So schützen Sie Ihre Lieferkette vor Cyberangriffen mit NIST

Aus aktuellen Statistiken geht hervor: Kriminelle Hacker bevorzugen bei Ihren Angriffen immer öfter leichte Ziele wie Lieferketten von Firmen. Aus diesem Grund sollten IT-Security-Verantwortliche einen besonderen Fokus auf die Integrität ihrer Lieferketten setzen.

Bei genauerem Blick auf Cyber-Angriffe in der jüngeren Zeit wie z.B. Solarwinds oder Log4Shell wird deutlich, dass Unternehmen immer häufiger nicht mehr direkt angegriffen werden, sondern es die Angreifer stattdessen auf ihre (Software-)Lieferkette abgesehen haben. Dabei spielt es keine Rolle, ob das Opfer durch ein kompromittiertes Solarwinds-Update oder eine Schwachstelle in Log4Shell angegriffen wurde – in beiden Fällen ist die Softwarelieferkette auch die Infektionskette. Das heißt also, dass das Thema Integrität in der Lieferkette immer brisanter wird. Es stellen sich also folgende Fragen: Sind alle Lieferanten und Dienstleister in der Lieferkette bekannt? Das gilt nicht nur für direkte Abhängigkeiten, sondern auch transiente Abhängigkeiten. Ist die gesamte Lieferkette so dokumentiert, dass man bei einer Lücke in einer genutzten Bibliothek direkt sagen kann, ob die eigene Software betroffen ist? Liegt es daran, dass Sie die Bibliothek direkt selbst verwenden oder an einer der temporären Abhängigkeiten?

Besonders bei Sicherheitsvorfällen rückt die „Integrität der Lieferkette“ schnell in den Fokus. Dann ist es wichtig, Verluste so schnell wie möglich einzugrenzen. Je nach Umgebung sind verschiedene technische Lösungen möglich z.B. (virtuelle) Patches, Updates von Software-Abhängigkeiten, SLAs mit Dienstleistern etc. Leider lässt das Interesse schnell nach, wenn das Schlimmste vorbei ist – was oft passiert, wenn „starke Schmerzen“ überwunden sind.

Es sollte jedem klar sein, dass die Integrität der Lieferkette nichts ist, was Unternehmen im schlimmsten Fall schnell mit einem technologischen „Pflaster“ in Ordnung bringen sollten. Stattdessen geht es darum, Prozesse (und technische Verfahren) einzurichten, die dabei helfen, die Integrität Ihrer eigenen Lieferkette effektiv zu verwalten. Dies führt häufig zu einer kleineren Angriffsfläche und zumindest zu einer besseren Datenbasis, was die manuelle Untersuchung im Falle eines Sicherheitsvorfalls reduziert. Leider ist die Einführung eines Prozesses zur Wahrung der Integrität der eigenen Softwarelieferkette oft langwierig, da es nicht nur um den technischen, sondern auch um den personellen und administrativen Schutz geht. Auch Know-how und Fachkräfte sind im Vergleich zur technischen IT-Sicherheit ein rares Gut.

Eine neue Ausgabe der NIST-Sonderveröffentlichung SP800-161r1, „Systems and Organizational Cybersecurity Supply Chain Risk Management Practices“, schließt diese Lücke. Darin finden Sie eine umfassende Einführung über den Hintergrund, die Mitwirkenden und die Implementierung einer sicheren Softwarelieferkette. Die hier dokumentierten Vorgehensweisen und Beispielszenarien geben einen hervorragenden Einblick in die Umsetzung und den Nutzen einer sicheren Software Supply Chain. 

Diese NIST-Veröffentlichung ist eine unschätzbare Ressource für alle, die die Integrität ihrer Lieferketten verbessern möchten. Die Erfahrung zeigt, dass sich Angreifer auf effektive Angriffsmodelle konzentrieren. Sicherheitsverantwortliche sollten sich also schon jetzt mit dem Schutz und der Dokumentation der Lieferkette befassen.