Luca Bravo | Unsplash

Schwachstelle Drittanbieter-Software

Via funkschau • Ingo M. Rübenach / Axel Pomper • 06. Juni 2018
837 Views | 0 Notes

In den vergangenen Jahren gab es einige spektakuläre Cyber-Angriffe. So haben Hacker im Dezember 2015 mehrere Umspannwerke in der Ukraine abgeschaltet, sodass einige Regionen keinen Strom hatten. Ende 2014 übernahmen Cyberkriminelle die Kontrolle über Produktionsanlagen in einem deutschen Stahlwerk. Sie verhinderten die Abschaltung des Hochofens und richteten damit erheblichen Schaden an.

Die Gemeinsamkeit in beiden Fällen: Die Zugriffe geschahen über Schwachstellen in der Software für den Fernzugriff auf interne Netzwerke. Dabei handelte es sich um Administrations-Tools anderer Hersteller. Solche Drittanbieter-Software wird von Unternehmen  üblicherweise in großer Zahl eingesetzt – beispielsweise Standard-Software für die Produktionssteuerung, Office-Anwendungen, Device-Management-Software, Webserver oder Browser. Ein großer Teil der derzeit  genutzten Software vor allem im Bereich des Industrial IoT und der Industrie 4.0 integriert eine Vielzahl fremder Module und Code-Bibliotheken, etwa für den Aufbau von Verbindungen, die Übertragung und Verschlüsselung von Daten, die Ansteuerung von Sensoren und Aktoren oder andere Aufgaben.

 

Risikofaktoren in der Software-Lieferkette

Auch wenn sich mit solchen Komponenten die Produktivität der eigenen Entwicklungsbemühungen steigern und oft eine bessere Produktqualität erzielen lassen, werfen sie doch neue IT-Security-Risiken auf. Durch Schwachstellen in Drittanbieter-Software können Unternehmen in Branchen der kritischen Infrastruktur noch anfälliger gegen Cyberangriffe werden. Zu den wichtigsten Risikofaktoren der Cybersecurity im Zusammenhang mit der Software-Lieferkette zählen:

Dominanz von Drittanbieter-Software: Unternehmen sind überwiegend auf Produkte und Komponenten von Fremdherstellern angewiesen. Sie beschleunigen die Entwicklungen und erhöhen die Zuverlässigkeit, vergrößern aber das Risiko – Schwachstellen sind potenziell in jedem Softwareprodukt enthalten.

Wachsende Anzahl von Herstellern: Die Zahl der Anbieter von Modulen und Entwicklungsbibliotheken wächst stetig. Häufig nutzen Komponentenanbieter wiederum weitere Module von Fremdherstellern. Zudem verlagern immer mehr Unternehmen kritische IT-Systeme in die Cloud (Software-as-a-Service, SaaS) und greifen über Programmierschnittstellen darauf zu.

Unterschiedliche Stufen der Software-Qualitätskontrolle: Der verstärkte Einsatz von fremden Komponenten und SaaS-Anwendungen führt zu großen Unterschieden in der Qualität und Sicherheit der einzelnen Module und Dienste. Standardisierte Metriken für die Messung der Qualität gibt es nicht, die Unternehmen müssen sich vielmehr auf die Anbieter verlassen – oder eine eigene unabhängige Bewertung durchführen.

Bekannte und unbekannte Schwachstellen: Nach Schätzungen sind etwa 97 Prozent aller Verstöße gegen die Cybersicherheit auf nicht geschlossene Sicherheitslücken in vorhandener Software zurückzuführen. Bei Verwendung von Drittanbieter-Software kann sich dieses Risiko entsprechend erhöhen. Zudem besitzt vermutlich jede Software weitere, unbekannte Schwachstellen, die erst im realen Praxiseinsatz aufgedeckt werden.

Gefälschte Software: Der Einsatz von Drittanbieter-Software birgt das Risiko, dass unwissentlich gefälschte Versionen heruntergeladen werden, die entweder selbst Malware enthalten oder in denen bekannte Schwachstellen nicht geschlossen werden.

Unzulängliche Praktiken im Lieferanten- und Risikomanagement: Einige Unternehmen sind nicht in der Lage, ausreichend robuste Prozesse für das Lieferantenmanagement und das Risikomanagement umzusetzen. Dadurch steigt die Wahrscheinlichkeit, dass Schwachstellen nicht frühzeitig erkannt und durch Aktualisierungen behoben werden.

 

Diesen Risiken kann beispielsweise entgegen gewirkt werden, indem die verwendete Technologie beurteilt und kontrolliert wird. Welche Best Practices sollten hierbei im Risikomanagement angewendet werden? Lesen Sie den vollständigen Artikel auf www.funkschau.de

Bild des Benutzers Stefanie Frost
Kuratiert
am 20.08.2018 von
Stefanie Frost

Vernetzte Produkte und digitale Services erfordern den Einsatz von Software, die zu einem beträchtlichen Teil von Drittanbietern bezogen wird. Dies wirft neue IT-Security-Risiken auf, denen mit einer Risikomanagement-Strategie begegnet werden kann.