Im Frühjahr 2021 identifizierte Tenable mehrere Sicherheitslücken in verschiedenen Heimnetzwerk-Routern des Herstellers Buffalo, die in Japan in Umlauf kamen. Wenn Hacker einige dieser Sicherheitslücken ausnutzen, wäre mitunter auch eine Kompromittierung der an die Router angebundenen Geräte möglich.
Betroffen sind laut Tenable mittlerweile mindestens 20 Router- und Modem-Modelle verschiedener Hersteller, die in Nordamerika, Europa, auch in Deutschland, und im asiatisch-pazifischen Rauf vermarktet wurden. Dass einige der Sicherheitslücken nicht nur Buffalo betreffen, sondern es sich um eine herstellerübergreifende Schwachstelle handelt, hat sich im Verlauf der Untersuchung von Tenable ergeben. Als Übeltäter entpuppte sich CVE-2021-20090, eine Path Traversal/Authentication Bypass-Schwachstelle, in der zugrundeliegenden Arcadyan-Software.
Entwickler greifen für die immer komplexere Software auf bereits verfügbaren Programmiercode in Softwarebibliotheken zurück. Die Drittanbieter legen aber ihre Sicherheitspolitik nicht transparent dar, so dass sich Sicherheitsmängel über die Lieferkette bis ins marktfertige Produkt fortsetzen können. Die Hersteller hatten diese Problematik bislang nicht auf dem Schirm. Die betroffenen Router und Modems, die auf unsicherer Arcadyan-Software aufbauen, zeigen, dass das Sicherheitsmanagement entlang der Lieferkette zu einer Herausforderung wird. Sicherheitslücken in einer gemeinsam genutzten Bibliothek müssten die Beteiligten eigentlich umgehend melden, weiterverfolgen und vor allem beheben. Durch jeden weiteren Anbieter und jedes betroffene Produkt wächst die Angriffsfläche immer weiter, was es schwieriger macht, das Problem einzudämmen.
Politik reagiert mittlerweile
Da die Abhängigkeit der Verbraucher und Unternehmen von intelligenten ITK-Geräten zunimmt, gibt es Initiativen auf nationaler Ebene und seitens der EU, um die Cybersicherheit in den Griff zu bekommen. Das Problem wird auch im Cybersecurity Act, einer aktuellen EU-Verordnung, thematisiert: „Digitalisierung und Konnektivität werden zu zentralen Merkmalen einer ständig wachsenden Zahl von Produkten und Dienstleistungen. Mit dem Aufkommen des Internets der Dinge (IoT) ist zu erwarten, dass in den nächsten zehn Jahren in der gesamten Union eine extrem hohe Zahl von vernetzten digitalen Geräten eingesetzt wird. Während immer mehr Geräte mit dem Internet verbunden sind, sind Sicherheit und Belastbarkeit nicht ausreichend integriert, was zu unzureichender Cybersicherheit führt.“
Immer wieder tauchen in Softwarecode oder gemeinsam genutzten Bibliotheken Sicherheitslücken auf. Werden diese entdeckt, gilt es deren mögliche Auswirkungen auf Verbraucher und Hersteller zu ermitteln. In der Praxis findet jedoch ein effektives Schwachstellenmanagement nicht in erforderlichem Maße statt. Die Schwachstellen betreffen mittlerweile aber nicht nur Consumer-Geräte, sondern auch Betriebstechnik (OT) und IoT-Komponenten. Es hapert an der Zuordnung von Schwachstellen in gängigen Softwarebibliotheken, während die Schwachstellen im Rahmen von Projekten immer weiter durchgereicht werden und sich auf Produktebene in der Fläche ausbreiten.
Zuvor blieben Warnungen oft ungehört
Die Softwarecommunity hat Regierungen, Unternehmen und Verbraucher bereits oft vor einem spektakulären Cyberangriff wie zuletzt auf SolarWinds gewarnt. Richtlinie und Regierungsinitiativen, wie auch die zuletzt veröffentlichte Cybersecurity Executive Order (EO) in den USA, werden derlei Cyberangriffe nicht aufhalten, sind aber ein guter Anfang. Nach einem weitreichenden Angriff wie dem von SolarWinds ist es zumindest ermutigend, dass die Bedrohung nun auf offizieller politischer Ebene ins Bewusstsein rückt. So müssen innerhalb des nächsten Jahre alle Softwareanbieter, die für die US-Bundesregierung arbeiten, einen etablierten Softwareentwicklungslebenszyklus vorweisen. Dies spricht direkt die klaffenden Sicherheitsprobleme in der Lieferkette an, auf die der Fall SolarWinds aufmerksam gemacht hat. Ein kompromittiertes Kettenglied kann die gesamte Lieferkette gefährden.
Ein Teil der neuen Richtlinien beinhaltet Meldepflichten für Softwarelieferanten. Dies erzwingt die dringend benötigte Transparenz und Verantwortlichkeit im gesamten privaten Sektor, die zu lange unbeachtet blieb. Diese Änderung sollte von allen begrüßt werden, von Technologieanbietern, Regierungsbehörden und Endanwendern. Neben der Schwachstellenproblematik drohen zeitgleich immer „innovativere“ Ransomware-Angriffe auf MSPs und deren Kunden. Die Angreifer nutzen Zero-Day-Sicherheitslücken beispielsweise in Kaseya VSA aus, ermutigt durch das Erfolgserlebnis mit NotPetya. Werden nun Sicherheitslücken in Software entdeckt, die sich Hersteller teilen, gilt es in der Lieferkette sämtliche Akteure von Softwareprojekten, Hersteller, aber auch Endbenutzer zu identifizieren und zu warnen.
Branche will künftig widerstandsfähiger werden
Resilienz gegen Cyberangriffe auf die Lieferkette erfordert es, das Thema Sicherheit als unverzichtbar zu betrachten. Dies gilt für das eigene Portfolio ebenso wie für die Produkte, Komponenten und Dienste von Drittanbietern. Alle beteiligten Akteure müssen an der Verbesserung ihrer Sicherheitslage arbeiten und dies auch von Zulieferern einfordern. So lässt sich das Risiko entlang der Lieferkette reduzieren und ein effektiver Notfallplan umsetzen, um Endbenutzer zu schützen. Die quantitativ zunehmenden Cybersicherheitsvorfälle und qualitativ besonders ausgefeilte Angriffe auf die Softwarelieferkette erfordern eine konzertierte Reaktion von Gesetzgebung, Herstellern und Sicherheitsforschern. Es geht nun um die richtigen Praktiken, um Sicherheitslücken ans Licht zu bringen, zu melden und entlang der gesamten Lieferkette konsequent zu beheben.