Der Kommentar von Melissa Bischoping, Director Endpoint Security Research Specialist bei Tanium, beschäftigt sich mit den Gefahren Software-Lieferketten für die Daten von Verbrauchern.
Die Softwarelandschaft wächst weiter und weiter, und so ist es nicht überraschend, dass die Schwachstellen und Angriffsflächen von Software-Bibliotheken nicht kleiner werden. Angriffe auf die Software-Lieferkette sind für Bedrohungsakteure vor allem attraktiv, weil sie im Erfolgsfall mit nur einer Attacke den Zugriff auf Hunderte oder Tausende von Anwendungen bekommen können. Die Ausnutzung von Schwachstellen oder die Kompromittierung von Quellcode in vertrauenswürdigen Anwendungen kann es einem Angreifer ermöglichen, von einer zentralen Verwaltungsstelle aus zu operieren und sich unentdeckt im Netzwerk zu bewegen.
Es wird an verschiedenen Lösungen für diesen Gefahrenvektor geforscht, eine wichtige Rolle spielt dabei die von der CISA vorangetriebene Initiative “Secure by Design”. Der Schwerpunkt liegt dabei auf einem proaktiven Ansatz und soll Hersteller in die Pflicht nehmen, nur noch Software- und Technologieprodukte zu produzieren, die gewisse Sicherheitsstandards erfüllen. Dies soll die Verantwortung der Verbraucher verringern und eine Sicherheitskultur etablieren, die von der Installation einer neuen Software- oder Hardwarelösung an integriert ist. Dabei geht es nicht nur um Unternehmenssoftware, sondern auch um private Netzwerkgeräte
und Verbrauchersoftware.
Eine entscheidende Rolle in diesem Zusammenhang spielt auch die breite Verfügbarkeit von KI-Technologien, die in den nächsten Jahren für Technologieentwickler und politische Entscheidungsträger weiter an Bedeutung gewinnen werden. Es muss sichergestellt werden, dass die KI so eingesetzt wird, dass die Privatsphäre und das geistige Eigentum geschützt werden, aber auch, dass die KI-Modelle verantwortungsvoll und ethisch korrekt entwickelt werden, um vor Risiken und Missbrauch zu schützen. Unter dieser Voraussetzung kann KI auf extrem leistungsstarke Weise zur Verbesserung der Sicherheit eingesetzt werden.
Der Schutz persönlicher Daten ist eine Verantwortung, die jedes Unternehmen gegenüber seinen Kunden, Mitarbeitern und Investoren hat. Um dies zu gewährleisten, sollten die gängigen Sicherheits-Checklisten aufgegeben und durch ergebnis- und datengesteuerte Risikoanalysen ersetzt werden. Unternehmen müssen die Empfehlungen der Sicherheitsverantwortlichen ernst nehmen und Investitionen in die Sicherheit als für die Langlebigkeit ihres Unternehmens unerlässlich betrachten. Eine datengestützte Sicherheitsanalyse durch Drittanbieter und der Nachweis einer laufenden, regelmäßigen Überwachung der Sicherheitslage sollten transparent zwischen Partnern und Kunden erbracht werden. Investitionen in mehrschichtige Erkennungs- und Abwehrmechanismen sind wichtige Schritte, garantieren aber trotzdem keinen vollumfänglichen Schutz.