Alle 14 Tage aktuelle News aus der IT-Szene >
Gastbeitrag: Tenables „Zero Day Research Team“ deckt auf, wie Sicherheitslücken in Drittanbietercode Unternehmen gefährden.
Foto: Waldemar Brandt/Unsplash Das „Zero Day Research Team“ von Tenable, einem Anbieter im Bereich IT-Schwachstellenanalyse und IT-Risikomanagement, beschäftigt sich mit dem Aufdecken von Sicherheitslücken, für die noch kein Patch des Herstellers der Komponente verfügbar ist Softwarebibliotheken, die sich verschiedene Hardwarehersteller teilen, können zum Sicherheitsproblem werden. Die Verfolgung und Beseitigung von Schwachstellen gerät entlang der Software-Supply-Chain oft in den Hintergrund. Betroffene Hersteller erfahren zu spät oder gar nicht, dass der in ihren Geräten verwendete Code Sicherheitslücken enthält. Diese gefährden letztlich Benutzer in Heimnetzwerken ebenso wie in Unternehmensumgebungen.
Tenable entdeckte im Frühjahr 2021 eine Sicherheitslücke in einem Router von Buffalo, deren Ursprung in der verwendeten Arcadian-Software lag. Wie sich nach und nach herausstellte, waren mindestens 20 weitere Router von 17 verschiedenen Anbietern und Serviceprovidern wie Telstra, Telus, Verizon und Vodafone betroffen. Unsichere Home-Router können im Rahmen der intensivierten Fernarbeit auch den Geschäftsbetrieb von Unternehmen gefährden. Ein weiteres Einfallstor für Cyberangreifer ist der wachsende Pool an mobilen Geräten und IoT-Komponenten, die mitunter unsichere Firmware aufweisen. Die in die Unternehmensumgebung eingebundenen Heimnetzwerke und das wachsende Internet der Dinge vergrößern die Angriffsfläche immens.
Zugleich werden Ransomware-Angriffe immer ausgefeilter. Zuletzt gerieten Managed Service Provider und deren Unternehmenskunden ins Visier. So nutzten die Angreifer vor einigen Monaten Zero-Day-Schwachstellen in der Automatisierungssoftware Kaseya VSA aus. Überaus motivierte Akteure schrecken auch nicht davor zurück eine selbstverbreitende, zerstörerische Malware wie NotPetya im Jahr 2017 erneut in Umlauf zu bringen.
Drittanbieter-Software als Ursprung aktueller Sicherheitslücken könnte den Cyberkriminelle dabei helfen, in großem Stil Unternehmen anzugreifen. Bei mehrfach verwendeter Software ist es daher Transparenz wichtig, um sämtliche Softwareprojekte, Dienste und Kunden ermitteln und benachrichtigen zu können, wenn eine neue Sicherheitslücke auftaucht.
Ein wachsendes Angebot an Open-Source-Software, vorgefertigten Drittanbieter-Frameworks und umfangreichen Code-Bibliotheken erleichtert die Entwicklung neuer Produkte ungemein. Trotz aller Vorteile zugunsten einer verkürzten Time-to-Market sollten Hersteller die Übersicht behalten, am besten durch eine Inventarisierung aller eingesetzten Code-Ressourcen. Hilfreich ist hierbei eine Software Bill of Materials (SBOM), die alle Details und Supply-Chain-Beziehungen zum verwendeten „Softwarematerial“ enthält. Lückenlos aktualisierte SBOMs helfen im Ernstfall, die betroffenen Produkte wesentlich schneller zu identifizieren als durch individuelle Nachforschungen.
Ein weiterer Ansatzpunkt, um die Software-Supply-Chain sicherer zu machen, ist ein sicherer Softwareentwicklungszyklus, beschrieben als Secure Software Development Lifecycle. SSDLC, so die Kurzform, bezieht sich im Allgemeinen auf einen systematischen, mehrstufigen Prozess, der die Softwareentwicklung vom Anfang bis zur Freigabe rationalisiert. Dabei gilt es Schwachstellen in einem möglichst frühen Entwicklungsstadium der Software zu erfassen und zu beheben. Dies trägt dazu bei, Kosten zu senken, und verhindert, dass sich Fehler bis zum fertigen Produkt durchziehen.
Ein in den SSDLC-Prozess eingebundenes Product Security Incident Response-Team (PSIRT) befasst sich mit der Identifizierung, Bewertung und dem Umgang mit Risiken von Softwareschwachstellen. Diesem Team obliegt die Umsetzung bewährter Sicherheitsverfahren und das Schwachstellenmanagement. Das PSIRT übernimmt die Offenlegung und Behebung von Schwachstellen, was nach standardisierten Verfahren erfolgt.
Cyberangriffe, die auf die Software-Supply-Chain zurückgehen, häufen sich. Softwareanbieter und Hersteller müssen größere Sorgfalt an den Tag legen, während Branchenverbände und der Gesetzgeber klare Rahmenbedingungen für das Qualitätsmanagement vorgeben müssen. Nur so wird es gelingen, Sicherheitsprobleme in der oft komplexen Software-Supply-Chain in den Griff zu bekommen.
Unsicherer Programmiercode betrifft nicht nur einzelne Hersteller, sondern ist eine Herausforderung für alle Beteiligten. Die aktuelle Situation macht deutlich, dass ein besser koordiniertes Vorgehen bei der Meldung von Schwachstellen in gemeinsam genutzter Software nötig ist. Ziel muss es sein, die Produkte sicherer zu machen, die heute unverzichtbar sind, um die Geschäftskontinuität und kritische betriebliche Prozesse aufrechtzuerhalten.