Cyber-Kriminalität
Cyberrisiken für die Lieferkette – was nun?
Angreifer konzentrieren sich auf Angriffsmodelle, die funktionieren, also zielen sie häufig auf die Lieferkette von Firmen! Darum müssen sich Sicherheitsverantwortliche jetzt um die Integrität ihrer Lieferkette kümmern, so der eindringliche Appell von Udo Schneider.
Lässt man einige Angriffe der letzten Zeit (insbesondere Solarwinds oder den über Log4Shell) Revue passieren, so fällt auf, dass diese immer mehr „über Bande“ spielen, d.h. die Angreifer greifen Zielunternehmen nicht mehr direkt an, sondern über deren (Software)-Lieferkette. Ob nun Opfer über kompromittierte Solarwinds-Updates oder Lücken in Log4Shell attackiert werden -- in beiden Fällen ist die Software-Lieferkette gleichzeitig auch Infektionskette. Damit aber gewinnt das Thema Integrität der Supply Chain immer mehr an Brisanz. Das bedeutet in erster Linie: Kenne ich alle Lieferanten/Dienstleister in meiner Lieferkette? Und zwar nicht nur die direkten sondern auch die transienten Abhängigkeiten! Ist die gesamte Lieferkette so dokumentiert, dass man im Falle einer Lücke in genutzten Bibliotheken direkt sagen kann, ob die eigene Software betroffen ist? Sei es, weil man die Bibliothek direkt selber einsetzt oder eine der transienten Abhängigkeiten.
„Integrität der Supply Chain“ rückt insbesondere bei Sicherheitsvorfällen schnell in den Mittelpunkt. Bei solchen Ereignissen ist man bemüht, den Schaden schnellstmöglich einzugrenzen. Je nach Umgebung gibt es dafür auch verschiedene technische Lösungen: (Virtuelle) Patches, Updates von Software-Abhängigkeiten, SLAs mit Dienstleistern und vieles mehr. Leider lässt das Interesse daran, schnell nach, sobald das gröbste überstanden ist -- wie so oft wenn der akute Schmerz weg ist.
Prozesse statt nur Pflaster
Dabei sollte jedem klar sein, dass die Integrität der Lieferkette nichts ist, was Unternehmen im Falle des Falles nur schnell mit einem technischen „Pflaster“ angehen sollten. Vielmehr geht es hier um die Etablierung von entsprechenden Prozessen (und auch technischen Vorgehensweisen), die dabei helfen, die Integrität der eigenen Supply Chain effizient zu verwalten. Dies führt zumeist zu einer kleineren Angriffsoberfläche und mindestens zu einer besseren Datenbasis, die bei einem Sicherheitsvorfall die manuelle Nachforschung reduziert.
Leider ist die Einführung von Prozessen zur Pflege der Integrität der eigenen Softwarelieferkette oft langwierig, denn es geht hier nicht nur um technische Schutzaspekte, sondern es gibt auch eine menschliche und administrative Komponente. Außerdem ist im Vergleich zur technischen IT-Sicherheit das Wissen und Fachpersonal nur spärlich vorhanden.
NIST liefert Hilfe
In diese Lücke stößt die Neufassung der NIST Special Publication SP800-161r1 „Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations“. Diese enthält eine umfassende Einführung in die Hintergründe, Mitwirkende und Implementierung von sicheren Software-Lieferketten. Die darin dokumentierten Vorgehensweisen und Beispielszenarien geben einen exzellenten Einblick in die Implementierung aber auch in die Vorteile von sicheren Software-Lieferketten.
Fazit
Damit ist die NIST-Publikation eine sehr wertvolle Ressource für jeden, der die Integrität seiner Lieferkette verbessern möchte. Und daran sollte jedem gelegen sein! Zeigt die Erfahrung doch, dass Angreifer sich auf Angriffsmodelle konzentrieren, die funktionieren. Und dieser Nachweis ist bei Angriffen über die Lieferkette definitiv gegeben! Daher sollten sich Sicherheitsverantwortliche jetzt mit der Absicherung und Dokumentation der Lieferkette beschäftigen – denn beim nächsten Angriff ist es dafür zu spät bzw. ist man so mit der Abwehr beschäftigt, dass Prozesse eh‘ keine Rolle spielen. Und damit beginnt das Dilemma wieder von vorn ...