Softwarelieferketten als Sicherheitsrisiko

Ein anschauliches Beispiel für das Dilemma durch unsichere Software lieferte der Log4J-Angriff. Ende des Jahres 2022 wurde eine Sicherheitslücke in Log4J bekannt. Folgen waren eine Welle von Cyberangriffen und die weitreichende Verunsicherung der Investoren. Die Krux daran: Für Unternehmen und Entwickler ist es kaum möglich, auf derlei Open-Source-Bausteine zu verzichten. Denn zum einen sind sie tief in bestehenden Anwendungen verankert, zum anderen sind sie kaum zu ersetzen, da sie in viele oftmals unzugängliche Landschaften wie zum Beispiel IoT-Systeme integriert wurden.

Nach einem Angriff auf die Softwarelieferkette berichteten 1.500 Befragte einer BlackBerry Studie von erheblichen Betriebsunterbrechungen (59 Prozent), Datenverlusten (58 Prozent) und negativen Folgen für die Reputation (52 Prozent), wobei neun von zehn Unternehmen (90 Prozent) bis zu einem Monat für die Wiederherstellung benötigten. Die Folgen eines Angriffs sind also nicht zu unterschätzen.

"Unternehmen kämpfen mit einer unübersichtlichen und schwierig zu managenden Softwarelieferkette, die sie anfällig für Angriffe macht", erklärt Ulf Baltin, Managing Director, DACH bei BlackBerry. "Um sich resilienter aufzustellen, sollten Verantwortliche auch hier auf einen Secure by Design-Ansatz setzen. Dadurch sichern Unternehmen langfristig ihre Profitabilität." Der Experte erklärt, wie sich gezielt verhindern lässt, dass sich Softwarekomponenten aus externen Quellen zum Risikofaktor für Unternehmen jeglicher Grösse entwickeln.

Einen möglichen Lösungsansatz bieten den Unternehmen sogenannte Software Bills of Material (SBOM), die sie dabei unterstützen, ihre Softwarelieferketten zu verstärken und zu sichern. Der Hintergrund: Nur wenn sich Unternehmen intensiv mit ihren Lieferanten auseinandersetzen, können sie die gesamte Bandbreite ihrer Softwarelieferkette erfassen und die damit verbundenen Risiken erkennen. Empfehlenswert sind daher strenge Ausschreibungsverfahren für mehr SBOM-Transparenz, um die Konformität der Lieferanten sicherzustellen.

Eine SBOM funktioniert analog zur Stückliste bei physischen Produkten als formale, strukturierte Dokumentation, die die Komponenten eines Softwareprodukts und ihre Beziehungen innerhalb der Softwarelieferkette beschreibt. Insofern gibt sie Auskunft über die Pakete und Bibliotheken innerhalb einer Anwendung sowie über deren Beziehung untereinander und zu anderen Projekten – ein entscheidender Faktor im Fall von wiederverwendetem Code und von Open Source-Komponenten.

Zeitaufwand realistisch einschätzen
Viele Entwickler, die sich blind auf den Code von Drittanbietern verlassen, schaffen komplexe Gebilde in Softwareform, die jedoch nur so sicher sind wie ihre schwächste Komponente. Gravierende Schwachstellen können die Folge sein. Daher verpflichtet die Regierung Joe Bidens in den USA Unternehmen bereits, ein SBOM zu verwenden. Allerdings ist das mit erheblichem Zeitbedarf für die Analysten verbunden, die mit dem Erstellen von SBOM beauftragt sind. Derweil konnten einige KI-gestützte Lösungen wie BlackBerry Jarvis vergleichbare Ergebnisse innerhalb weniger Minuten produzieren.

Ungeachtet der konkret eingesetzten Sicherheitslösung tun CSOs und andere Verantwortliche gut daran, innerhalb ihrer Unternehmen das Thema Cybersicherheit bekannt und zur täglichen Routine zu machen. Denn Softwareelemente in der Lieferkette können regelrecht "unter dem Radar fliegen". Nur durch Bewusstseinsbildung und den Aufbau gesicherter Prozesse können die Sicherheitsanforderungen erfüllt werden. Ein Bereich, der oft vernachlässigt wird, ist die Sicherheit der Produktion. Dort nimmt die Zahl der Angriffe auf die OT-Infrastruktur in den vergangenen Jahren rasant zu. Entscheider sollten daher bei der Auswahl einer Cybersicherheitslösung darauf achten, dass diese den gesamten Produktlebenszyklus end-to-end abdeckt – im IoT-Kontext sowohl offline als auch online.