorgaben erfüllen.

Wie schwerwiegend das Problem sicherer Softwarelieferketten ist, haben auch staatliche Stellen erkannt. Der im Jahr 2022 von der EU-Kommission verabschiedete Gesetzesentwurf des Cyber Resilience Act soll für mehr Sicherheit bei der Entwicklung von Produkten mit digitalen Elementen sorgen.

Vorgesehen ist, dass Softwarehersteller unter anderem eine SBOM einführen. In Zukunft werden Unternehmen also nicht umhinkommen, diese zu implementieren. Dabei ist zu berücksichtigen, dass den beauftragten Analysten wegen des enormen Aufwands für eine Softwareinventur ein entsprechend großes Zeitfenster zur Verfügung gestellt wird.

Lieferkettenproblematik kontinuierlich ins Bewusstsein rufen

Nicht nur im Hinblick auf die Softwarelieferkette ist es essenziell, dass die regelmäßigen Hersteller-Updates zeitnah durchgeführt werden, um bereits bekannte Sicherheitslücken zu schließen. Ebenfalls ist es sinnvoll bei der Auswahl der genutzten Softwarebausteine auf Produkte zu setzen, bei deren Entwicklung maximale Sicherheit von Beginn an oberste Prämisse ist. Das erspart teures Nachrüsten.

Unabhängig davon sollten Unternehmensverantwortliche das Thema Sicherheit der Softwarelieferkette den Teams regelmäßig etwa durch Schulungen ins Bewusstsein rufen. Ferner gilt es, Prozesse und Tools zu implementieren, mit denen Bedrohungen vorgebeugt werden kann oder die im Fall eines erfolgreichen Angriffs helfen, den Schaden zu begrenzen. Dazu gehören auch Kommunikationslösungen, über die im Ernstfall alle betroffenen Stakeholder schnell informiert werden können.

Dass Softwarekomponenten aus externen Quellen einen Risikofaktor für Unternehmen jeder Größe darstellen, ist eine nicht zu unterschätzende Herausforderung. Doch mit einem Secure-by-Design-Ansatz haben Sicherheitsverantwortliche Möglichkeiten, mögliche Schäden abzuwenden oder zu verringern und langfristig die Wirtschaftlichkeit zu sichern.

* Ulf Baltin ist Managing Director DACH bei BlackBerry.

(ID:49672972)