Aktuelles, Experten - geschrieben von dp am Donnerstag, Juni 1, 2023 21:05 - noch keine Kommentare
Neuer TeleTrusT-Leitfaden: Cloud Supply Chain Security
TeleTrusT warnt vor Attacken über vertrauenswürdig eingestufte Komponenten und IT-Services Dritter
[datensicherheit.de, 01.06.2023] Sogennannte Supply-Chain-Attacken haben in letzter Zeit deutlich zugenommen und betreffen auch bekannte Unternehmen, meldet der Bundesverband IT-Sicherheit e.V. (TeleTrusT). Solche Attacken erfolgten über vertrauenswürdig eingestufte Komponenten und IT-Services Dritter und seien daher von Anwendern schwer zu verhindern. Ein jetzt veröffentlichter TeleTrusT-Leitfaden beschreibt demnach neben der „Software Bill of Materials“ (SBOM) weitere Schutzmaßnahmen, welche von Anwenderunternehmen zur Verbesserung der „Cloud Supply Chain Security“ getroffen werden könnten.
Neuer TeleTrusT-Leitfaden beschreibt Software Bill of Materials (SBOM) sowie weitere Schutzmaßnahmen
Schwache Anwender-Postion laut TeleTrusT inakzeptabler Zustand
„In der IT ist die ,Supply Chain’ die Lieferkette aller Teilprodukte und Lieferungen, aus denen sich ein IT-Service oder eine Anwendung zusammensetzt.“
Für jede Art von Software, aber insbesondere für „Cloud“-Dienste, bestehe eine solche Lieferkette aus unzähligen Lieferanten und solchen Produkten, welche entweder direkt oder indirekt genutzt werden oder zur Erstellung oder Ausführung der Teile beitragen.
Im besten Fall werde der Produzent oder Anbieter der Teile die direkt genutzten Komponenten selbst auf Sicherheitseigenschaften überprüfen. Der Anwender habe aber normalerweise weder die Möglichkeit, die Nutzung einer betroffenen Komponente festzustellen, noch auf eine Behebung von Schwachstellen hinzuwirken – „ein inakzeptabler Zustand“.
TeleTrusT empfiehlt Software Bill of Materials – eine Aufstellung aller Komponenten einer Software-Anwendung
Um das Problem der mangelnden Transparenz zu lösen, führt laut TeleTrusT der Weg über die „Software Bill of Materials“ (SBOM): „Eine SBOM ist eine Aufstellung aller Komponenten, die in einer Software-Anwendung enthalten sind.“
Wenn neue Erkenntnisse zu Fehlern und Schwachstellen in diesen Komponenten auftauchen, könnten Anwender schnell ermitteln, ob sie möglicherweise betroffen sind und die von ihnen genutzten Anwendungen gefährdet sind.
Es werde erwartet, „dass sich die Bereitstellung von SBOMs durch Lieferanten und Betreiber von Software und Services zum Marktstandard entwickelt“.
Oliver Dehning, Leiter der TeleTrusT-AG Cloud Security kommentiert
„Aktuelle ,Software Bill of Materials’ (Software-Stücklisten, SBOM) sind die Basis für mehr Transparenz in der ,Cloud Supply Chain’ und damit für mehr Sicherheit bei der Nutzung von ,Cloud’-Services“, erläutert Oliver Dehning, Leiter der TeleTrusT-AG „Cloud Security“.
Anwender könnten einen erheblichen Beitrag zur Verbesserung der Sicherheit in ihrer „Cloud Supply Chain“ leisten, wenn sie die Bereitstellung von SBOMs durch Provider in ihren Anforderungskatalog aufnehmen.
Dehning rät abschließend: „Provider sollten ihrerseits ihren Anwendern diese Informationen zur Verfügung stellen und damit aktives Management von Cyber-Sicherheit auch in der ,Cloud’ ermöglichen.“
Weitere Informationen zum Thema:
Bundesverband IT-Sicherheit e.V. TeleTrusT
Cloud Supply Chain Security / Leitfaden für Schutzmaßnahmen 2023
Aktuelles, Experten - Okt 11, 2024 19:58 - noch keine Kommentare
Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
weitere Beiträge in Experten
- BigBrotherAwards 2024 an Deutsche Bahn, Karl Lauterbach, Sachsens Innenminister, Shein und Temu sowie Technikpaternalismus
- Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
Aktuelles, Branche - Okt 10, 2024 19:38 - noch keine Kommentare
Open Source Software – unbestreitbare Vorteile sowie Risiken
weitere Beiträge in Branche
- Kritische Sicherheitslücken im Linux-CUPS-System erfordern umgehende Maßnahmen
- SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie
- Präsidentschaftswahlen in den USA 2024: Wahl-Phishing auf dem Vormarsch
- Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe
- Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren