Bedrohung aus der Software Supply Chain Studie zur Gefahr infiltrierter Software-Lieferketten

Autor Stephan Augsten |

Angriffe auf die Software-Lieferkette nehmen weltweit zu, heißt es seitens Crowdstrike. Zwei Drittel aller Unternehmen hätten bereits entsprechende Angriffe auf ihre Software Supply Chain erlebt, meldet der Cybersecurity-Spezialist mit Blick auf eine von Vanson Bourne durchgeführte Studie.

Anbieter zum Thema

Die Gefahr kompromittierter Software Supply Chains nimmt nach Auffassung vieler IT-Entscheider und Security-Experten zu.
Die Gefahr kompromittierter Software Supply Chains nimmt nach Auffassung vieler IT-Entscheider und Security-Experten zu.
(Bild gemeinfrei: geralt - Pixabay.com)

Obwohl ein Großteil der Unternehmen bereits Sicherheitsvorfälle in der Software Supply Chain zu beklagen hatte, mangelt es laut CrowdStrike gerade in Deutschland noch an einem entsprechenden Bewusstsein. Für eine entsprechende Studie hat das unabhängige Marktforschungsunternehmen Vanson Bourne im Auftrag von CrowdStrike weltweit 1.300 IT-Entscheider und IT-Sicherheitsexperten befragt. 200 Teilnehmer stammten aus Deutschland, weitere berücksichtigte Länder waren die USA, Kanada, Großbritannien, Mexiko, Australien, Japan und Singapur.

Die Mittel und Wege, eigentlich vertrauenswürdige Software zu infiltrieren, sind dabei vielfältig. Denkbar ist beispielsweise die Kompromittierung von Open-Source-Paketen, auch wenn hier eine Prüfung durch andere Entwickler verhältnismäßig schnell Abhilfe verspricht. Eine weitere Möglichkeit ist die Bereitstellung eines Malware-behafteten Updates über einen gehackten, eigentlich vertrauenswürdigen Server, wie im Falle von „NotPetya“ noch immer gemutmaßt wird: Der erpresserische Trojaner könnte 2017 über das Update einer Steuersoftware verteilt worden sein, gesichert ist diese Erkenntnis aber nicht.

Dev-Insider hat bei CrowdStrike nachgefragt, welche Gefahr dabei höher einzuschätzen ist: Eine infiltrierte Software-Lieferkette bzw. ein infizierter Fork eines Open-Source-Projekts oder die Bereitstellung gefälschter Updates (von kommerzieller Software) über kompromittierte Server? Sven Welschen, Director of Technical Marketing von CrowdStrike, meint dazu: „Diese beiden Szenarien können zu ein und demselben Ergebnis führen.“

„Bei Open-Source-Projekten ist es oft nicht so gut um die Sicherheit bestellt, da diese natürlich Geld, Zeit und Personal benötigt“, sagt Welschen weiter. „Bei offiziellen Updates bekannter Hersteller ist die Software-Lieferkette bereits wesentlich transparenter, sodass schneller herausgefunden werden kann, wo der Angreifer ins System eingedrungen ist. Somit kann auch schneller und effektiver reagiert werden. Gleichzeitig heißt das aber auch, dass sich Kunden stärker auf diese kommerziellen Updates verlassen und ein möglicher Missbrauch eines Updates einen erheblichen Schaden anrichten könnte.“

In den Unternehmen wird das Potenzial infiltrierter Software-Lieferketten zumindest wahrgenommen: Fast 80 Prozent der Befragten glauben, dass solche Attacken in den kommenden drei Jahren zu einer der größten Cyber-Bedrohungen werden könnten. In Deutschland ist diese Meinung weniger verbreitet, hier sehen etwas über zwei Drittel der Teilnehmer entsprechendes Potenzial. Als besonders gefährdet werden Industrien wie der Energiesektor empfunden – also im weitesten Sinne die Betreiber kritischer Infrastrukturen, die laut Aussage vieler Studienteilnehmer weit entfernt davon sind, ausreichend gesichert zu sein.

Mit einer umfassenden Strategie zur Begegnung solcher Attacken warten nach eigener Aussage 34 Prozent der Unternehmen auf, weitere 52 Prozent beriefen sich auf eine gewisse Vorausplanung. Zu den geplanten Maßnahmen gehört allerdings bei 18 Prozent der Unternehmen auch die Zahlung von Lösegeld bei Ransomware-Attacken. Experten raten zwar davon ab, aber einige Unternehmen scheinen sich anders nicht helfen zu wissen.

(ID:45401103)