Aktuelles - geschrieben von cp am Mittwoch, September 19, 2018 16:22 - noch keine Kommentare
Risikomanagement senkt Gefahren durch Drittanbieter-Software
Unternehmen nutzen durch die Digitalisierung immer mehr Software von Drittanbietern / Risikomanagement-Strategie ist notwendig
Von unserem Gastautor Dr. Johannes Bauer, Principal Security Advisor, UL
[datensicherheit.de, 19.09.2018] Mitte Juni 2018 meldete das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Cyberangriff: Deutsche Unternehmen aus der Energiewirtschaftsbranche seien Ziel einer großangelegten weltweiten Cyber-Angriffskampagne. Eine solche Attacke kann wie 2015 in der Ukraine großflächige Stromausfälle zur Folge haben, sie ist allerdings nur die Spitze des Eisbergs.
Mehrere bekanntgewordene erfolgreiche Cyberangriffe
Bereits 2014 gab es einen gezielten Angriff auf ein deutsches Stahlwerk, sodass ein Hochofen nicht mehr abgeschaltet werden konnte. 2016 haben sich Unbekannte Zugang zum Swift-System der Banken verschafft und konnten 82 Millionen US-Dollar erbeuten. Im selben Jahr wurde bekannt, dass die Steuerungssysteme einiger Wasserwerke frei im Internet zugänglich waren.
Risiken in der Software-Lieferkette
Da Industriesteuerungen zumeist für Fernzugriffe eingerichtet sind, suchen Cyberkriminelle gezielt nach offenen Zugängen oder Sicherheitslücken in den Administrations-Tools. Solche Drittanbieter-Software wird von vielen Herstellern angeboten und von Unternehmen in großer Zahl eingesetzt. Beispiele sind Betriebssysteme, Standard-Software für die Produktionssteuerung, Office Anwendungen, Device Management Software, Webserver oder Browser.
Die meisten der heute genutzten Softwarepakete integrieren eine Vielzahl fremder Module und Codebibliotheken. Vor allem im Bereich des industriellen Internet der Dinge oder Industrie 4.0 erfüllen sie Aufgaben wie etwa den Aufbau von Verbindungen, die Übertragung und Verschlüsselung von Daten, die Ansteuerung von Sensoren oder Aktoren und vieles mehr. Unternehmen sind auf Produkte und Komponenten von Fremdherstellern angewiesen, sodass sie von bisher unbekannten Schwachstellen ausgehen müssen.
Sie werden für die Unternehmen zu einem Risiko, das eingeschätzt und durch geeignete Maßnahmen begrenzt werden muss. Zudem potenziert sich das Risiko, da die Softwareanbieter häufig ebenfalls Module von Dritten nutzen. Leider ist nicht immer auf Anhieb erkennbar, ob bekannte Sicherheitslücken auch tatsächlich geschlossen worden sind. Eine Software-Qualitätskontrolle ist in dieser Gemengelage schwierig, da es keine standardisierte Metrik für die Messung der Qualität von Cybersecurity-Maßnahmen gibt. Die Unternehmen müssen sich also auf die Anbieter verlassen oder eine eigene Bewertung durchführen.
Strategie für das Risikomanagement entscheidend
Entscheidend ist eine Strategie für das Risikomanagement zur Beurteilung und Kontrolle von Softwareprodukten und Drittanbieter-Komponenten. Eine große Hilfe dabei ist die Normenreihe UL 2900. Sie bietet einen effektiven und effizienten Rahmen für die Beurteilung des Gesamtkonzepts eines Unternehmens für die Softwaresicherheit sowie Identifizierung von spezifischen Schwachstellen einzelner Software-Produkte und -Komponenten von Drittanbietern. Mit ihrer Hilfe können Unternehmen einige allgemein anwendbare Prinzipien und Best Practices umsetzen, die in den folgenden Absätzen vorgestellt werden.
Best Practices für das Risikomanagement
- Sicherheitsvorgaben: Unternehmen sollten formale Sicherheitsvorgaben und-Anforderungen definieren, die dann für alle Softwareprodukte und -Komponenten von Drittanbietern gelten und in Ausschreibungen oder Lieferantenvereinbarung aufgenommen werden sollten.
- Beschaffungsrichtlinie: Jedes Unternehmen kann in einer Beschaffungsrichtlinie Kriterien für die Aufnahme in das Lieferantenverzeichnis definieren. Entscheidend ist dabei eine unabhängige Validierung der Software von Drittanbietern für einen ausreichenden Schutz vor Sicherheitsmängeln und -lücken.
- Lieferantenprüfung: Jeder neue Lieferant in der Software-Lieferkette sollte zunächst eine Due-Diligence-Prüfung bestehen. Darin wird ermittelt, ob der Lieferant angemessene Sicherheitsvorkehrungen umsetzt, mit denen die Sicherheitsrisiken seiner Software oder Komponente gesenkt werden. Regelmäßige Follow-up-Audits stellen sicher, dass Änderungen an der Software das Sicherheitsniveau erhalten.
- Software-Verifizierung: Regelmäßige Tests von Softwareprodukten und -Komponenten stellen sicher, dass die Sicherheitsregeln des Unternehmens eingehalten werden. Sie sollten dabei automatisiert sein, um das Risiko von Fehlern zu senken.
- Aktualisierungen: Das Unternehmen sollte formale Prozesse besitzen, mit denen eine regelmäßige Aktualisierung von Software-Anwendungen sichergestellt wird. Dazu gehört auch das Ausbringen von Security-Patches, um den Schutz vor neu identifizierten Bedrohungen sicherzustellen.
- Track & Trace-Programme: Mit Track & Trace-Programmen werden die Quellen (Herausgeber) aller Anwendungen, Komponenten und Codebibliotheken erfasst und überwacht. Dadurch ist ein effizienter Zugriff auf Updates und Patches möglich.
- Zugangsbeschränkungen: Einzelne Anbieter in der Software-Lieferkette sollten nur Informationen nach dem Need-to-Know-Prinzip (Kenntnis nur bei Bedarf) erhalten, so dass Angaben über die gesamte Softwarestrategie des Unternehmens sowie aktuelle oder geplante Systeme geschützt sind.
- Lieferantenrichtlinien: Hilfreich sind auch klare Richtlinien für die Anbieter mit eindeutig festgelegten Konsequenzen bei Nichteinhaltung der Vorgaben oder der Verwendung gefälschter Software.
- Mitarbeiterschulung: Alle Mitarbeiter sollten fortlaufend und regelmäßig geschult werden, so dass „Awareness“ für Sicherheitspraktiken erzeugt wird.
Diese Best Practices helfen Unternehmen zusammen mit den UL-Normen dabei, Sicherheitsrisiken durch Länge und Umfang der Software-Lieferkette weitgehend zu entschärfen.
Dr. Johannes Bauer, Principal Security Advisor, UL
Johannes Bauer ist promovierter Informatiker und arbeitet als Principal Security Advisor bei UL in Frankfurt. Seit mehr als zehn Jahren beschäftigt er sich mit der IT-Security, insbesondere im Umfeld der Elektromobilität sowie der Smart-Home-Systeme. Er verfügt über detaillierte Kenntnisse im Hinblick auf physische Bedrohungen eingebetteter Systeme sowohl invasiv als auch non-invasiv und hat eine Vielzahl von Beiträgen über Mitigationsstrategien zu deren Bekämpfung veröffentlicht. Daneben führte er regelmäßig Workshops zum Thema angewandte Kryptographie sowie Bedrohungs- und Risikoanalysen durch und arbeitete als Consultant für IT-Sicherheit.
Weitere Informationen zum Thema:
UL
Sicherheit vernetzter Produkte rund um die Industrie 4.0
datensicherheit.de, 17.08.2018
UL eröffnet Cybersecurity-Labor in Frankfurt / Main
datensicherheit.de, 17.08.2018
Fertigungsindustrie: Cybersicherheit als zentrale Herausforderung
datensicherheit.de, 03.08.2018
IT trifft OT – Cyberangriffe auf industrielle Umgebungen
datensicherheit.de, 30.07.2018
Studie: Unternehmen vernachlässigen IoT-Sicherheit
datensicherheit.de, 25.07.2018
SANS-Studie: Cybersicherheit im IIoT bedroht
Aktuelles, Experten - Juli 10, 2025 7:15 - noch keine Kommentare
Bitkom-Transparenzbericht 2025 veröffentlicht
weitere Beiträge in Experten
- Urlaubsfotos in Sozialen Medien: Nur fünf Prozent machen Kindergesichter unkenntlich
- Blaupause für Deutschland: Hessens Rechenzentren-Strategie als Vorbild
- VDI-Forderung nach gezielter KI-Kompetenz für Ingenieurarbeit
- NIS-2: Vereinheitlichung der Meldewege für IT-Sicherheitsvorfälle und Datenpannen gefordert
- NIS-2: DAV-Forderung nach Einbindung der Cloud-Anbieter
Aktuelles, Branche, Studien - Juli 11, 2025 1:10 - noch keine Kommentare
Online-Betrug in Deutschland: 10,6 Milliarden Euro Verlust in zwölf Monaten
weitere Beiträge in Branche
- Dragos’ Ransomware-Analyse: 68 Prozent der Angriffe im ersten Quartal 2025 trafen die Fertigung
- KI droht zur größten Cyberbedrohung zu werden
- Schutz vor Auswirkungen von GNSS-Störungen: Kevin Heneka begrüßt EU-Vorschlag
- DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
- ePA-Einführung voraus – doch Gesundheitsdienstleister kämpfen noch immer mit IT-Problemen
Aktuelles, Branche, Umfragen - Juli 9, 2025 19:03 - noch keine Kommentare
DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
weitere Beiträge in Service
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
Kommentieren