Warum Cybersicherheit über die eigene IT hinausreichen muss

Von Peter Machat, Senior Director EMEA Central bei Armis

Die jüngsten Attacken auf Software-Lieferketten zeigen, wie anfällig und eng verflochten die digitale Infrastruktur geworden ist.

Der Vorfall rund um den Wurm Shai-Hulud im npm-Ökosystem, dem Fundament vieler moderner Web- und Unternehmensanwendungen, führte bereits zur Kompromittierung von über 500 Paketen. Die Schadsoftware sammelte Cloud-Zugangsdaten aus AWS-, GCP- und Azure-Umgebungen sowie GitHub-Zugriffstokens und verbreitete sich eigenständig, indem sie infizierten Code in weitere Module einschleuste.

Shai-Hulud steht exemplarisch für eine wachsende Zahl von Sicherheitsvorfällen in Software-Lieferketten. Gartner berichtet, dass bis 2026 nahezu jedes zweite Unternehmen betroffen sein wird und damit dreimal so viele wie noch 2021. Für Firmen in Europa bedeutet das: Die Angriffsfläche reicht längst über die eigenen IT-Systeme hinaus. Sobald eine genutzte Open-Source-Bibliothek kompromittiert ist, kann sich der Schaden über Lieferketten und Partnernetzwerke hinweg ausbreiten, Compliance- und Datenschutzrisiken verstärken sowie Kundendaten, Produktionsprozesse oder Services beeinträchtigen.

Diese Entwicklung macht deutlich, dass punktuelle Sicherheitsmaßnahmen und klassische Patch-Strategien nicht mehr genügen. In einer zunehmend vernetzten IT-Landschaft braucht es ganzheitliche Ansätze wie Continuous Threat Exposure Management (CTEM), die Transparenz und Handlungsfähigkeit über die gesamte digitale Lieferkette hinweg schaffen.

Die digitale Lieferkette als Schwachstelle moderner IT

94 Prozent aller Anwendungen nutzen heute Open-Source-Komponenten und 84 Prozent der Unternehmen waren in den vergangenen zwölf Monaten von Angriffen auf ihre Software-Lieferkette betroffen. Kampagnen wie Shai-Hulud zeigen, wie rasch sich Bedrohungen ausbreiten können, wenn nur eine einzige Abhängigkeit kompromittiert ist. Da moderne Entwicklungsprozesse stark auf Paket-Registrierungen wie npm setzen, kann ein infiziertes Modul tausende Organisationen gleichzeitig betreffen. Damit hängt die Sicherheit eines Unternehmens längst nicht mehr nur davon ab, ob interne Systeme regelmäßig gepatcht oder überwacht werden. Entscheidend ist ebenso, ob die eingesetzten Code-Bibliotheken, APIs und Partnerintegrationen sicher und vertrauenswürdig sind.

Wie ganzheitliche Sicherheit im vernetzten Ökosystem gelingt

Continuous Threat Exposure Management (CTEM) muss das gesamte digitale Umfeld eines Unternehmens erfassen, von internen Ressourcen über Lieferketten bis hin zu externen Dienstleistern. Ein modernes CTEM-Programm geht über eine einmalige Bestandsaufnahme oder regelmäßige Scans hinaus und verlangt:

• Transparenz über alle verbundenen Systeme: Ob Entwickler-Laptop, unverwaltetes IoT-Gerät oder SaaS-Integration eines Drittanbieters, jede Verbindung erweitert die Angriffsfläche. Untersuchungen von Armis Labs zeigen, dass rund 40 Prozent der verbundenen Assets in Unternehmen unverwaltet oder unbekannt sind. Dadurch bleiben viele Risiken unentdeckt.
• Risiken im geschäftlichen Zusammenhang bewerten: Nicht jede Schwachstelle stellt dieselbe Bedrohung dar. CTEM bedeutet, Risiken im Kontext geschäftskritischer Prozesse zu betrachten. Es muss klar sein, welche Systeme Kundendaten verarbeiten oder mit sensiblen Diensten verknüpft sind. So lassen sich Bedrohungen priorisieren, die den größten Einfluss auf den Geschäftsbetrieb haben könnten.
• Früherkennung und Reaktionsfähigkeit entlang der Lieferkette: Angriffe wie Shai-Hulud entfalten ihre Wirkung innerhalb von Stunden. Frühzeitige Warnungen, kontinuierliches Monitoring von Software-Abhängigkeiten und die Korrelation von Auffälligkeiten im gesamten digitalen Ökosystem sind daher entscheidend. Klassische Schwachstellen-Scanner reichen hier nicht mehr aus.
• Risiken gezielt mindern statt blind reagieren: Kein Unternehmen kann jede einzelne Schwachstelle vollständig im Blick behalten. Ein wirksames CTEM-Programm konzentriert sich daher auf die wirklich kritischen Bereiche: Systeme mit sensiblen Daten, Entwickler-Pipelines und öffentlich erreichbare Assets.

Lehren aus Shai-Hulud

Der Vorfall verdeutlicht mehrere harte Wahrheiten für Unternehmen:

• Die Entwickler sind Teil der Angriffsfläche: Anmeldedaten und Tokens als Hauptziele
• Verschachtelte Abhängigkeiten verbergen große Risiken: Eine einzige anfällige Bibliothek kann das gesamte Unternehmen gefährden.
• Eine erweiterte und umfassende Transparenz ist unverzichtbar: Ohne kontinuierliche Überwachung können Sie nicht erkennen, wann Ihre Lieferkette zum Ausgangspunkt für Angriffe wird.

Sicherung der erweiterten digitalen Landschaft

Unternehmen müssen über reaktive Patches hinausgehen und ein proaktives Management ihrer Angriffsflächen etablieren. Dazu gehören der Aufbau eines dynamischen, stets aktuellen Bestands aller digitalen Assets, die Verknüpfung von Schwachstellen mit geschäftskritischen Systemen sowie die Ausweitung von CTEM auf Drittanbieter, APIs und Cloud-Ökosysteme. Ebenso entscheidend ist die Implementierung von Frühwarnmechanismen, die Bedrohungen erkennen, bevor sie sich ausbreiten können.

Die Sicherung eines Unternehmens bedeutet heute die Sicherung des gesamten erweiterten digitalen Raums – von jedem einzelnen Gerät in der eigenen Umgebung bis hin zu jeder Abhängigkeit innerhalb der Lieferkette. CTEM verschafft Unternehmen die nötige Transparenz, Priorisierung und Frühwarnung, um potenziellen Bedrohungen wie Shai-Hulud einen entscheidenden Schritt voraus zu sein.