Thought Leadership
Digitale Lieferketten haben zunehmend mit Cybersicherheitsrisiken zu kämpfen. Zahlreiche Angriffe innerhalb der letzten Jahre und vor allem in jüngster Zeit richteten sich gegen Drittparteien und Lieferanten.
Die zunehmende Vernetzung, Cloud-Infrastrukturen und DevOps-Umgebungen sorgen für mehr Agilität bei den Unternehmen, setzen diese aber gleichzeitig höheren Risiken aus. Trotzdem konzentriert sich das Lieferketten-Management immer noch stark auf traditionelle Aspekte wie Lieferzuverlässigkeit, Kosten, Qualität statt auf potenzielle Cybersicherheitsrisiken. Betrachtet man das Ganze als traditionelle Lieferkette, dann ist Software eine Kernkomponente in praktisch jedem Produkt. Das reicht vom Entwurf der Komponente über Systeme mit eingebetteter Software bis hin zu Logistiklösungen für die Verwaltung von Lagerbeständen. Software kommt in jeder Phase der Montage- und Lieferkette vor. Dadurch erhöht sich das Risiko einer externen Kompromittierung.
Dazu Fragen an Tim Mackey, Principal Security Strategist, Synopsys:
Was genau ist ein Software-Supply-Chain-Angriff?
Tim Mackey: Moderne Software besteht aus Code-Bibliotheken kommerzieller Drittanbieter, Open-Source-Komponenten und Cloud-API-Diensten. Jedes einzelne dieser Elemente stellt einen unabhängigen Stream-of-Code dar, der in das einfließt, was man gemeinhin als „Anwendung“ bezeichnet. Jeder Stream in diesem Modell kann seine eigenen Codeströme enthalten. Zusammengesetzt bilden sie die Lieferkette für einen modernen Dienst. Jede Kompromittierung innerhalb dieser Kette ist ein Supply Chain-Angriff.
Keine einzige Entwicklungstechnik ist gegen solche Angriffe immun, denn das Ziel kann ebenso gut ein Code-Repository sein wie ein menschlicher Entwickler.
Wo treten solche Angriffe typischerweise auf?
Tim Mackey: Die am einfachsten zu verstehende Form eines solchen Angriffs tritt bei der Open-Source-Entwicklung auf. Open-Source-Communities sind keine Unternehmen. Deshalb wissen nur diejenigen, die direkt mit der jeweiligen Community zu tun haben, die eine spezifische Komponente entwickelt, wo die Urheberschaft dafür liegt. Alle anderen könnten ebenso gut über eine Internetrecherche die maßgebliche Quelle identifizieren wie über ein prominentes Mitglied der Community.
Ein Angreifer kann einfach eine kompromittierte Version des Codes erstellen, die irgendwann jemand finden und vermutlich auch verwenden wird. Wenn dieser kompromittierte Code auch Teil einer offiziellen Release wird, steigt automatisch die Zahl der potenziellen Opfer. Selbst wenn die Kompromittierung entdeckt und schnell behoben wird, bedeutet das unglücklicherweise nicht, dass die Benutzer das mitbekommen, geschweige denn von einem Patch wissen.
Der 2020 OSSRA-Bericht hat ergeben, dass 70 % der Code-Bases in kommerzieller Software Open-Source-Komponenten enthalten, die zuvor einer M&A Technichal Due-Dilligence unterzogen wurden. 91 % dieser Anwendungen enthalten veraltete Komponenten. Deshalb sollten Unternehmen den Patch-Prozessen zur Behebung von Open-Source-Problemen besondere Aufmerksamkeit schenken. Typosquatting ist ein gutes Beispiel für einen typischen Angriff auf eine Lieferkette. Bei diesem Angriff erstellt ein Cyberkrimineller eine Variante einer beliebten Komponente – benennt sie aber so, dass sie einem häufig vorkommenden Schreibfehler des Komponentennamens entspricht.
Was macht Lieferketten-Angriffe so gefährlich?
Tim Mackey: Lieferketten funktionieren auf Basis von Vertrauen. Moderne Software-Entwicklung wird an der Geschwindigkeit der Feature-Releases gemessen. Wenn der Erfolg eines schnell ablaufenden Prozesses von Vertrauen abhängt, es aber keine Möglichkeit zur Verifizierung gibt, können üble Dinge passieren. Und genau diese Dinge bleiben vielleicht für eine unabsehbar lange Zeit in Gebrauch.
Ein Unternehmen muss wissen von welchem Code es bei jeder verwendeten Software abhängig ist, unabhängig davon, ob es sich um kommerzielle oder freie Open-Source-Software, Firmware, Cloud oder mobile Software handelt. Wenn ein Unternehmen die Frage danach nicht ehrlich beantworten kann, dann hat der Patch-Management-Prozess Lücken. In der Tat ein Fall von „man kann unmöglich etwas patchen, von dem man nicht weiß, dass man es hat“…
Welche Schäden kann ein Supply-Chain-Angriff anrichten?
Tim Mackey: Der Schaden wird lediglich von zwei Faktoren begrenzt: Zum einen wie die kompromittierte Komponente verwendet wird und zum anderen davon, was der Angreifer letztlich mit dem Angriff erreichen will. Erwischt es beispielsweise eine Komponente zur E-Mail-Validierung und die kompromittierte Version sendet eine Kopie aller E-Mail-Adressen an die Server des Angreifers, dann handelt es sich effektiv um Skimming. Wenn ein Angreifer dasselbe bei einer Kreditkartenroutine tut, haben wir es mit einem E-Skimming-Angriff zu tun. Szenarien dieser Art erlauben der betreffenden Komponente potenziell Zugriff auf weitere Daten in einem Webformular. Und sie erhöhen die Wahrscheinlichkeit, dass auch andere Daten, wie etwa Benutzernamen, in die Hände der Angreifer fallen. In unserer stark vernetzten Welt wirken sich kompromittierte Komponenten leider auch auf andere Cyber-Assets und deren Funktionsfähigkeit aus.
Wie kann man Supply-Chain-Angriffe verhindern oder sich zumindest besser vor ihnen schützen?
Tim Mackey: Wenn man das Risiko für Lieferkettenangriffe senken will, sollte man damit beginnen, die Software-Lieferkette innerhalb des Unternehmens vollständig zu verstehen. Woher kommt die jeweilige Software? Welche Rolle spielt sie? Aus welchen Gründen wurde sie ausgewählt? Wie wird sie gepatcht? Alles wichtige Fragen, die man beantworten sollte. Da es sich bei binärer Software wie kommerziellen und mobilen Anwendungen oder der Firmware von IoT-Geräten ebenfalls um Software handelt, sollte man auch sie analysieren. Dadurch lassen sich alle Probleme einer eingebetteten Lieferkette ausreichend verstehen. Ziel ist es vor allem, zu verstehen, ob das in die Komponente gesetzte Vertrauen gerechtfertigt ist. Gleichzeitig verhindert man so, dass eine veraltete Software zu einer kritischen Komponente des Geschäftsbetriebs wird. Prävention und Schutz beginnen mit der Inventarisierung aller Komponenten in einer Software-Stückliste, der sogenannten SBoM. Mit ihrer Hilfe kann eine Firma schneller auf die sich verändernde Bedrohungsumgebung reagieren. Wird eine neue Bedrohung bekannt, die eine bestimmte Software-Schwachstelle ausnutzt, muss man wissen, an welcher das Unternehmen betroffen sein könnte.
https://www.synopsys.com/
