COMPAREX wird SoftwareONE. Ab dem 1. April wird die COMPAREX AG ihren Markenauftritt in SoftwareONE ändern. Die Markenkonsolidierung ist Teil eines laufenden Integrationsprozesses im Zuge des Erwerbs der COMPAREX AG durch SoftwareONE.

Cyber Security

Lieferketten schützen mit NIST

So schützen Sie Ihre Lieferkette vor Cyberangriffen mit NIST

Aus aktuellen Statistiken geht hervor: Kriminelle Hacker bevorzugen bei Ihren Angriffen immer öfter leichte Ziele wie Lieferketten von Firmen. Aus diesem Grund sollten IT-Security-Verantwortliche einen besonderen Fokus auf die Integrität ihrer Lieferketten setzen.

Bei genauerem Blick auf Cyber-Angriffe in der jüngeren Zeit wie z.B. Solarwinds oder Log4Shell wird deutlich, dass Unternehmen immer häufiger nicht mehr direkt angegriffen werden, sondern es die Angreifer stattdessen auf ihre (Software-)Lieferkette abgesehen haben. Dabei spielt es keine Rolle, ob das Opfer durch ein kompromittiertes Solarwinds-Update oder eine Schwachstelle in Log4Shell angegriffen wurde – in beiden Fällen ist die Softwarelieferkette auch die Infektionskette. Das heißt also, dass das Thema Integrität in der Lieferkette immer brisanter wird. Es stellen sich also folgende Fragen: Sind alle Lieferanten und Dienstleister in der Lieferkette bekannt? Das gilt nicht nur für direkte Abhängigkeiten, sondern auch transiente Abhängigkeiten. Ist die gesamte Lieferkette so dokumentiert, dass man bei einer Lücke in einer genutzten Bibliothek direkt sagen kann, ob die eigene Software betroffen ist? Liegt es daran, dass Sie die Bibliothek direkt selbst verwenden oder an einer der temporären Abhängigkeiten?

Besonders bei Sicherheitsvorfällen rückt die „Integrität der Lieferkette“ schnell in den Fokus. Dann ist es wichtig, Verluste so schnell wie möglich einzugrenzen. Je nach Umgebung sind verschiedene technische Lösungen möglich z.B. (virtuelle) Patches, Updates von Software-Abhängigkeiten, SLAs mit Dienstleistern etc. Leider lässt das Interesse schnell nach, wenn das Schlimmste vorbei ist – was oft passiert, wenn „starke Schmerzen“ überwunden sind.


Langfristige Lösungen statt Ad-hoc-Aktionen

Es sollte jedem klar sein, dass die Integrität der Lieferkette nichts ist, was Unternehmen im schlimmsten Fall schnell mit einem technologischen „Pflaster“ in Ordnung bringen sollten. Stattdessen geht es darum, Prozesse (und technische Verfahren) einzurichten, die dabei helfen, die Integrität Ihrer eigenen Lieferkette effektiv zu verwalten. Dies führt häufig zu einer kleineren Angriffsfläche und zumindest zu einer besseren Datenbasis, was die manuelle Untersuchung im Falle eines Sicherheitsvorfalls reduziert. Leider ist die Einführung eines Prozesses zur Wahrung der Integrität der eigenen Softwarelieferkette oft langwierig, da es nicht nur um den technischen, sondern auch um den personellen und administrativen Schutz geht. Auch Know-how und Fachkräfte sind im Vergleich zur technischen IT-Sicherheit ein rares Gut.

NIST unterstützt Sie bei dieser Aufgabe

Eine neue Ausgabe der NIST-Sonderveröffentlichung SP800-161r1, „Systems and Organizational Cybersecurity Supply Chain Risk Management Practices“, schließt diese Lücke. Darin finden Sie eine umfassende Einführung über den Hintergrund, die Mitwirkenden und die Implementierung einer sicheren Softwarelieferkette. Die hier dokumentierten Vorgehensweisen und Beispielszenarien geben einen hervorragenden Einblick in die Umsetzung und den Nutzen einer sicheren Software Supply Chain. 

Fazit

Diese NIST-Veröffentlichung ist eine unschätzbare Ressource für alle, die die Integrität ihrer Lieferketten verbessern möchten. Die Erfahrung zeigt, dass sich Angreifer auf effektive Angriffsmodelle konzentrieren. Sicherheitsverantwortliche sollten sich also schon jetzt mit dem Schutz und der Dokumentation der Lieferkette befassen.

Cyber-Angriffe erkennen und abwehren mit Managed Detection & Response

Die Security-Experten von SoftwareONE unterstützen Sie rund um die Uhr bei der Erkennung von Cyber-Angriffen sowie der Untersuchung und Eindämmung von potentiellen Bedrohungen, um schädliche Auswirkungen zu minimieren und zukünftige Angriffe zu verhindern. Mit dem Full Managed Service „Managed Detection & Response“ übernimmt SoftwareONE Ihr Security Management für die gesamte Infrastruktur.

Die technische Grundlage bildet modernste Technologie von Trend Micro. SoftwareONE pflegt eine langjährige enge Partnerschaft und ist in Deutschland Trend Micro Gold Accredited Partner. 

Mehr erfahren
trend-micro-gold-partner
  • Managed Security

Kommentieren Sie diesen Artikel

Hinterlassen Sie einen Kommentar, um uns mitzuteilen, was Sie von diesem Thema halten!

Kommentar hinterlassen

Autor

SoftwareONE Redaktionsteam

Trend Scouts

IT Trends und branchenbezogene Neuigkeiten

Verwandte Artikel

Was sich hinter MDR verbirgt!

Finden Sie heraus, wie Sie mit Managed Detection and Response die Cybersicherheit in Ihrem Unternehmen verbessern können.

  • 20 Dezember 2022
  • SoftwareONE Redaktionsteam
  • Managed Security, Cybersecurity
  • Microsoft 365

Backup für Microsoft 365

Worauf sollten Sie bei der Wiederherstellung Ihrer Microsoft-365-Daten achten und was sollte eine Backup-Lösung unbedingt können?

  • 01 Dezember 2022
  • SoftwareONE Redaktionsteam
  • Managed Security, Cybersecurity

Die häufigsten Hacker-Methoden 2022

Ransomware, Cryptomining und Co: Das waren die „beliebtesten“ Angriffsmethoden von Cyberkriminellen dieses Jahr.