:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Kommentar zur Cybersicherheit für Wertschöpfungsketten „SBOMs jetzt in die Entwicklungspraxis integrieren“
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Setzt eine Cyber-Attacke an der „richtigen“ Stelle an, kann sie eine ganze Kettenreaktion entlang der Software Supply Chain auslösen. Das Implementieren einer SBOM, sprich Software Bill of Materials oder Software-Stückliste, sollte bei Unternehmen ganz oben auf der Prioritätenliste stehen.
Welches Potenzial Cyberattacken für Kettenreaktionen entlang ganzer Lieferketten haben wurde durch Ereignisse wie den SolarWinds-Hack deutlich. Auch in Deutschland waren Einrichtungen der öffentlichen Verwaltung vom Angriff auf den US-Hersteller betroffen, darunter Ministerien, Behörden und das THW.
Die US-Regierung reagierte mit einer strengeren Gesetzgebung, um die Sicherheit der Software-Supply-Chain im öffentlichen Sektor zu verbessern. Damit einher gehen Auflagen für Zulieferer, deren Lösungen dort eingesetzt werden. So wird ihnen auferlegt, eine so genannte Software Bill of Materials (SBOM) zur Verfügung zu stellen und damit offenzulegen, welche Komponenten in ihren Anwendungen stecken. IT-Sicherheitsexperten sollten darauf vorbereitet sein.
Warum SBOM?
Eine SBOM ist ein Inventar, eine Stückliste von Bestandteilen und Bibliotheken, die eine Software verwendet. Unternehmen müssen also sicherstellen, dass ihnen diese Informationen lückenlos vorliegen. Das klingt zunächst nach einer Selbstverständlichkeit, die es aber nicht ist, Beispiel Log4j.
Das Framework zum Loggen von Anwendungsmeldungen in Java ist ein Standard, der in vielen Open-Source- und kommerziellen Software-Lösungen steckt. Eine kritische Schwachstelle in Log4j führte Ende 2021 zu einem erheblichen Bedrohungspotenzial. Die Situation wurde dadurch verschärft, das viele Unternehmen nicht einmal wussten, ob und wo sie Log4j einsetzten.
Solche Bedrohungsszenarien sollen dank SBOMs der Vergangenheit angehören. Mit der Norm ISO 5962 wurde ein SBOM-Format international standardisiert. SBOMs werden in den kommenden Jahren zu einem unverzichtbaren Tool für die Sicherheit und Compliance von Wertschöpfungsketten werden.
Status quo: Die Definitionsphase läuft noch
Die Phase der Definition von Spezifikationen und Standards läuft noch. SBOMs benötigen eine sichere Backend-Schicht für die Speicherung und Integration. Entwickler wiederum benötigen ein Frontend, das Sicherheit in ihren Arbeitsablauf integriert, ohne die Produktivität zu beeinträchtigen. Noch gibt es keine marktreifen Implementierungen, doch das dürfte sich noch im laufenden Jahr 2022 ändern.
In einigen Branchen fordern Kunden schon heute SBOMs von ihren SaaS-Lieferanten. In Deutschland führt das novellierte IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) zu neuen Auflagen für Betreiber Kritischer Infrastrukturen (KRITIS), Bundesbehörden und Unternehmen im besonderen öffentlichen Interesse sowie deren Zulieferer. Diese Einrichtungen werden die ersten großen Nutzer von SBOMs sein und diese verstärkt nachfragen.
Kontrolle über Komponenten
Die Log4j-Schwachstelle belegte eindrucksvoll, welches Risiko von fehlenden Kontrollmechanismen hinsichtlich der „Zutaten“ von IT-Produkten ausgeht. Und dieses Ereignis war nur eines von zahlreichen sicherheitsrelevanten Vorkommnissen: Ripple20 – eine Serie von teils kritischen Sicherheitslücken in einer TCP/IP-Implementierung – gefährdete im Internet der Dinge vernetzte Geräte in Haushalt, Industrie und sogar Krankenhäusern und anderen Einrichtungen des Gesundheitswesens.
Diese Fälle machten deutlich, dass Hersteller teils nicht oder nur mit hohem Aufwand ermitteln können, welche Bibliotheken und andere „Third Party“-Komponenten in ihren Produkten stecken. SBOMs stellen dagegen eine kontinuierliche Überwachung aller eingesetzten Software-Komponenten sicher.
Mehr Kooperation und bessere Vernetzung
SBOMs besitzen das Potenzial, die Abstimmung zwischen Sicherheitsfachleuten zu erleichtern und zu beschleunigen, indem sie einen besseren und vollständigeren Informationsaustausch über Sicherheitslücken gewährleisten. Log4j, Ripple 20 und SolarWinds warfen ein deutliches Schlaglicht auf die Gefahren, die von unsicheren Software-Komponenten ausgeht.
Seitens öffentlicher Einrichtungen und Unternehmen, die IT-Lösungen für den öffentlichen Sektor liefern, ist das Interesse an sicheren Lieferketten hoch, um Ausfallrisiken mit potenziell schwerwiegenden Folgen (etwa im Bereich der kritischen Infrastrukturen) zu minimieren. SBOMs erleichtern den Austausch über relevante Informationen zu identifizierten Schwachstellen.
Automatisierung ist ein unerlässlicher Bestandteil für die Erstellung von SBOMs
Das BSI gibt in seinem Report zur Lage der IT-Sicherheit in Deutschland 2021 an, dass der Prozess der Überprüfung, ob eine bekannte Schwachstelle ein Produkt betrifft, in Kombination mit dem Common Security Advisory Framework (CSAF) innerhalb der Wertschöpfungsnetzwerke automatisiert werden kann.
SBOMs sind vor allem dann effizient, wenn sie in Verbindung mit Automatisierungslösungen bei der Erfassung und Erstellung eingesetzt werden. Dabei helfen so genannte SCA-Tools (Software Composition Analysis): Sie analysieren und verwalten Open-Source-Elemente von Anwendungen. Entwickler setzen sie ein, um die Lizenzierung zu überprüfen und Schwachstellen zu bewerten, die mit einzelnen Open-Source-Komponenten verbunden sind.
Kein einheitliches SBOM-Rahmenwerk
Ein klar definierter, einheitlicher und gestraffter SBOM-Prozess trägt zu einer reibungslosen Implementierung und zur Akzeptanz bei. Allerdings haben in den USA das staatliche National Institute of Standards and Technology (NIST) und die private OWASP (Open Web Application Security Project) Foundation bereits unterschiedliche Rahmenwerke definiert. Weitere dürften hinzukommen.
Unternehmen müssen deshalb agil genug sein, um unterschiedliche Rahmenwerke nutzen zu können. Sicherheitsverantwortliche erhalten dadurch eine Wahlmöglichkeit und können die beste Lösung für die Bedürfnisse ihres Unternehmens nutzen.
Fazit
SBOMs werden zu einem unverzichtbaren Baustein für die Softwaresicherheit und das kollaborative Risikomanagement in der Software-Wertschöpfungskette werden. Ihre Implementierung betrifft längst nicht nur Hersteller mit Geschäftsbeziehungen zum öffentlichen Sektor in den USA.
Angesichts der weiter gestiegenen Bedrohungslage ist die Sicherheit der Softwarelieferkette inzwischen für nahezu alle Unternehmen ein Thema; und der Kreis der rechtlich zur Bereitstellung der in SBOMs standardisierten Informationen verpflichteten Betriebe wurde mit dem IT-SiG 2.0 deutlich erweitert. Unternehmen sollten SBOMs – die es bereits seit 2018 gibt – spätestens jetzt in ihre Entwicklungspraxis integrieren.
* Lena Smart ist seit März 2019 bei MongoDB und verfügt über mehr als 20 Jahre Erfahrung im Bereich Cybersicherheit. Lena ist Gründungsmitglied von Cybersecurity at MIT Sloan (früher: Interdisciplinary Consortium for Improving Critical Infrastructure Cybersecurity), einem Konsortium, das es führenden Vertretern der Wissenschaft und des privaten Sektors ermöglicht, gemeinsam an den größten Sicherheitsproblemen zu arbeiten. Lena ist Mitglied von IT-ISAC, hält häufig Vorträge bei Branchenveranstaltungen und wurde bereits in Fortune, Dark Reading und CSO Online vorgestellt.
(ID:48564314)
:quality(80)/p7i.vogel.de/wcms/c1/8f/c18fa82b8869c380bbbb509ed0f7b912/0113613521.jpeg "Mit einer SBOM kann die Branche dafür sorgen, dass Hacker keine bösartigen Artefakte in der Software-Supply-Chain platzieren. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/40/ca/40ca466213d10355f94e9a08faee1c86/0108734389.jpeg "Angriffe auf die Software Supply Chain machen deutlich: Unternehmen können sich nicht mehr blind darauf verlassen, dass Code-Komponenten die sie nutzen auch sicher sind. (Bild: Eisenhans - stock.adobe.com)")