Alle 14 Tage aktuelle News aus der IT-Szene   >   
MP2 eröffnet „Innovation Lounge“ 27. 01. 2022
Kürzlich weihte das IT-Unternehmen MP2 IT-Solutions im Rahmen seines Neujahrsempfangs seine neue „Innovation Lounge“ ein.
koenig.solutions expandiert nach Wien 26. 01. 2022
Consulting-Unternehmen bietet SAP-Lösungen für Energieversorger.
TGM ist Partnerschule von WOMENinICT im VÖSI 25. 01. 2022
Partnerschaft will Mädchen und Frauen für IT begeistern.
Investition in innovative Lern-App 24. 01. 2022
Fabasoft steigt bei Microlearning-Anbieter KnowledgeFox ein.
R&S und Jet ERP: Zwei heimische ERP-Anbieter unter einem Dach 21. 01. 2022
R&S-Geschäftsführer Markus Neumayr wird Managing Director von Jet ERP – enge Zusammenarbeit der beiden Unternehmen geplant.
Trend Micro und Ingram Micro machen in Österreich gemeinsame Sache 21. 01. 2022
Der japanischer IT-Sicherheitsanbieter erweitert sein Distributorennetzwerk in Österreich.
Re-Branding und Re-Positionierung 20. 01. 2022
Tietoevry erneuert Marke und geht mit sechs spezialisierten Unternehmen an den Start.
Die Patienten-Journey abbilden 19. 01. 2022
Accenture-Gesundheitsstudie: Patienten wünschen sich digitale Gesundheitsleistungen.
Paessler erweitert PRTG Hosted Monitor 18. 01. 2022
Neue Funktionen für Monitoring-as-a-Service.
Capgemini gründet Quantum Lab 17. 01. 2022
Kunden erhalten über das neue Entwicklungslabor Zugang zu den Quantencomputersystemen und Services von IBM.
Boll gibt Partnerschaft mit Deep Instinct bekannt 14. 01. 2022
Cybersecurity-Framework stoppt Ransomware und andere Malware mit Deep-Learning-Technologie.
Embedded Analytics 13. 01. 2022
Studie der Enterprise Strategy Group zeigt, wie Unternehmen der Fertigungsbranche den maximalen Nutzen aus ihren Daten ziehen.
Lenovo startet neues Channel Programm 12. 01. 2022
Mit Lenovo 360 erhalten Partner besseren Zugang zu End-to-End-Lösungen und -Services.
Cyber-Attacken nahmen im Jahr 2021 in Österreich um 117 Prozent zu 11. 01. 2022
Das stellten die Sicherheitsforscher von Check Point in ihrem Jahresvergleich zu 2020 fest. Auch die deutschen Nachbarn wurden heftig angegriffen.
Technogroup kooperiert mit ITK-Distributor Ingram Micro 10. 01. 2022
Der Maintenance-Dienstleister bietet RZ-Services nun auch über die Kanäle von Ingram Micro an.
Österreich bei Open-Data-Initiativen führend 21. 12. 2021
Neue Studie unterstreicht die positive gesellschaftliche Wirkung offener Daten. Österreich liegt als „Fast-Tracker“ im Spitzenfeld.
Atos zeigt „Outcome-driven AI Platform“ 20. 12. 2021
Neue KI-/ML-Plattform ermöglicht datengetriebene Optimierung von Geschäftsprozessen.
Konzepte für New Work sind gefragt 16. 12. 2021
Neues innovaphone Whitepaper: „So funktioniert hybrides Arbeiten“.
weiter
Tenable

Codebibliotheken werden zum Sicherheitsrisiko

Gastbeitrag: Tenables „Zero Day Research Team“ deckt auf, wie Sicherheitslücken in Drittanbietercode Unternehmen gefährden.

Foto: Waldemar Brandt/Unsplash Das „Zero Day Research Team“ von Tenable, einem Anbieter im Bereich IT-Schwachstellenanalyse und IT-Risikomanagement, beschäftigt sich mit dem Aufdecken von Sicherheitslücken, für die noch kein Patch des Herstellers der Komponente verfügbar ist Softwarebibliotheken, die sich verschiedene Hardwarehersteller teilen, können zum Sicherheitsproblem werden. Die Verfolgung und Beseitigung von Schwachstellen gerät entlang der Software-Supply-Chain oft in den Hintergrund. Betroffene Hersteller erfahren zu spät oder gar nicht, dass der in ihren Geräten verwendete Code Sicherheitslücken enthält. Diese gefährden letztlich Benutzer in Heimnetzwerken ebenso wie in Unternehmensumgebungen.

Größere Angriffsfläche durch Fernarbeit, Mobilgeräte und IoT

Tenable entdeckte im Frühjahr 2021 eine Sicherheitslücke in einem Router von Buffalo, deren Ursprung in der verwendeten Arcadian-Software lag. Wie sich nach und nach herausstellte, waren mindestens 20 weitere Router von 17 verschiedenen Anbietern und Serviceprovidern wie Telstra, Telus, Verizon und Vodafone betroffen. Unsichere Home-Router können im Rahmen der intensivierten Fernarbeit auch den Geschäftsbetrieb von Unternehmen gefährden. Ein weiteres Einfallstor für Cyberangreifer ist der wachsende Pool an mobilen Geräten und IoT-Komponenten, die mitunter unsichere Firmware aufweisen. Die in die Unternehmensumgebung eingebundenen Heimnetzwerke und das wachsende Internet der Dinge vergrößern die Angriffsfläche immens.

Zugleich werden Ransomware-Angriffe immer ausgefeilter. Zuletzt gerieten Managed Service Provider und deren Unternehmenskunden ins Visier. So nutzten die Angreifer vor einigen Monaten Zero-Day-Schwachstellen in der Automatisierungssoftware Kaseya VSA aus. Überaus motivierte Akteure schrecken auch nicht davor zurück eine selbstverbreitende, zerstörerische Malware wie NotPetya im Jahr 2017 erneut in Umlauf zu bringen.

Drittanbieter-Software als Ursprung aktueller Sicherheitslücken könnte den Cyberkriminelle dabei helfen, in großem Stil Unternehmen anzugreifen. Bei mehrfach verwendeter Software ist es daher Transparenz wichtig, um sämtliche Softwareprojekte, Dienste und Kunden ermitteln und benachrichtigen zu können, wenn eine neue Sicherheitslücke auftaucht.

Die Software-Supply-Chain muss sicherer werden

Ein wachsendes Angebot an Open-Source-Software, vorgefertigten Drittanbieter-Frameworks und umfangreichen Code-Bibliotheken erleichtert die Entwicklung neuer Produkte ungemein. Trotz aller Vorteile zugunsten einer verkürzten Time-to-Market sollten Hersteller die Übersicht behalten, am besten durch eine Inventarisierung aller eingesetzten Code-Ressourcen. Hilfreich ist hierbei eine Software Bill of Materials (SBOM), die alle Details und Supply-Chain-Beziehungen zum verwendeten „Softwarematerial“ enthält. Lückenlos aktualisierte SBOMs helfen im Ernstfall, die betroffenen Produkte wesentlich schneller zu identifizieren als durch individuelle Nachforschungen.

Ein weiterer Ansatzpunkt, um die Software-Supply-Chain sicherer zu machen, ist ein sicherer Softwareentwicklungszyklus, beschrieben als Secure Software Development Lifecycle. SSDLC, so die Kurzform, bezieht sich im Allgemeinen auf einen systematischen, mehrstufigen Prozess, der die Softwareentwicklung vom Anfang bis zur Freigabe rationalisiert. Dabei gilt es Schwachstellen in einem möglichst frühen Entwicklungsstadium der Software zu erfassen und zu beheben. Dies trägt dazu bei, Kosten zu senken, und verhindert, dass sich Fehler bis zum fertigen Produkt durchziehen.

Ein in den SSDLC-Prozess eingebundenes Product Security Incident Response-Team (PSIRT) befasst sich mit der Identifizierung, Bewertung und dem Umgang mit Risiken von Softwareschwachstellen. Diesem Team obliegt die Umsetzung bewährter Sicherheitsverfahren und das Schwachstellenmanagement. Das PSIRT übernimmt die Offenlegung und Behebung von Schwachstellen, was nach standardisierten Verfahren erfolgt.

Alle Beteiligten müssen die Sicherheitsprobleme in den Griff bekommen

Cyberangriffe, die auf die Software-Supply-Chain zurückgehen, häufen sich. Softwareanbieter und Hersteller müssen größere Sorgfalt an den Tag legen, während Branchenverbände und der Gesetzgeber klare Rahmenbedingungen für das Qualitätsmanagement vorgeben müssen. Nur so wird es gelingen, Sicherheitsprobleme in der oft komplexen Software-Supply-Chain in den Griff zu bekommen.

Unsicherer Programmiercode betrifft nicht nur einzelne Hersteller, sondern ist eine Herausforderung für alle Beteiligten. Die aktuelle Situation macht deutlich, dass ein besser koordiniertes Vorgehen bei der Meldung von Schwachstellen in gemeinsam genutzter Software nötig ist. Ziel muss es sein, die Produkte sicherer zu machen, die heute unverzichtbar sind, um die Geschäftskontinuität und kritische betriebliche Prozesse aufrechtzuerhalten.

it&t business medien OG
Tel.: +43/1/369 80 67-0
office@ittbusiness.at
Wir verwenden Cookies, um Ihnen den bestmöglichen Service anbieten zu können. Wenn Sie auf der Seite weitersurfen, stimmen Sie der Cookie-Nutzung zu.
OK