Software-Lieferketten

SANS Empfehlungen für die Absicherung von Software-Lieferketten

SANS Empfehlungen für die Absicherung von Software-Lieferketten

Von John Pescatore, Director of Emerging Security Trends beim SANS Institute

Das größte Problem besteht allzu oft darin, dass Entscheidungen in der Lieferkette ohne Beteiligung des IT Security-Teams oder ohne jegliche Berücksichtigung der IT-Sicherheit getroffen werden. Lieferanten und Partner werden in der Regel auf ihr finanzielles Risiko hin bewertet, nicht aber auf die Cyberrisiken.

John Pescatore, Director of Emerging Security Trends beim SANS Institute

Sicherheitsrelevante Vorfälle bei Software-Anbietern häufen sich, beispielsweise weil sie ihre Entwicklungsumgebungen nicht ausreichend abgesichert haben. Die Sicherheitslücke bei der US-Supermarktkette Target im Jahr 2013 wurde dadurch verursacht, dass die Konten eines für die Fernwartung beauftragten HLK-Anbieters gehackt wurden, wodurch die Angreifer Zugang zu internen Filialnetzwerken erhielten.

Im Jahr 2022 wurde der Outsourcer Sitel gehackt, und die kompromittierten Systeme von Sitel ermöglichten es den Angreifern, in einen Anbieter von Identitätsmanagement und Authentifizierungs-Software einzudringen und von dort aus deren Kunden anzugreifen. Ebenfalls im Jahr 2022 meldete das Open-Source-Repository GitHub, dass Angreifer OAuth-Benutzer-Token gestohlen hatten, die von Heroku und Travis-CI verwendet wurden, beides Drittanbieter. Dies ermöglichte den Angreifern direkten Zugang zu den Kunden von Heroku und Travis-CI.

Viele Unternehmen haben erkannt, dass sie mehrere Probleme im Zusammenhang mit der Sicherheit der Lieferkette haben:

  1. Sie waren sich nicht einmal sicher, wie viele Lieferanten sie hatten oder wo Produkte, Dienste und Verbindungen von Drittanbietern im Einsatz waren.
  2. Sie verließen sich zu sehr auf finanzielle Risikoindikatoren und vertragliche Methoden, wie z. B. die Forderung, dass alle Zulieferer eine Geschäftsversicherung abschließen müssen, in der Hoffnung, dass diese die Kosten für etwaige Zwischenfälle abdeckt.
  3. Unternehmen, die physische Produkte verkauften (z. B. Herstellung und Einzelhandel), verfügten über robuste Programme für das Lieferkettenmanagement bei physischen Produkten, die bei Software nicht funktionierten.

Unternehmen haben verstärkt Dienste zur Bewertung von Cyberrisiken wie BitSight, Prevalent, Risk Recon und Security Scorecard genutzt. Diese Dienste können das Risiko nur anhand von extern sichtbaren Parametern einschätzen, können aber eine schnelle Benachrichtigung über Änderungen im Risikostatus liefern. Der Zugang zu Drittanbietern wurde wesentlich sicherer gemacht, indem für alle Fernzugriffe eine Multi-Faktor-Authentifizierung verlangt wird, die Phishing-Angriffe vereitelt.

Bei der Auswahl von Partnern in der Lieferkette wird die IT-Sicherheit oft noch nicht berücksichtigt. Unternehmen müssen auch ihre Fähigkeiten verbessern, um zu erkennen, wann Verbindungen in der Lieferkette Bedrohungen in die Geschäftsprozesse einbringen. In naher Zukunft werden KI und Tools für maschinelles Lernen von Bedrohungsakteuren eingesetzt werden, um gezieltere Angriffe zu entwickeln. Genauso werden aber auch IT-Sicherheitsteams diese Technologien einsetzen, um verdächtiges Verhalten genauer und schneller zu erkennen. Wichtig für Unternehmen ist, dass ihre IT-Sicherheitsverantwortlichen bei der Beschaffung von Software mit ins Boot geholt werden, um sicherzustellen, dass die IT-Sicherheit bei allen Entscheidungen in der Lieferkette berücksichtigt wird. Die IT-Sicherheitsteams benötigen für Entscheidungen die nötigen Fähigkeiten und Werkzeuge, um Sicherheitsbewertungen schnell genug durchführen zu können. Darüber hinaus benötigen sie die notwendige Unterstützung, um den geschäftlichen Anforderungen gerecht zu werden, und um auch kleinere Partner in der Lieferkette selbst zu monitoren. Oft sind es unscheinbare und eher kleinere Anbieter, die Unterstützung durch ihre Auftraggeber benötigen, um beiden Seiten eine böse Überraschung zu ersparen.