Sicherheit der Software-Lieferketten Cyberrisiken für Software Supply Chains

Anbieter zum Thema

FTAPI Software GmbH

Cyberattacken auf Lieferketten, vor allem Software-Anbieter von weitverbreiteten Office-Anwendungen sind zum beliebten Ziel von Cyberkriminellen geworden. Die Risiken werden bislang unterschätzt, dass muss sich schnell ändern.

Angesichts der Häufung von Sicherheitsvorfällen in der Software Supply Chain, wie zum Beispiel SolarWinds und Kaseya, beschäftigen sich immer mehr Unternehmen mit den Cyberrisiken dieser Lieferketten. Cyberkriminelle konnten sich durch Cyberangriffe laut den Recherchen der NY Times auf Drittanbieter Zugriff auf Daten von Banken, Rüstungsunternehmen, Versorgungsunternehmen, Gesundheitseinrichtungen und Behörden verschaffen. Schätzungen von Roll Call zufolge sind dem IT-Unternehmen SolarWinds dadurch Kosten in Höhe von mehr als 100 Mrd. US-Dollar entstanden. Nicht zuletzt durch diese Vorkommnisse haben mehr Unternehmen Cyberrisiken in ihre Risikomanagement-Programme aufgenommen.

Dem Thema wird nach der Umfrage von BlueVoyant allerdings nicht überall eine hohe Priorität eingeräumt. Und selbst wenn, dann fehlt oft ein koordiniertes und formalisiertes Vorgehen in Bezug auf Cyberabwehr und Wiederherstellung von kompromittierten Daten. Unternehmen verpassen es außerdem in ihren Risikomanagement-Programmen klare Verantwortlichkeiten für die Analyse und Bewertung von Cyberrisiken bei Drittanbietern zu erteilen. Dieses Defizit ist nach der Studie 2021 Global Insights Report vom Marktforschungsunternehmen Opinion Matters im Auftrag von BlueVoyant auch in der DACH-Region vorhanden.

Diversifizierung der Lieferketten erhöht Komplexität der IT-Sicherheit

Angesichts der Vernetztheit der deutschen Wirtschaft ist dieser Befund erstaunlich, sind doch gerade hierzulande Unternehmen von den globalen Lieferketten abhängig und vor allem im Bereich der Digitalisierung müssen sie sich auf viele unterschiedliche IT-Anbieter verlassen. Die Pandemie und die Lieferkettenstörungen haben zu Verzögerungen und Belastungen in der Realwirtschaft geführt, die durch Cyberrisiken noch verstärkt werden. Ein Lösungsansatz für diese Probleme stellt die Diversifizierung der Lieferketten dar, was allerdings zu noch mehr Komplexität, gerade in der IT, beiträgt und zentraler Steuerung mit klaren Verantwortlichkeiten bedarf.

Cyberkriminellen spielt genau diese Komplexität in die Hände. Sie nutzen Open Source-Intelligenz und spezielle Suchmaschinen, um Schwachstellen in Drittsoftware zu finden. Gelangt eine solche Zero Day-Schwachstelle in die Hände der Falschen, kann das fatale Folgen für Unternehmen haben, die den Einsatz der Software ungehindert zulassen und sich auf den Anbieter verlassen. Das Ziel der Angreifer ist die Datenexfiltration und die Verschlüsselung von sensiblen Informationen via Ransomware. Der monetäre Aspekt bei Cybererpressern ist nach wie vor der wichtigste Treiber aller ihrer Aktivitäten. Unternehmen müssen sich darauf vorbereiten und ihre Abhängigkeiten umfassend und kritisch überprüfen.

Fast alle Unternehmen bereits von Supply Chain-Angriffen betroffen

Die Ergebnisse der Studie unterstreichen die getroffenen Aussagen. 99 Prozent der befragten Sicherheitsexperten gaben an, dass ihr Unternehmen in den letzten 12 Monaten Opfer einer Sicherheitsverletzung über einen Drittanbieter wurde. Im Durchschnitt sind sie sogar 3,5-mal betroffen gewesen. 54 Prozent der Unternehmen meldeten zwischen zwei und fünf Cyberangriffe. Bei 21 Prozent waren es sogar zwischen sechs und zehn Angriffen.

Nach Angaben der Umfrageteilnehmer überprüfen zwar 8 von 10 Unternehmen ihre Lieferanten, aber nur vierteljährlich und damit viel zu selten. Monatlich gehen immerhin 14 Prozent, aber wöchentlich nur fünf Prozent der Befragten dieser Tätigkeit nach. Notwendige Kontrollen in nahezu Echtzeit werden nur in einem Prozent der Fälle durchgeführt. Erst der Weckruf durch die weltweite Berichterstattung, über den Vorfall bei Solarwinds, hat zu einem Umdenken bei einigen Vorständen und zu einer Untersuchung der eigenen Abhängigkeiten geführt.

Abhilfe durch Automatisierung

Die Verwaltung von Cyberrisiken bei Drittanbietern erfordert ein systematisches, lückenloses Vorgehen, aber auch zuverlässige, fehlerfreie und aktuelle Daten, Technologie und Analysen. Nur mit diesen Voraussetzungen lässt sich eine rasche Identifizierung und Wiederherstellung von Daten realisieren. Bislang versuchen Unternehmen vor allem mit Penetrationstests und Netzwerkscans der Cyberrisiken habhaft zu werden. Die Anzahl der hierfür genutzten Tools weist auf eine wenig ausgereifte Vorgehensweise hin. Punktuellen Lösungen fehlen die Echtzeit-Daten, die für ein erfolgreiches Risikomanagement-Programm für Drittanbieter erforderlich sind. Selbst wenn Unternehmen regelmäßig Berichte erstellen, sind die so gesammelten und analysierten Daten nicht ausreichend, um fundierte Entscheidungen und Einschätzungen für das Cyberrisikomanagement treffen zu können.

Fazit

IT-Abteilungen sollten in automatisierte Lösungen für das Software Supply Chain Monitoring investieren, um den Vorständen und der Geschäftsleitung eine kontinuierliche Zustandsüberwachung der Lieferketten zur Verfügung stellen zu können. Voraussetzung ist eine klare Übersicht über die Anzahl und Art der eingesetzten Software und entsprechende Details zu Lizenzen, Laufzeiten, Support etc. Darüber hinaus bedarf es klarer Zuständigkeiten und Verantwortlichkeiten, sowie dem Zugang zum Netzwerk bzw. der IT-Infrastruktur des Unternehmens, im Hinblick auf das Assessment der Drittanbieter. Regelmäßige Auditierungen unterstützen bei der Bewältigung dieser Aufgabe und sorgen für Transparenz. Schulungen der Mitarbeiter von Drittanbietern sind ebenfalls ein Schritt auf dem Weg zu mehr Bewusstsein über Cyberrisiken bei Software Supply Chains.

Über den Autor: Markus Auer ist Sales Director Central Europe bei BlueVoyant und beschäftigt sich seit einigen Jahren intensiv mit der Threat Intelligence-Thematik.

(ID:48564159)