Bei der Entwicklung neuer Produkte setzen Hersteller von Software in wachsendem Maße auf Software Supply Chains. Das Problem: Gelingt es Angreifern, sich unbemerkt Zugang zu und Zugriff auf die IT-Systeme der Hersteller zu verschaffen, können sie in deren Produkten und Produktupdates Backdoors und Malware implementieren.
Diese werden dann, als Teil der legitimen Software, an deren Kunden ausgeliefert. Eine Möglichkeit, sich hiervor als Anwender der Software zu schützen: Extensive Security Posture Management-Lösungen.
Software Supply Chains sind aus heutigen modernen Prozessen der Software-Herstellung nicht mehr wegzudenken. Für Hersteller machen sie Entwicklungs-, Distributions- und Update-Prozesse effektiver, effizienter und schneller. Anwender profitieren von einer erhöhten Qualität, Skalierbarkeit und Sicherheit. Das Problem: Gelingt es Angreifern, unbemerkt in die IT-Systeme der Hersteller einzudringen und Malware oder eine Backdoor in die zu entwickelnde Software zu implementieren, öffnet ihnen das mit einem Schlag Tür und Tor bei tausenden und abertausenden von Anwendern. Sie können sich dann Zugang zu und Zugriff auf deren IT-Systeme verschaffen – unbemerkt von deren Sicherheitskontrollen.
Software Supply Chains – Ein Einfallstor mit erheblichem Schadenspotenzial…
Entsprechend hoch ist das Schadenspotenzial bereits eines einzigen erfolgreichen Supply Chain-Angriffs anzusetzen. Erinnert sei hier nur an den SolarWinds-Hack von 2020 oder die Log4j-Schwachstelle von 2021. In seiner aktuellen Untersuchung Vulnerable Software Supply Chains Are a Multi-billion Dollar Problem kommt das Marktforschungsunternehmen Juniper Research zu dem Ergebnis, dass Cyberangriffe auf Software-Lieferketten die Weltwirtschaft bereits 2021 umgerechnet rund 28,5 Milliarden Euro an Umsatzeinbußen und Schäden gekostet haben dürften. Bis 2026 rechnet Juniper mit einem Anstieg der Umsatzeinbußen und Schäden auf umgerechnet jährlich rund 77 Milliarden Euro – sofern es bis dahin nicht zu einem Paradigmenwechsel beim Cybersecurity-Management von Software-Lieferketten gekommen ist.
… und ein lukratives Angriffsziel für Cyberkriminelle
Anfang vergangenen Jahres prognostizierte Gartner in seinen Sicherheitstrends für 2022, dass 45 Prozent aller Unternehmen weltweit bis 2025 mindestens einen Angriff auf ihre Software-Lieferketten erfahren haben werden. Eine Verdreifachung des Wertes von 2021 innerhalb von nur 5 Jahren. Die Ursachen für diesen rasanten Anstieg der Prognose lassen sich leicht zusammenfassen: Erstens, viele Hersteller schützen ihre Software Supply Chains nicht ausreichend vor Angriffen. Zweitens, Hacker können bei einem relativ geringen Einsatz ihrer Mittel eine vergleichsweise große Wirkung erzielen. Drittens, die Sicherheitskontrollen ihrer eigentlichen Opfer können sie mittels eines Supply Chain-Angriffs schnell, unkompliziert und unentdeckt umgehen. Und viertens werden die Auswirkungen einer Supply Chain-Attacke von Herstellern wie Anwendern meist zu spät oder sogar überhaupt nicht bemerkt.
Die EU reagiert
Das Bewusstsein für die Gefährlichkeit nicht ausreichend geschützter Software Supply Chains ist mittlerweile auch in der Politik angekommen. Im September des vergangenen Jahres legte die Europäische Kommission einen Entwurf für den Cyber Resilience Act (CRA) vor. Der CRA soll sicherstellen, dass Hersteller die Sicherheit von Produkten mit digitalen Elementen verbessern. Hierzu erhalten sie einen kohärenten Rahmen für die Cybersicherheit ihrer Produkte vorgegeben. Die Sicherheitseigenschaften von Produkten mit digitalen Elementen sollen ihren Nutzern so transparent gemacht, Unternehmen und Verbraucher in die Lage versetzt werden, diese Produkte sicherer als bisher zu nutzen.
In Deutschland hat das BSI hierzu die Technische Richtlinie TR-03183 erlassen. Hersteller erhalten durch sie die Möglichkeit, sich schon im Vorfeld mit den Anforderungen, die mit dem Cyber Resilience Act (CRA) auf sie zukommen werden, auseinanderzusetzen. Erste formelle und fachliche Vorgaben für das Software Bill of Materials-Konzept der Richtlinie wurden Anfang August veröffentlicht. Vorgaben zu den allgemeinen Anforderungen an Hersteller und Produkte sollen bis Ende 2023 bekannt gegeben werden.
Handlungsempfehlung
Und dennoch: Unternehmen, die Software, deren Entwicklung auf Software-Lieferketten beruht, sicher nutzen wollen, sind gut beraten, auch selbst aktiv zu werden. Um die Risiken von Supply Chains zu minimieren, helfen bereits einige einfache Maßnahmen, wie:
- eine umfassende Prüfung der Hersteller (Security-Scores, Zertifizierungen etc.),
- eine Einbindung von Sicherheitsaspekten in Verträge mit Herstellern (SLAs),
- eine Einschränkung der Zugriffsrechte für Hersteller,
- das Monitoring der eigenen Systeme auf Anomalien,
- die Nutzung von Software Bills of Materials (SBOM),
- die Durchführung eigener Schwachstellen-Scans und Pen-Tests,
- die Anforderung regelmäßiger Sicherheitsberichte von Herstellern und
- die automatisierte, kontinuierliche Validierung des eigenen Security Postures.
Extensive Security Posture Management – Software Supply Chains noch besser im Griff
Eine Möglichkeit, das Cyber-Sicherheitsrisiko von Software Supply Chains weiter zu reduzieren, besteht darin, sich gesicherte Erkenntnisse über die oft komplexe, mehrere Unternehmen und Systeme umfassende kontextuelle Cyber-Widerstandsfähigkeit der Hersteller zu verschaffen. Sofern der Hersteller einverstanden ist, kann dessen Widerstandsfähigkeit gegenüber Cyberangriffen mittels einer Extensive Security Posture Management-Lösung kontinuierlich ermittelt werden – beispielsweise über ein External Attack Surface Management-System (EASM).
Seine Angriffssimulationen erlauben eine realistische Bewertung der Sicherheitskontrollen des Herstellers. Und wenn ein Hersteller einen erfolgreichen Angriff meldet, können die Unternehmen, dank der zuvor eigengangenen Sicherheitsbewertungen, schnell ermitteln, ob ihre Infrastruktur gefährdet ist und wo und wie sie ihre Abwehrmaßnahmen anpassen müssen, um etwaige Bedrohungen rechtzeitig zu erkennen und zu blockieren.
Mittels eines EASMs kann:
- die Sicherheit aller potentiellen Angriffsflächen von Herstellern effektiv gescannt und beurteilt,
- das Security Posture eines Herstellers eingehend bewertet und
- Cybersicherheit zu einem objektiven Faktor bei der Herstellerauswahl gemacht werden.
Fazit
Unternehmen setzen zunehmend auf Software von Herstellern, die Software Supply Chains nutzen. Um hier für mehr Sicherheit zu sorgen, müssen Unternehmen die Initiative ergreifen. Mittels einer modernen Extensive Security Posture Management-Lösung kann – sofern der Hersteller zustimmt – ein External Attack Surface Management zur Anwendung gebracht werden, mit dessen Hilfe Unternehmen ihre Software Supply Chains kontinuierlich auf ihre Sicherheit hin überprüfen können.
www.cymulate.com