Anzeige

Lieferkette

Digitale Lieferketten haben zunehmend mit Cybersicherheitsrisiken zu kämpfen. Zahlreiche Angriffe innerhalb der letzten Jahre und vor allem in jüngster Zeit richteten sich gegen Drittparteien und Lieferanten.

Die zunehmende Vernetzung, Cloud-Infrastrukturen und DevOps-Umgebungen sorgen für mehr Agilität bei den Unternehmen, setzen diese aber gleichzeitig höheren Risiken aus. Trotzdem konzentriert sich das Lieferketten-Management immer noch stark auf traditionelle Aspekte wie Lieferzuverlässigkeit, Kosten, Qualität statt auf potenzielle Cybersicherheitsrisiken. Betrachtet man das Ganze als traditionelle Lieferkette, dann ist Software eine Kernkomponente in praktisch jedem Produkt. Das reicht vom Entwurf der Komponente über Systeme mit eingebetteter Software bis hin zu Logistiklösungen für die Verwaltung von Lagerbeständen. Software kommt in jeder Phase der Montage- und Lieferkette vor. Dadurch erhöht sich das Risiko einer externen Kompromittierung.

Dazu Fragen an Tim Mackey, Principal Security Strategist, Synopsys:

Was genau ist ein Software-Supply-Chain-Angriff?

Tim Mackey: Moderne Software besteht aus Code-Bibliotheken kommerzieller Drittanbieter, Open-Source-Komponenten und Cloud-API-Diensten. Jedes einzelne dieser Elemente stellt einen unabhängigen Stream-of-Code dar, der in das einfließt, was man gemeinhin als „Anwendung“ bezeichnet. Jeder Stream in diesem Modell kann seine eigenen Codeströme enthalten. Zusammengesetzt bilden sie die Lieferkette für einen modernen Dienst. Jede Kompromittierung innerhalb dieser Kette ist ein Supply Chain-Angriff

Keine einzige Entwicklungstechnik ist gegen solche Angriffe immun, denn das Ziel kann ebenso gut ein Code-Repository sein wie ein menschlicher Entwickler. 

Wo treten solche Angriffe typischerweise auf?

Tim Mackey: Die am einfachsten zu verstehende Form eines solchen Angriffs tritt bei der Open-Source-Entwicklung auf. Open-Source-Communities sind keine Unternehmen. Deshalb wissen nur diejenigen, die direkt mit der jeweiligen Community zu tun haben, die eine spezifische Komponente entwickelt, wo die Urheberschaft dafür liegt. Alle anderen könnten ebenso gut über eine Internetrecherche die maßgebliche Quelle identifizieren wie über ein prominentes Mitglied der Community. 

Ein Angreifer kann einfach eine kompromittierte Version des Codes erstellen, die irgendwann jemand finden und vermutlich auch verwenden wird. Wenn dieser kompromittierte Code auch Teil einer offiziellen Release wird, steigt automatisch die Zahl der potenziellen Opfer. Selbst wenn die Kompromittierung entdeckt und schnell behoben wird, bedeutet das unglücklicherweise nicht, dass die Benutzer das mitbekommen, geschweige denn von einem Patch wissen.

Der 2020 OSSRA-Bericht hat ergeben, dass 70 % der Code-Bases in kommerzieller Software Open-Source-Komponenten enthalten, die zuvor einer M&A Technichal Due-Dilligence unterzogen wurden. 91 % dieser Anwendungen enthalten veraltete Komponenten. Deshalb sollten Unternehmen den Patch-Prozessen zur Behebung von Open-Source-Problemen besondere Aufmerksamkeit schenken. Typosquatting ist ein gutes Beispiel für einen typischen Angriff auf eine Lieferkette. Bei diesem Angriff erstellt ein Cyberkrimineller eine Variante einer beliebten Komponente – benennt sie aber so, dass sie einem häufig vorkommenden Schreibfehler des Komponentennamens entspricht.

Was macht Lieferketten-Angriffe so gefährlich?

Tim Mackey: Lieferketten funktionieren auf Basis von Vertrauen. Moderne Software-Entwicklung wird an der Geschwindigkeit der Feature-Releases gemessen. Wenn der Erfolg eines schnell ablaufenden Prozesses von Vertrauen abhängt, es aber keine Möglichkeit zur Verifizierung gibt, können üble Dinge passieren. Und genau diese Dinge bleiben vielleicht für eine unabsehbar lange Zeit in Gebrauch. 

Ein Unternehmen muss wissen von welchem Code es bei jeder verwendeten Software abhängig ist, unabhängig davon, ob es sich um kommerzielle oder freie Open-Source-Software, Firmware, Cloud oder mobile Software handelt. Wenn ein Unternehmen die Frage danach nicht ehrlich beantworten kann, dann hat der Patch-Management-Prozess Lücken. In der Tat ein Fall von „man kann unmöglich etwas patchen, von dem man nicht weiß, dass man es hat“...

Welche Schäden kann ein Supply-Chain-Angriff anrichten?

Tim Mackey: Der Schaden wird lediglich von zwei Faktoren begrenzt: Zum einen wie die kompromittierte Komponente verwendet wird und zum anderen davon, was der Angreifer letztlich mit dem Angriff erreichen will. Erwischt es beispielsweise eine Komponente zur E-Mail-Validierung und die kompromittierte Version sendet eine Kopie aller E-Mail-Adressen an die Server des Angreifers, dann handelt es sich effektiv um Skimming.  Wenn ein Angreifer dasselbe bei einer Kreditkartenroutine tut, haben wir es mit einem E-Skimming-Angriff zu tun. Szenarien dieser Art erlauben der betreffenden Komponente potenziell Zugriff auf weitere Daten in einem Webformular. Und sie erhöhen die Wahrscheinlichkeit, dass auch andere Daten, wie etwa Benutzernamen, in die Hände der Angreifer fallen. In unserer stark vernetzten Welt wirken sich kompromittierte Komponenten leider auch auf andere Cyber-Assets und deren Funktionsfähigkeit aus.  

Wie kann man Supply-Chain-Angriffe verhindern oder sich zumindest besser vor ihnen schützen?

Tim Mackey: Wenn man das Risiko für Lieferkettenangriffe senken will, sollte man damit beginnen, die Software-Lieferkette innerhalb des Unternehmens vollständig zu verstehen. Woher kommt die jeweilige Software? Welche Rolle spielt sie? Aus welchen Gründen wurde sie ausgewählt? Wie wird sie gepatcht? Alles wichtige Fragen, die man beantworten sollte. Da es sich bei binärer Software wie kommerziellen und mobilen Anwendungen oder der Firmware von IoT-Geräten ebenfalls um Software handelt, sollte man auch sie analysieren. Dadurch lassen sich alle Probleme einer eingebetteten Lieferkette ausreichend verstehen. Ziel ist es vor allem, zu verstehen, ob das in die Komponente gesetzte Vertrauen gerechtfertigt ist. Gleichzeitig verhindert man so, dass eine veraltete Software zu einer kritischen Komponente des Geschäftsbetriebs wird. Prävention und Schutz beginnen mit der Inventarisierung aller Komponenten in einer Software-Stückliste, der sogenannten SBoM. Mit ihrer Hilfe kann eine Firma schneller auf die sich verändernde Bedrohungsumgebung reagieren. Wird eine neue Bedrohung bekannt, die eine bestimmte Software-Schwachstelle ausnutzt, muss man wissen, an welcher das Unternehmen betroffen sein könnte. 

https://www.synopsys.com/


Artikel zu diesem Thema

DevOps
Jan 15, 2021

Bei der Implementierung von DevOps gilt: Der Weg ist das Ziel

Die Erwartungen an Softwareentwickler sind in den letzten Jahren rasant gestiegen: Immer…
COVID-19-Impfstoff
Jan 13, 2021

Cyberangriffe auf die Supply Chain für COVID-19-Impfstoffe

Warum sind Cyberkriminelle daran interessiert, die COVID-19-Impfstoff-Lieferkette zu…
Supply Chain
Feb 28, 2020

Cybersicherheit und Cloud-Computing: Supply Chains im Fokus

Digitale Lieferketten haben zunehmend mit Cybersicherheitsrisiken zu kämpfen. Zahlreiche…

Weitere Artikel

Black Friday

DDoS-Angriffe am Black-Friday-Wochenende brechen Rekorde

Das vergangene Cyber Weekend lockte nicht nur Schnäppchenjäger ins Internet. Neueste Auswertungen des IT-Sicherheitsanbieters Link11 zeigen, dass auch Cyberkriminelle versuchten, die Gunst der Stunde zu nutzen.
Cybercrime

Cyberkriminelle nutzen neue Angriffstechnik in Sachen Phishing

Die Cybersecurity-Experten von Proofpoint waren kürzlich in der Lage, eine neue, von Cyberkriminellen genutzte Angriffstechnik in puncto Phishing zu enttarnen. Bei der sogenannten „RTF Template Injection“ werden mittels einer RTF-Datei gefährliche Inhalte von…
Supply Chain

Das schwächste Glied: Angeschlagene Lieferketten im Fokus von Hackern

Seit Monaten versuchen Logistikunternehmen und Händler auf der ganzen Welt den Auswirkungen der Pandemie Herr zu werden. Bei steigender Nachfrage – gerade auch durch das anstehende Weihnachtsgeschäft – haben sie mit drastischen Engpässen und Verspätungen zu…
Monero Miner

Böses Omen: Tor2Mine Kryptominer mit neuen Varianten

Sophos hat neue Erkenntnisse über den Tor2Mine Kryptominer veröffentlicht. "Das Vorhandensein von Minern wie Tor2Mine in einem Netzwerk ist fast immer ein Vorbote für andere, potenziell gefährlichere Eindringlinge. Tor2Mine ist jedoch viel aggressiver als…
Router

Hacker willkommen: Lücken in sämtlichen gängigen WLAN-Routern

Neun WLAN-Router bekannter Hersteller fanden sich kürzlich unter Laborbedingungen im Sicherheitstest wieder – mit verheerenden Ergebnissen im Bereich IT Security.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.