Nach Ransomware-Angriffen waren Supply-Chain-Attacken im Jahr 2o22 die häufigste Art von Cyberangriff. Software-Lieferketten sind daher eine große Gefahr für Firmen. Stücklisten sollen jetzt helfen.
Wir erklären, was Software-Lieferketten-Angriffe sind und wie das BSI mit einer neuen Richtlinie für Software Bills of Materials (SBOM) Unternehmen davor schützen will.
Als Log4J Schlagzeilen machte
Im Dezember 2021 ist die Problematik von Software-Lieferketten erst so richtig in den Fokus gerückt. Damals wurde eine Schwachstelle in der Java-Bibliothek Log4j bekannt und löste einen regelrechten Wettlauf zwischen Sicherheitsbeauftragten und Hackern aus. Zur Erinnerung: Java ist eine Programmiersprache und kommt in zahlreichen Programmen zur Anwendung, sodass nicht nur die Software Log4j angreifbar war, sondern auch alle Programme, in denen diese Software als Baustein dient. Genau deswegen rief das Bundesamt für Sicherheit in der Informationstechnik (BSI) wegen der Log4j-Sicherheitslücke damals auch Alarmstufe Rot aus.
Die Schwachstelle ermöglichte es Angreifern, beliebigen Code auf einem betroffenen System auszuführen und Zugang zu den Daten des Systems zu erhalten, die dann gestohlen werden konnte. Tatsächlich hat die Log4j-Sicherheitslücke zu einem massiven Anstieg an Cyberangriffen geführt und ist auch heute, fast zwei Jahre später, noch eine der meist ausgenutzten Sicherheitslücken. Das zeigt einerseits, dass viele Unternehmen immer noch keine ausreichenden Sicherungsmaßnahmen getroffen haben, und andererseits, dass (Software-)Supply-Chain-Attacken ein enormes Schadenspotenzial haben.
Was sind Supply-Chain-Attacken?
Unter Supply-Chain-Attacken (Deutsch: Lieferketten-Attacken) versteht man Cyberangriffe, die auf Schwachstellen in der Lieferkette eines Unternehmens abzielen. Die Angreifer versuchen dabei, sich Zugang zu den Systemen oder Daten eines Unternehmens zu verschaffen, indem sie dessen Lieferanten oder Drittanbieter angreifen. Möglich sind beispielsweise Phishing-Angriffe auf Mitarbeiter dieser Lieferanten oder Drittanbieter oder auch Man-in-the-Middle-Angriffe auf die Kommunikation zwischen einem Unternehmen und seinen Geschäftspartnern.
Software-Supply-Chain-Attacken sind davon eine spezifische Form: Sie fokussieren sich auf die Lieferkette von Software. Hintergrund dessen ist, dass Software häufig nicht mehr von einem Hersteller allein gebaut wird, sondern auch Komponenten anderer Software-Entwickler beinhaltet. Die Programme bestehen dann also aus vielen verschiedenen Puzzlestücken. Das Problem: Enthält ein solches Puzzlestück eine Schwachstelle oder wird von Cyberkriminellen manipuliert, sind automatisch alle Software-Produkte angreifbar, die es als Komponente einsetzen.
Wie gewaltig das Ausmaß von Software-Supply-Chain-Angriffen ist, hat die Log4j-Schwachstelle ziemlich eindrucksvoll gezeigt. Es gilt daher, Schwachstellen solcher Art unbedingt zu vermeiden. Stücklisten sollen solchen Sicherheitsdebakeln jetzt entgegenwirken!
SBOM: neue BSI-Richtlinie für Stücklisten
Um Software-Lieferketten besser abzusichern, hat das BSI jetzt eine neue Technische Richtlinie (TR) zur Cyber-Resilienz veröffentlicht, mit der sie Vorgaben für das Konzept für eine „Software Bill of Materials“ (SBOM) aufstellt und Anforderungen an die Informationssicherheit von Software-Komponenten definiert. Es handelt sich dabei, vereinfacht gesagt, um eine elektronische Stückliste: Sie dokumentiert, welche kommerziellen und freien Software-Bestandteile in Software-Produkten eingesetzt sind, macht Abhängigkeiten zu Komponenten Dritter transparent und hilft damit gleichermaßen Herstellern, Sicherheitsforschern und Nutzern beim Monitoring von Schwachstellen.
Entwickler sollen diese Stücklisten als ein maschinenlesbares Dokument bereitstellen. Dabei können die Informationen einer solchen Software-Inventardatenbank in „unterschiedlicher Breite und Tiefe dargestellt sein“, so das BSI in der TR-03183. Die Bandbreite reicht von einer nur groben Struktur bis hin zu einer detaillierten Aufschlüsselung von Produkturen und Komponenten.
Mit der neuen Technischen Richtlinie greift das BSI übrigens eine der zentralen Forderungen des europäischen Cyber Resilience Act (CRA) auf. Dieser liegt seit September 2022 als Entwurf der EU-Kommission vor und befindet sich derzeit im Gesetzgebungsverfahren.
So schützen sich Unternehmen vor Supply-Chain-Attacken
Die vom BSI erarbeitete Technische Richtlinie für Stücklisten soll Unternehmen dabei unterstützen, den Einsatz von vertrauenswürdiger Software sicherzustellen. Allerdings kommen Unternehmen nicht umhin, zum Schutz vor (Software-)Supply-Chain-Attacken ihrerseits aktiv werden zu müssen. Wie? Dafür haben wir hier die wichtigsten Tipps für Sie gesammelt:
- Verschaffen Sie sich einen Überblick über die im Unternehmen eingesetzte Software!
Haben Sie einmal eine solche Liste erstellt, sollten Sie in einem zweiten Schritt eine weitere Liste über alle Software-Komponenten erstellen, die in den Anwendungen verwendet sind. Erst auf dieser Grundlage sind die weiteren Maßnahmen möglich. - Vergewissern Sie sich, dass Ihre Software-Lieferanten die neue Technische Richtlinie umsetzen!
Dass eine Richtlinie existiert, ist gut und schön. Letztlich hängt ihr Erfolg aber davon ab, ob sie auch tatsächlich umgesetzt wird. Hier ist es wichtig, dass Sie sich darüber informieren, inwiefern die Hersteller die Herkunft und Sicherheit aller Bestandteile ihrer Software über eine komplette SBOM garantieren können und welche Tools sie zur Absicherung ihres Entwicklungsprozesses einsetzen. - Machen Sie sich eine CNAPP-Plattform zunutze!
CNAPP ist die Abkürzung für den englischen Begriff Cloud Native Application Protection Platform und steht für eine neue Kategorie von Sicherheitslösungen, die bei der Identifizierung, Bewertung, Priorisierung und Anpassung von Risiken in Cloud-Native-Applikationen, Infrastruktur und Konfigurationen helfen. Sie sollen End-to-End-Sicherheit für Cloud-Native-Umgebungen bieten. - Installieren Sie regelmäßig zur Verfügung stehende Sicherheitsupdates!
Durch die SBOM-Stücklisten sollen Hersteller über bessere Monitoring-Möglichkeiten hinsichtlich von Schwachstellen in von ihnen verbauten Software-Komponenten verfügen, um wiederum die Sicherheit ihrer eigenen Produkte zu verbessern und Sicherheitsupdates für Kunden bereitzustellen. Das bringt letztlich aber nur etwas, wenn Unternehmen die verfügbaren Updates tatsächlich durchführen. Am besten ist es, ein Verfahren zur Verwaltung von Software-Updates und -Patches zu implementieren – beispielsweise ein Patch-Management. - Behalten Sie Sicherheitsbedrohungen im Blick!
Für Unternehmen ist es wichtig, bezüglich Cyberbedrohungen, speziell bezüglich Angriffen auf Software-Lieferketten, auf dem Laufenden zu bleiben. Sie können dazu die Nachrichten verfolgen und Sicherheitsberichte lesen. Sie können auch gern regelmäßig in unserem Blog vorbeischauen! Vergessen Sie dabei nicht, auch Ihre Mitarbeiter über aktuelle Bedrohungen und Sicherheitsmaßnahmen zu informieren – möglicherweise im Rahmen von regelmäßigen Security-Awareness-Schulungen.
Durch die Umsetzung dieser Maßnahmen können Unternehmen das Risiko von Software-Supply-Chain-Angriffen reduzieren und ihre Unternehmensnetzwerke davor schützen. Aber was ist, wenn es im Unternehmen keine Mitarbeiter gibt, die die genannten Maßnahmen angehen können?
IT-Dienstleister sicher Software-Lieferketten ab
Ignorieren sollten Sie die Gefahr von Supply-Chain-Attacken jedenfalls nicht. Denn: Die Zahl von Angriffen auf Software-Lieferketten ist in den vergangenen Jahren deutlich angestiegen – und das hat verschiedene Gründe. Zu nennen wären hier die zunehmende Komplexität und Vernetzung von Lieferketten, die steigende Abhängigkeit von Software und Technologie und die erhöhte Professionalisierung von Cyberkriminellen. Unternehmen, die vor solchen Tatsachen die Augen verschließen, setzen sich bewusst dem Risiko von Datenverlusten, Systemausfällen, Reputationsschäden und finanziellen Verlusten aus.
Dabei ist die Lösung eigentlich ganz einfach: Holen Sie sich einfach Fachleute an die Seite, deren täglich Brot daraus besteht, sich mit Sicherheitsbedrohungen auseinanderzusetzen und Unternehmen davor zu bewahren! Unter den Experten aus dem IT-SERVICE.NETWORK finden Sie solche Fachleute ganz bestimmt auch in Ihrer Nähe! Im Rahmen ihrer Dienstleistungsportfolios übernehmen unsere Profis Aufgaben wie die Risikobewertung, das Patch-Management oder die Sensibilisierung der Mitarbeiter gern. Nehmen Sie einfach unverbindlich Kontakt auf und informieren Sie sich über die Services zum Schutz Ihrer IT-Netzwerke!
Weiterführende Informationen:
BSI TR-03183-2, BSI, BSI, IBM, CHECK POINT, heise, SECURITY INSIDER
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Gemeint sind jedoch immer alle Geschlechter und Geschlechtsidentitäten.
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung