Gartner 2022 Sicherheitstrend: Digitales Lieferkettenrisiko

Gartner Inc. veröffentlichte jüngst eine besorgniserregende Prognose.
25. November 2022 durch
Gartner 2022 Sicherheitstrend: Digitales Lieferkettenrisiko
Summit Solutions GmbH, Ernst Rohliček



Gartners Prognose

Gartner Inc., der bekannteste US-amerikanische Anbieter von Marktforschungsergebnissen und Analysen über die Entwicklungen in der IT veröffentlichte jüngst eine besorgniserregende Prognose. Laut dieser werden bis 2025 45 % der Unternehmen weltweit Angriffe auf digitale Lieferketten erlebt haben, verglichen mit 15 % im Jahr 2021. Daher ist es für jede Organisation, die an diesen Lieferketten beteiligt ist, unerlässlich, Maßnahmen zur Risikominderung zu implementieren. Leider ist das nicht so einfach.


Odoo • Text und Bild
Odoo • Bild und Text
Was sind digitale Lieferketten?

Im Dezember 2021 wurde über eine Schwachstelle berichtet, die in Log4J, einem weit verbreiteten Java-basierten Dienstprogramm zur Ereignisprotokollierung, entdeckt wurde. Dies war das erste Mal, dass die breite Öffentlichkeit auf das Risiko digitaler Lieferketten aufmerksam wurde. Die Kompromittierung des Orion-Produkts von SolarWinds war ein weiterer Angriff auf die Lieferkette, der eine große Anzahl von Organisationen des öffentlichen und privaten Sektors betraf.

Aus Sicht der Angreifer sind Supply-Chain-Angriffe brillant, effizient und – wie sich herausstellt – höchst profitabel. Die zugrundeliegende Idee ist, dass die Kompromittierung eines Codes, der häufig von Entwicklern als Baustein für ihre eigenen Apps und andere digitale Produkte verwendet wird – wie Open-Source-Bibliotheken, Dienstprogramme usw. – Zugang zu einer Vielzahl von Zielnetzwerken ermöglicht.



Odoo • Bild und Text
Gift in Lieferketten

Eine Analogie wäre, wenn Kriminelle in der Herstellungsphase die Versorgung eines weit verbreiteten Lebensmittelgrundstoffes vergiften könnten. Dieses selbst kaufen die Konsumenten zwar nicht direkt, aber es wird als Zutat in einer Vielzahl von verarbeiteten Lebensmitteln verwendet, die viele Millionen Menschen täglich konsumieren.

Clientseitige Angriffe sind Bedrohungsszenario in der Lieferkette, die besonders schwer zu bekämpfen ist. Dies resultiert aus der weit verbreiteten Praxis, Web-Apps zu entwickeln, die externe Skripte, Bibliotheken oder andere Softwarekomponenten von Drittanbietern aufrufen, während sie ausgeführt werden – das heißt, nachdem sie in einen Client-Browser heruntergeladen wurden. Wenn diese externen Komponenten kompromittiert wurden, findet der mögliche Angriff vollständig innerhalb des Systems des Benutzers statt. Auf der Serverseite gibt es keinen Hinweis auf eine Kompromittierung, was die Erkennung besonders schwierig macht.

Technische Lösungen

Aus rein technischer Sicht ist es möglich, das Risiko durch den Einsatz einer fortschrittlichen Webanwendungs- und API-Schutzplattform wie beispielsweise Barracuda Cloud Application Protection zu reduzieren. Wenn diese bereits in den Entwicklungsprozess integriert werden, können diese Lösungen die Apps überwachen, um so die Verwendung von Komponenten von Drittanbietern zu verhindern, die bekanntermaßen kompromittiert sind, basierend auf häufig aktualisierten Bedrohungsdaten. Sie können auch komplexe Konfigurationsaufgaben für Content Security Policy (CSP) und Subresource Integrity (SRI) automatisieren, um Fehler zu reduzieren und den Schutz auf der Clientseite zu erhöhen.

Langfristig werden technische Lösungen allein jedoch nicht ausreichen, um Supply-Chain-Angriffe wirksam zu bekämpfen. Das zu erreichende Ziel muss sein, dass die Chancen eines erfolgreichen Angriffs erheblich verringert werden – bis zu dem Punkt, an dem der Aufwand im Vergleich zum Erfolg so hoch ist, sodass die Motivation dieser Angriffsform sinkt.


Odoo • Text und Bild
Odoo • Bild und Text
Notwendige Maßnahmen

Das U.S. National Institute of Standards and Technology (NIST) hat kürzlich seine Publikation „Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations“ aktualisiert. Es richtet sich an ein Unternehmenspublikum und bietet eine lange Liste von Empfehlungen für das Risikomanagment in der Software-Supply-Chain. Effektive Cybersicherheitskontrollen und -praktiken wie erweiterte Zugriffssicherheit, automatisierte Reaktion auf Vorfälle, häufige Sicherheitsaudits usw. sind von entscheidender Bedeutung.

Ebenso wichtig sind jedoch Empfehlungen, die auf eine deutliche Verbesserung der Beschaffungspraktiken hinauslaufen. Grundsätzlich müssen Sicherheitsüberlegungen in jeden Vertrag und jede Vereinbarung zwischen Lieferanten und ihren Kunden eingebaut werden, damit sich ein hohes Maß an Vertrauen über die gesamte Lieferkette erstrecken kann. Dies erfordert auch die Entwicklung eines zuverlässigen Systems zur Bewertung der Zuverlässigkeit und Sicherheit potenzieller Geschäftspartner.

Auf der detaillierteren Ebene der App-Entwicklungsteams muss das Bewusstsein für die potenziellen Risiken in jeden Prozess eingebaut werden. In der Pressemitteilung von Gartner heißt es:

„Risiken in der digitalen Lieferkette erfordern neue Minderungsansätze, die eine bewusstere risikobasierte Segmentierung und Bewertung von Anbietern/Partnern, Forderungen nach Nachweisen für Sicherheitskontrollen und sichere Best Practices, eine Umstellung auf ein auf Resilienz basierendes Denken und Bemühungen beinhalten, um kommenden Vorschriften voraus zu sein. ”

Das Ende der isolierten Sicherheit

Die wichtigste Erkenntnis aus den Analysen und Prognosen von Gartner ist, dass Sicherheit nie wieder so verstanden werden kann, dass es nur darum geht, potenzielle Angriffsvektoren zu identifizieren und einzelne Sicherheitslösungen auf jeden von ihnen anzuwenden.

In Zukunft muss jede Geschäftseinheit Sicherheit und Resilienz in alle ihren Prozessen integrieren, und alle Mitarbeiter müssen sich der Auswirkungen ihrer Rollen auf Sicherheit und Resilienz bewusst sein.

Wieso betrifft mich das als Kunde?

Ein Beispiel wäre der Einsatz des Windows Betriebssystems, wenn hier ein kompromittiertes Update automatisiert auf einen entsprechenden Bürorechner aufgespielt wird, gibt es ein erhebliches Sicherheitsrisiko (dies würde einer kompromittierten Lieferkette entsprechen). Entsprechend sollte die IT-Sicherheitspolitik im Unternehmen drauf reagieren und nicht jedes Update sofort bei Verfügbarkeit herunterladen und installieren lassen und weiterführend hilft ein IDS (=Intrusion Detection System) um verdächtigen Traffic automatisiert zu erkennen und entsprechend darauf zu reagieren.

Odoo • Text und Bild

Wie können wir dich vor solchen Angriffen schützen:

Unsere Barracuda-Firewalls haben selbstverständlich ein IDS im Einsatz und analysieren in Echtzeit den im Haus bestehenden Traffic und alarmieren unsere Techniker.