Sichere-Open-Source-Lösungen unverzichtbar Softwarelieferketten werden zu einem teuren Sicherheitsrisiko

Open-Source-Lösungen sind zwar Industriestandard, bergen jedoch Risiken ohne ausreichende Kontrolle.

Bild: iStock, MF3d
05.07.2023

Open-Source-Lösungen und Open Files bilden seit Jahren de facto den Industriestandard in der IT-Infrastruktur von Unternehmen, allerdings ohne systematische Kontrolle. Eine Studie des Juniper Research Instituts belegt, dass Cyberangriffe auf Softwarelieferketten die Weltwirtschaft bis 2026 jährlich schätzungsweise 80,6 Milliarden US-Dollar an Umsatzeinbußen und Schäden kosten werden, wenn es nicht zu einem Paradigmenwechsel beim Cybersecurity-Management in der Softwarelieferkette kommt.

Ein anschauliches Beispiel für das Dilemma durch unsichere Software liefert der Log4J-Angriff. Ende des Jahres 2022 wurde eine Sicherheitslücke in Log4J bekannt. Folgen waren eine Welle von Cyberangriffen und die weitreichende Verunsicherung der Investoren. Die Krux daran: Für Unternehmen und Entwickler ist es kaum möglich, auf derlei Open-Source-Bausteine zu verzichten. Denn zum einen sind sie tief in bestehenden Anwendungen verankert, zum anderen sind sie kaum zu ersetzten, da sie in viele oftmals unzugängliche Landschaften wie zum Beispiel IoT-Systeme integriert wurden.

Nach einem Angriff auf die Softwarelieferkette berichteten 1.500 Befragte einer BlackBerry-Studie von erheblichen Betriebsunterbrechungen (59 Prozent), Datenverlusten (58 Prozent) und negativen Folgen für die Reputation (52 Prozent), wobei neun von zehn Unternehmen (90 Prozent) bis zu einem Monat für die Wiederherstellung benötigten. Die Folgen eines Angriffs sind also nicht zu unterschätzen.

„Unternehmen kämpfen mit einer unübersichtlichen und schwierig zu managenden Softwarelieferkette, die sie anfällig für Angriffe macht“, erklärt Ulf Baltin, Managing Director, Dach bei BlackBerry. „Um sich resilienter aufzustellen, sollten Verantwortliche auch hier auf einen Secure by Design-Ansatz setzen. Dadurch sichern Unternehmen langfristig ihre Profitabilität.“ Der Experte erklärt, wie sich gezielt verhindern lässt, dass sich Softwarekomponenten aus externen Quellen zum Risikofaktor für Unternehmen jeglicher Größe entwickeln.

Die eigenen Softwarelieferanten und ihre Komponenten kennen

Einen möglichen Lösungsansatz bieten den Unternehmen sogenannte Software Bills of Material (SBOM), die sie dabei unterstützen, ihre Softwarelieferketten zu verstärken und zu sichern. Der Hintergrund: Nur wenn sich Unternehmen intensiv mit ihren Lieferanten auseinandersetzen, können sie die gesamte Bandbreite ihrer Softwarelieferkette erfassen und die damit verbundenen Risiken erkennen.

Empfehlenswert sind daher strenge Ausschreibungsverfahren für mehr SBOM-Transparenz, um die Konformität der Lieferanten sicherzustellen. Eine SBOM funktioniert analog zur Stückliste bei physischen Produkten als formale, strukturierte Dokumentation, die die Komponenten eines Softwareprodukts und ihre Beziehungen innerhalb der Softwarelieferkette beschreibt.

Insofern gibt sie Auskunft über die Pakete und Bibliotheken innerhalb einer Anwendung sowie über deren Beziehung untereinander und zu anderen Projekten – ein entscheidender Faktor im Fall von wiederverwendetem Code und von Open-Source-Komponenten.

Zeitaufwand realistisch einschätzen

Viele Entwickler, die sich blind auf den Code von Drittanbietern verlassen, schaffen komplexe Gebilde in Softwareform, die jedoch nur so sicher sind wie ihre schwächste Komponente. Gravierende Schwachstellen können die Folge sein. Daher verpflichtet die Regierung Joe Bidens in den USA Unternehmen bereits, ein SBOM zu verwenden.

Allerdings ist das mit erheblichem Zeitbedarf für die Analysten verbunden, die mit der Erstellung von SBOM beauftragt sind. Derweil konnten einige KI-gestützte Lösungen wie BlackBerry Jarvis vergleichbare Ergebnisse innerhalb weniger Minuten produzieren.

Von Anfang an auf das Maximum an Sicherheit achten

Der Zeithorizont spielt auch in anderer Hinsicht eine zentrale Rolle. Die Ergebnisse der BlackBerry Studie zeigen auch, dass die Unternehmen zwar im Durchschnitt eine vierteljährliche Bestandsaufnahme ihrer eigenen Softwareumgebung durchführen, dass sie aber durch Faktoren wie fehlende Fähigkeiten (54 Prozent) und mangelnde Transparenz (44 Prozent) von einer regelmäßigeren Prüfung abgehalten werden.

Für kontinuierliche Sicherheit ist es von entscheidender Bedeutung, dass Software-Updates über die gesamte Softwarelieferkette hinweg auf dem neuesten Stand gehalten werden. Parallel dazu sollten Unternehmen ausschließlich widerstandsfähige Lösungen nutzen, die von Anfang an unter dem Aspekt maximaler Sicherheit entwickelt wurden.

So können sich Verantwortliche kostspielige Kontrollen und Nachrüsten sparen. Von den Unternehmen, die nur quartalsweise ihre Lieferkette überprüfen, entdeckten 77 Prozent Akteure, die ihnen vorher nicht bekannt waren und die sie nicht auf die Einhaltung wichtiger Sicherheitsstandards hin überwacht hatten.

Cybersecurity als Teil der Unternehmenskultur etablieren

Ungeachtet der konkret eingesetzten Sicherheitslösung tun CSOs und andere Verantwortliche gut daran, innerhalb ihrer Unternehmen das Thema Cybersicherheit bekannt und zur täglichen Routine zu machen. Denn Softwareelemente in der Lieferkette können regelrecht „unter dem Radar fliegen“.

Nur durch Bewusstseinsbildung und den Aufbau gesicherter Prozesse können die Sicherheitsanforderungen erfüllt werden. Ein Bereich, der oft vernachlässigt wird, ist die Sicherheit der Produktion. Dort nimmt die Zahl der Angriffe auf die OT-Infrastruktur in den vergangenen Jahren rasant zu. Entscheider sollten daher bei der Auswahl einer Cybersicherheitslösung darauf achten, dass diese den gesamten Produktlebenszyklus end-to-end abdeckt – im IoT-Kontext sowohl offline als auch online.

Firmen zu diesem Artikel
Verwandte Artikel