Regelmäßig bewerten Sie die Sicherheitslage Ihrer Softwareanbieter? Es ist eine Frage, auf die die meisten Menschen nicht gewohnt sind zu antworten. Für IT-Führungskräfte ist es jedoch eine zunehmend vertraute Sorge – insbesondere in kritischen öffentlichen Sektoren wie Gesundheitswesen, Bildung und Regierung.
Während die meisten IT-Führungskräfte im öffentlichen Sektor zuversichtlich sind, was ihre Software-Sicherheitslage betrifft, hat unsere Forschung ergeben, dass 51% von ihnen im letzten Jahr versteckte Teilnehmer in ihren Software-Lieferketten entdeckt haben. Noch besorgniserregender ist, dass über die Hälfte der Entscheidungsträger in Gesundheitswesen, Bildung und Regierungsorganisationen in den letzten zwölf Monaten Benachrichtigungen über Angriffe oder Schwachstellen erhalten haben. Von den Betroffenen dauerte es bei 42% der Organisationen über eine Woche – oder länger -, um sich zu erholen.
Öffentliche Branchen, die lebenswichtige Dienstleistungen erbringen, sind besonders anfällig. Tatsächlich zeigt die BlackBerry Bedrohungsintelligenz, dass fast zwei Drittel (62%) der sektorspezifischen Angriffe auf diese kritischen Branchen abzielen, aufgrund ihrer Abhängigkeit von veralteten Systemen, begrenzten Cybersicherheitsressourcen und dem hohen Wert der sensiblen Daten, die sie halten. Aber während diese Branchen zunehmend digitale Lösungen zur Verbesserung ihrer Abläufe übernehmen, werden sie auch zu Hauptzielen für Cyberkriminelle, die Schwachstellen ausnutzen und wesentliche Dienste stören möchten.
Im Herzen dieser Angriffe liegt eine gezielte Ausnutzung des Vertrauens. Angreifer manipulieren die Komponenten der Softwareentwicklung und -verteilung, infiltrieren Systeme, indem sie Drittanbieter-Tools oder Abhängigkeiten ausnutzen und sogar absichtlich Schwachstellen einbetten, die oft unentdeckt bleiben, bis sie ausgenutzt werden.
Im August 2024 hat die britische Regierung ihren Verhaltenskodex für Softwareanbieter veröffentlicht, einen freiwilligen Leitfaden, um Organisationen bei der Entwicklung und Nutzung von Technologien zur Bekämpfung von Cyberangriffen wie dem von Transport for London (TfL) erlebten zu helfen.
Dies sind Schritte in die richtige Richtung, aber öffentliche Organisationen können auch innovative Ansätze und Technologien nutzen, um der zunehmenden Bedrohung entgegenzuwirken. Wie können sie dies tun, wenn sie dazu aufgefordert werden, bewährte Verfahren umzusetzen, aber mit den gleichen oder sogar weniger Ressourcen?
Paul Webber
Soziale Links Navigation
Senior Director of Product Management bei BlackBerry.
Lieferketten-Sicherheitsblinde Flecken
„Software ist ein grundlegendes Baumaterial für digitale Technologien“, beginnt das Regierungsdokument. Das Dokument betont die grundlegende Rolle von sicherer Software für die Förderung von Produktivität und Wachstum.
Die Realität ist, dass die vernetzte Natur heutiger Lieferketten bedeutet, dass Sicherheitsrisiken jetzt über primäre Lieferanten hinaus bis zu Drittanbietern, vierten und sogar achten Partnern reichen, die von hoch organisierten Unternehmen mit robusten Kontrollen bis hin zu Einzelpersonen reichen, die die unzähligen Lieferanten und Partner in der Lieferkette versorgen und betreuen. Wenn es an Einhaltung und Datenschutz an irgendeinem Punkt entlang dieser Kette mangelt, kann dies weitreichende Konsequenzen haben und Unternehmen Angriffen und Betriebsstörungen aussetzen.
Das falsch zu machen kann extrem teuer sein. Unsere Forschung hat ergeben, dass IT-Führungskräfte nach einem Angriff oder einer Schwachstelle in ihrer Software-Lieferkette im Jahr 2024 finanzielle Verluste (71%), Datenverluste (67%), Rufschäden (67%), operative Auswirkungen (50%) und Diebstahl geistigen Eigentums (38%) als größte Herausforderungen gemeldet haben.
Ein Grund für den Anstieg der Angriffe auf die Lieferkette von Software ist das hohe Maß an Vertrauen, das IT-Führungskräfte in ihre Lieferanten setzen. Weniger als die Hälfte (47%) der IT-Entscheidungsträger im öffentlichen Sektor fordern Nachweise für die Einhaltung von Zertifizierungen oder Standardbetriebsverfahren an, und noch weniger verlangen Drittanbieter-Auditberichte (38%) oder Nachweise für interne Sicherheitsschulungen (32%).
Obwohl dieses Maß an Vertrauen und Vertrauen in Dienstleister Partnerschaften fördert, sollte dies nicht auf Kosten des Ignorierens von blinden Flecken in der Software-Lieferkette geschehen. Letztendlich muss sich ein Unternehmen darauf verlassen können, wie es die Cybersicherheit in seiner Software-Lieferkette überwacht und verwaltet, muss auf mehr als nur auf Vertrauen beruhen – und IT-Führungskräfte und ihre Lieferanten müssen die fehlende Sichtbarkeit als Priorität behandeln.
Erhöhung der Sichtbarkeit durch strenge Lieferketten-Sicherheit
Glücklicherweise haben öffentliche Organisationen mehrere Verteidigungsmöglichkeiten. Erstens sollten sie versuchen, die Angriffsfläche der Software-Lieferkette zu reduzieren, indem sie die Anzahl der potenziellen Punkte minimieren, an denen ein Angreifer Schwachstellen ausnutzen kann. Hier sollten sie jeden Schritt der Lieferkette identifizieren und untersuchen. Dazu gehört auch eine eingehende Prüfung von Partneranwendungen, um sicherzustellen, dass auch sie sicher sind, und die Durchführung von Penetrationstests als regelmäßige Aktivität, um den Status kontinuierlich zu überprüfen.
Zweitens müssen Organisationen die Identität und Praktiken ihrer Dienstleister überprüfen, einschließlich der Prüfung von Software von Drittanbietern vor der Bereitstellung und des Verlangens, dass Anbieter sich an etablierte Sicherheitsrichtlinien halten. Ende-zu-Ende-Verschlüsselung, robuste Datenschutzrichtlinien sowie unternehmensweite Kontrollen und Berichterstattung sind entscheidend für die Reduzierung von Schwachstellen in der Lieferkette. Durch die Validierung jedes Benutzeridentitäten, kryptografischer Maßnahmen und die Isolierung sensibler Daten werden diese Sicherheitsvorkehrungen besser gegen Malware und unbefugten Zugriff schützen.
Schließlich sind effektive Incident-Response-Pläne entscheidend; es ist ratsam, die Pläne auf der Annahme zu basieren, dass ein Angriff auf die Software-Lieferkette unvermeidlich ist. Diese Pläne sollten sechs Phasen umfassen: Vorbereitung, Identifizierung, Eindämmung, Ausrottung, Wiederherstellung und Bewertung. BlackBerry arbeitet – und rät anderen, auf dem Prinzip des Zero Trust zu arbeiten, um das Risiko versteckter und unbekannter Teilnehmer in der Lieferkette zu reduzieren.
Ein robuster IR-Plan sollte nicht allein auf den regulären IT-Tools für Kommunikation und Arbeitsabläufe während eines Vorfalls angewiesen sein (da diese möglicherweise kompromittiert oder nicht zugänglich sind), sondern auf außerbandigen Kommunikationen und Arbeitsabläufen zurückgreifen, eine isolierte Wiederherstellungsumgebung haben und administrative Zugriffsdaten verwenden, die sich von denen unterscheiden, die von den regulären IT- und Sicherheitstools verwendet werden (da diese Zugriffsdaten auch oft bei Angriffen auf die Lieferkette kompromittiert sind).
Der Weg nach vorne
Natürlich gibt es keine schnelle Lösung für Probleme in der Software-Lieferkette. Es besteht ein anhaltender Mangel an erfahrenen Cybersicherheitsfachkräften, und die verfügbaren sind bereits mit den Herausforderungen beschäftigt, die damit verbunden sind, die eigenen Systeme einer Organisation gepatcht und aktualisiert zu halten. Unsere Forschung hebt die wesentlichen Herausforderungen hervor, denen IT-Profis im öffentlichen Sektor gegenüberstehen, darunter unzureichende technische Expertise (49%) und unzureichende Werkzeuge (38%). Automatisierung und die Nutzung von GenAI-betriebenen Prozessen könnten viele dieser Probleme in Zukunft angehen, aber gleichzeitig die Komplexität der Software-Lieferkette selbst erhöhen.
AI-gestützte Managed Detection and Response (MDR)-Technologien bieten eine kostengünstige und praktische Lösung für diese Probleme. Insbesondere ermöglichen sie eine kontinuierliche Überwachung von Endpunkten, Netzwerken und Cloud-Umgebungen und verbinden Organisationen mit Sicherheitsbetriebszentrum (SOC)-Analysten, um interne Fachkenntnislücken zu schließen. Im Gegensatz zu traditionellen Cybersicherheitsdiensten, die passiv im Hintergrund arbeiten, kombiniert MDR fortschrittliche Bedrohungserkennungstechnologien mit menschlicher Expertise für eine proaktivere Verteidigung.
Der Weg nach vorne erfordert einen vielschichtigen Ansatz, der eine Kombination aus Automatisierung und proaktiven Verteidigungsstrategien sowie dem Zero Trust-Prinzip umfasst. Ebenso wichtig ist ein robuster Incident-Response-Plan, der Out-of-Band-Nachrichtenkommunikationen und unabhängige Tools und Prozesse enthält, die die Exposition minimieren und die Wiederherstellung beschleunigen können. Durch den Einsatz fortschrittlicher Technologien neben menschlicher Expertise, um blinde Flecken zu beseitigen, werden IT-Führungskräfte im öffentlichen Sektor größeres Vertrauen in die Widerstandsfähigkeit ihrer Organisation gegenüber immer raffinierteren Bedrohungen aus der Software-Lieferkette haben.
Die Inbetriebnahme der DORA-Richtlinie, die von britischen Finanzunternehmen, die an grenzüberschreitenden Operationen beteiligt sind, verlangt, dass sie EU-Gesetzgebung zur Lieferketten einhalten, hat bei Cybersicherheitsexperten kein Vertrauen geweckt. Ganz wie die NIS2-Compliance-Frist bestehen Zweifel an der Bereitschaft der Organisationen, insbesondere an der Erfüllung der Lieferketten-Audit-Anforderungen für Partner und Lieferanten.
Die zunehmende Komplexität der Software-Lieferketten, gepaart mit Herausforderungen bei der Erstellung genauer Software-Bills of Materials (SBOMs), wird durch die zunehmende Verbreitung von generativer KI weiter erschwert. Dieser Wandel führt zur Notwendigkeit von AI-BOMs und bringt neue Schwierigkeiten mit sich. Da die Softwaretechnik sich schnell weiterentwickelt, muss die Gesetzgebung sich anpassen und die Software-Lieferkette noch genauer prüfen.