Alle 14 Tage aktuelle News aus der IT-Szene   >   
proALPHA übernimmt Empolis 28. 06. 2022
Das deutsche ERP-Haus verstärkt sich mit KI-gestützter Service-Management-Expertise aus der Cloud.
Alles neu beim VÖSI 27. 06. 2022
Klaus Veselko wird neuer Präsident – Verband wird umbenannt.
Das digitale Bezahlverhalten der Österreicher 24. 06. 2022
Der Digital Payment Index von Mastercard vergleicht das Bezahlverhalten hinsichtlich digitaler Zahlungsmethoden. 86 Prozent aller Kartentransaktionen am Point-of-Sale finden bereits kontaktlos statt.
Nagarro kürte die besten Ideen für die Cloud 23. 06. 2022
Brantner Green Solutions und Miba gewinnen den Innovationspreis im Wert von 50.000 Euro.
Flexible Arbeitsformen im Trend 22. 06. 2022
yuutel-Umfrage: Jedes achte Unternehmen will noch heuer auf Cloud-Telefonie umsteigen.
Mit „Job-Screenings“ gegen den Fachkräftemangel 21. 06. 2022
Bildungsanbieter ETC unterstützt Arbeitssuchende und Unternehmen bei der Einschätzung technischer Fähigkeiten.
IT-Managerinnen am Wort 20. 06. 2022
Beim bereits vierten VÖSI WOMENinICT Rolemodel-Event präsentierten IT-Projektmanagerinnen ihren Job und Werdegang.
PlanRadar ist „Scale-up des Jahres“ 13. 06. 2022
Unter mehr als 150 heimischen Start-ups mit Wachstumspotenzial setzte sich PlanRadar beim „EY Scale-Up Award 2022“ durch.
Post bündelt Business-Lösungen 10. 06. 2022
„Post Business Solutions“ vereint die Tochterunternehmen Scanpoint, EMD, D2D und sendhybrid unter einem Dach.
Gesundheitsbranche im digitalen Wandel 09. 06. 2022
MP2 gab auf dem Fachkongress der Healthcare-Branche Einblicke in die digitale Zukunft des Gesundheitswesens.
Knapp automatisiert Walmart-Lager 08. 06. 2022
US-Handelsgigant Walmart beauftragt den Grazer Logistikexperten Knapp mit der Automatisierung von vier neuen Hightech-Distributionszentren.
Aus Alt mach Neu 07. 06. 2022
HP Austria und AfB social & green IT sorgen gemeinsam für lokale und nachhaltigere IT-Hardware.
Business-Frühstück bei Infotech 03. 06. 2022
Der Innviertler IT-Dienstleister Infotech lud Kunden und Partner zu einer Informationsveranstaltung zum Thema E-Mail-Security.
Accenture übernimmt ARZ 02. 06. 2022
Das Technologiekompetenzzentrum des österreichischen Bankensektors wird Teil von Accenture.
Unicon erweitert Angebot um MSP-Lizenzierung 01. 06. 2022
Mit Scout MSP können IT-Dienstleister ihr End User Computing-Angebot erweitern.
Markteintritt in Österreich 31. 05. 2022
Heinekingmedia kauft den Distributor und Systemintegrator J. Klausner Professional Multimedia.
GoTo Connect und Resolve starten in Österreich 30. 05. 2022
Die Kommunikations- und Supportlösungen sind ab sofort auch in Österreich erhältlich.
„James, wann ist mein nächster Termin?“ 25. 05. 2022
Die App MP2 info.James vereinfacht die Patientenkommunikation.
weiter
Trend Micro

Cyberrisiken in der Software-Lieferkette

Integrität ist der Schlüssel zum Erfolg. Ein Kommentar von Udo Schneider.

Foto: Alex Schelbert Der Autor Udo Schneider ist IoT Security Evangelist Europe bei Trend Micro Lässt man einige Angriffe der letzten Zeit (insb. Solarwinds oder Log4Shell) Revue passieren, so fällt auf, dass diese immer mehr „über Bande“ spielen. Das bedeutet die Angreifer greifen Zielunternehmen nicht mehr direkt an, sondern über deren (Software)-Lieferkette. Ob nun Opfer über kompromittierte Solarwinds-Updates oder Lücken in Log4Shell angegriffen werden – in beiden Fällen ist die Software-Lieferkette gleichzeitig auch Infektionskette.

Wie gut kenne ich meine Lieferkette?

Damit gewinnt das Thema der Integrität der Supply Chain immer mehr an Brisanz. Das bedeutet in erster Linie: Kenne ich alle Lieferanten/Dienstleister in meiner Lieferkette? Und zwar nicht nur die direkten, sondern auch die transienten Abhängigkeiten! Ist die gesamte Lieferkette so dokumentiert, dass man im Falle einer Lücke in genutzten Bibliotheken direkt sagen kann, ob die eigene Software betroffen ist? Sei es, weil man die Bibliothek direkt selbst einsetzt oder eine der transienten Abhängigkeiten.

Schadensbegrenzung

Die „Integrität der Supply Chain“ rückt insbesondere bei Sicherheitsvorfällen schnell in den Mittelpunkt. In solchen Fällen ist man bemüht, den Schaden schnellstmöglich einzugrenzen. Je nach Umgebung gibt es dafür auch verschiedene technische Lösungen: (Virtuelle) Patches, Updates von Software-Abhängigkeiten, SLAs mit Dienstleistern und vieles mehr. Leider lässt das Interesse daran, wie so oft, wenn der akute Schmerz weg ist, schnell nach, sobald das gröbste überstanden ist.

Mit „Pflastern“ ist es nicht getan

Dabei sollte jedem klar sein, dass die Integrität der Lieferkette nichts ist, was man im Falle des Falles immer schnell mit einem technischen „Pflaster“ angehen sollte. Vielmehr geht es hier um die Etablierung von entsprechenden Prozessen (und auch technischen Vorgehensweisen), die einem helfen, die Integrität der eigenen Supply Chain effizient zu verwalten. Dies führt zumeist zu einer kleineren Angriffsoberfläche und mindestens zu einer besseren Datenbasis, die bei einem Sicherheitsvorfall die manuelle Nachforschung reduziert.

Langwieriger Prozess

Leider ist die Einführung von Prozessen zur Pflege der Integrität der eigenen Softwarelieferkette oft langwierig. Insbesondere da es hier nicht nur um technische Schutzaspekte geht, sondern es auch eine menschliche und administrative Komponente gibt. Außerdem ist im Vergleich zur technischen IT-Sicherheit das Wissen und Fachpersonal nur dünn vorhanden.

Beispielszenarien als wertvolle Ressource

In diese Lücke stößt die Neufassung der NIST Special Publication SP800-161r1 („Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations“). Diese enthält eine umfassende Einführung in die Hintergründe, Mitwirkende und Implementation von sicheren Software-Lieferketten. Die darin dokumentierten Vorgehensweisen und Beispielszenarien geben einen exzellenten Einblick in die Implementierung, aber auch in die Vorteile von sicheren Software-Lieferketten.

Dem Teufelskreis entkommen

Damit ist die NIST-Publikation eine sehr wertvolle Ressource für jeden, der die Integrität seiner Software-Lieferkette verbessern möchte. Und daran sollte jedem gelegen sein! Zeigt die Erfahrung doch, dass Angreifer sich auf Angriffsmodelle konzentrieren, die funktionieren. Und dieser Nachweis ist bei Angriffen über die Lieferkette definitiv gegeben. Daher sollte man sich jetzt mit der Absicherung und Dokumentation der Lieferkette beschäftigen – denn beim nächsten Angriff ist es dafür zu spät. Beziehungsweise ist man so mit der Abwehr beschäftigt, dass Prozesse eh‘ keine Rolle spielen. Und damit beginnt das Dilemma wieder von vorne ...

it&t business medien OG
Tel.: +43/1/369 80 67-0
office@ittbusiness.at
Wir verwenden Cookies, um Ihnen den bestmöglichen Service anbieten zu können. Wenn Sie auf der Seite weitersurfen, stimmen Sie der Cookie-Nutzung zu.
OK