Alle 14 Tage aktuelle News aus der IT-Szene   >   
Infrastrukturlösungen aus einer Hand 16. 08. 2022
R&M bietet ab sofort integrierte RZ-Lösungen von der Verkabelung über Racks, Einhausungen und Kühlung bis zum digitalen Infrastrukturmanagement.
Spezialisten-Suche: Besetzungslücke bleibt 11. 08. 2022
Arbeitsmarkt für Sales-, und Marketingexperten unverändert hoch, Rückgänge bei Engineering und IT.
Onventis setzt Wachstumskurs fort 10. 08. 2022
Der Anbieter von Source-to-Pay-Lösungen gründet eine neue Ländergesellschaft in Österreich.
Ingram Micro TOP heuer wieder als Live-Event 09. 08. 2022
ITK-Distributor lädt zur Fachhandelsmesse in die Pyramide Vösendorf.
hosttech-Datacenter ist ISO 27001 zertifiziert 20. 07. 2022
Zertifizierung stellt Einhaltung von Datenschutzrichtlinien und Systemsicherheit sicher.
Kontinuität und Veränderung im Vorstand 19. 07. 2022
Vorstandsspitze der der Plattform Industrie 4.0 Österreich wiedergewählt, zwei Neuzugänge komplettieren das Führungsteam.
Unternehmen verschenken Potenzial bei Software-Entwicklung 18. 07. 2022
Studie: Weniger als die Hälfte der Unternehmen pflegt eine mit umfassende DevOps-Kultur.
Tech Data startet Distribution für Software AG 15. 07. 2022
Der Distributor vertreibt die Business Software-Produkte ab sofort der DACH-Region.
Atoss als österreichischer Leitbetrieb zertifiziert 14. 07. 2022
Das Softwarehaus mit Fokus auf Workforce Management erhält die Auszeichnung zum ersten Mal.
Count IT expandiert nach Deutschland 13. 07. 2022
Münchner ECM-Spezialist letterscan wird Teil der Gruppe.
Digitale Trackingsysteme für Baustellen und Logistik 12. 07. 2022
A1 Asset Insight ermöglicht weltweite Ortung und Überwachung von Maschinen und Objekten.
„SHEgoesDIGITAL“ holt Frauen und Mädchen in die IT 12. 07. 2022
Die Initiative will die digitale Zukunft weiblicher machen.
ISPA feierte 25-Jahre-Jubiläum 30. 06. 2022
Gemeinsam mit VIX der Universität Wien und über 400 Gästen aus Politik, Wirtschaft und Wissenschaft beging die Interessenvertretung der Internetwirtschaft ISPA ihr 25-jähriges Bestehen.
Sicherer USV-Shutdown bei elektrischen Großanlagen 29. 06. 2022
BellEquip entwickelt eine spezielle USV-Konfiguration, die reibungslose Abschaltabläufe gewährleistet.
proALPHA übernimmt Empolis 28. 06. 2022
Das deutsche ERP-Haus verstärkt sich mit KI-gestützter Service-Management-Expertise aus der Cloud.
Alles neu beim VÖSI 27. 06. 2022
Klaus Veselko wird neuer Präsident – Verband wird umbenannt.
Das digitale Bezahlverhalten der Österreicher 24. 06. 2022
Der Digital Payment Index von Mastercard vergleicht das Bezahlverhalten hinsichtlich digitaler Zahlungsmethoden. 86 Prozent aller Kartentransaktionen am Point-of-Sale finden bereits kontaktlos statt.
Nagarro kürte die besten Ideen für die Cloud 23. 06. 2022
Brantner Green Solutions und Miba gewinnen den Innovationspreis im Wert von 50.000 Euro.
weiter
Tenable

Codebibliotheken werden zum Sicherheitsrisiko

Gastbeitrag: Tenables „Zero Day Research Team“ deckt auf, wie Sicherheitslücken in Drittanbietercode Unternehmen gefährden.

Foto: Waldemar Brandt/Unsplash Das „Zero Day Research Team“ von Tenable, einem Anbieter im Bereich IT-Schwachstellenanalyse und IT-Risikomanagement, beschäftigt sich mit dem Aufdecken von Sicherheitslücken, für die noch kein Patch des Herstellers der Komponente verfügbar ist Softwarebibliotheken, die sich verschiedene Hardwarehersteller teilen, können zum Sicherheitsproblem werden. Die Verfolgung und Beseitigung von Schwachstellen gerät entlang der Software-Supply-Chain oft in den Hintergrund. Betroffene Hersteller erfahren zu spät oder gar nicht, dass der in ihren Geräten verwendete Code Sicherheitslücken enthält. Diese gefährden letztlich Benutzer in Heimnetzwerken ebenso wie in Unternehmensumgebungen.

Größere Angriffsfläche durch Fernarbeit, Mobilgeräte und IoT

Tenable entdeckte im Frühjahr 2021 eine Sicherheitslücke in einem Router von Buffalo, deren Ursprung in der verwendeten Arcadian-Software lag. Wie sich nach und nach herausstellte, waren mindestens 20 weitere Router von 17 verschiedenen Anbietern und Serviceprovidern wie Telstra, Telus, Verizon und Vodafone betroffen. Unsichere Home-Router können im Rahmen der intensivierten Fernarbeit auch den Geschäftsbetrieb von Unternehmen gefährden. Ein weiteres Einfallstor für Cyberangreifer ist der wachsende Pool an mobilen Geräten und IoT-Komponenten, die mitunter unsichere Firmware aufweisen. Die in die Unternehmensumgebung eingebundenen Heimnetzwerke und das wachsende Internet der Dinge vergrößern die Angriffsfläche immens.

Zugleich werden Ransomware-Angriffe immer ausgefeilter. Zuletzt gerieten Managed Service Provider und deren Unternehmenskunden ins Visier. So nutzten die Angreifer vor einigen Monaten Zero-Day-Schwachstellen in der Automatisierungssoftware Kaseya VSA aus. Überaus motivierte Akteure schrecken auch nicht davor zurück eine selbstverbreitende, zerstörerische Malware wie NotPetya im Jahr 2017 erneut in Umlauf zu bringen.

Drittanbieter-Software als Ursprung aktueller Sicherheitslücken könnte den Cyberkriminelle dabei helfen, in großem Stil Unternehmen anzugreifen. Bei mehrfach verwendeter Software ist es daher Transparenz wichtig, um sämtliche Softwareprojekte, Dienste und Kunden ermitteln und benachrichtigen zu können, wenn eine neue Sicherheitslücke auftaucht.

Die Software-Supply-Chain muss sicherer werden

Ein wachsendes Angebot an Open-Source-Software, vorgefertigten Drittanbieter-Frameworks und umfangreichen Code-Bibliotheken erleichtert die Entwicklung neuer Produkte ungemein. Trotz aller Vorteile zugunsten einer verkürzten Time-to-Market sollten Hersteller die Übersicht behalten, am besten durch eine Inventarisierung aller eingesetzten Code-Ressourcen. Hilfreich ist hierbei eine Software Bill of Materials (SBOM), die alle Details und Supply-Chain-Beziehungen zum verwendeten „Softwarematerial“ enthält. Lückenlos aktualisierte SBOMs helfen im Ernstfall, die betroffenen Produkte wesentlich schneller zu identifizieren als durch individuelle Nachforschungen.

Ein weiterer Ansatzpunkt, um die Software-Supply-Chain sicherer zu machen, ist ein sicherer Softwareentwicklungszyklus, beschrieben als Secure Software Development Lifecycle. SSDLC, so die Kurzform, bezieht sich im Allgemeinen auf einen systematischen, mehrstufigen Prozess, der die Softwareentwicklung vom Anfang bis zur Freigabe rationalisiert. Dabei gilt es Schwachstellen in einem möglichst frühen Entwicklungsstadium der Software zu erfassen und zu beheben. Dies trägt dazu bei, Kosten zu senken, und verhindert, dass sich Fehler bis zum fertigen Produkt durchziehen.

Ein in den SSDLC-Prozess eingebundenes Product Security Incident Response-Team (PSIRT) befasst sich mit der Identifizierung, Bewertung und dem Umgang mit Risiken von Softwareschwachstellen. Diesem Team obliegt die Umsetzung bewährter Sicherheitsverfahren und das Schwachstellenmanagement. Das PSIRT übernimmt die Offenlegung und Behebung von Schwachstellen, was nach standardisierten Verfahren erfolgt.

Alle Beteiligten müssen die Sicherheitsprobleme in den Griff bekommen

Cyberangriffe, die auf die Software-Supply-Chain zurückgehen, häufen sich. Softwareanbieter und Hersteller müssen größere Sorgfalt an den Tag legen, während Branchenverbände und der Gesetzgeber klare Rahmenbedingungen für das Qualitätsmanagement vorgeben müssen. Nur so wird es gelingen, Sicherheitsprobleme in der oft komplexen Software-Supply-Chain in den Griff zu bekommen.

Unsicherer Programmiercode betrifft nicht nur einzelne Hersteller, sondern ist eine Herausforderung für alle Beteiligten. Die aktuelle Situation macht deutlich, dass ein besser koordiniertes Vorgehen bei der Meldung von Schwachstellen in gemeinsam genutzter Software nötig ist. Ziel muss es sein, die Produkte sicherer zu machen, die heute unverzichtbar sind, um die Geschäftskontinuität und kritische betriebliche Prozesse aufrechtzuerhalten.

it&t business medien OG
Tel.: +43/1/369 80 67-0
office@ittbusiness.at
Wir verwenden Cookies, um Ihnen den bestmöglichen Service anbieten zu können. Wenn Sie auf der Seite weitersurfen, stimmen Sie der Cookie-Nutzung zu.
OK