Neuer TeleTrusT-Leitfaden: Cloud Supply Chain Security

TeleTrusT warnt vor Attacken über vertrauenswürdig eingestufte Komponenten und IT-Services Dritter

[datensicherheit.de, 01.06.2023] Sogennannte Supply-Chain-Attacken haben in letzter Zeit deutlich zugenommen und betreffen auch bekannte Unternehmen, meldet der Bundesverband IT-Sicherheit e.V. (TeleTrusT). Solche Attacken erfolgten über vertrauenswürdig eingestufte Komponenten und IT-Services Dritter und seien daher von Anwendern schwer zu verhindern. Ein jetzt veröffentlichter TeleTrusT-Leitfaden beschreibt demnach neben der „Software Bill of Materials“ (SBOM) weitere Schutzmaßnahmen, welche von Anwenderunternehmen zur Verbesserung der „Cloud Supply Chain Security“ getroffen werden könnten.

Abbildung: TeleTrusT

Neuer TeleTrusT-Leitfaden beschreibt Software Bill of Materials (SBOM) sowie weitere Schutzmaßnahmen

Schwache Anwender-Postion laut TeleTrusT inakzeptabler Zustand

„In der IT ist die ,Supply Chain’ die Lieferkette aller Teilprodukte und Lieferungen, aus denen sich ein IT-Service oder eine Anwendung zusammensetzt.“

Für jede Art von Software, aber insbesondere für „Cloud“-Dienste, bestehe eine solche Lieferkette aus unzähligen Lieferanten und solchen Produkten, welche entweder direkt oder indirekt genutzt werden oder zur Erstellung oder Ausführung der Teile beitragen.

Im besten Fall werde der Produzent oder Anbieter der Teile die direkt genutzten Komponenten selbst auf Sicherheitseigenschaften überprüfen. Der Anwender habe aber normalerweise weder die Möglichkeit, die Nutzung einer betroffenen Komponente festzustellen, noch auf eine Behebung von Schwachstellen hinzuwirken – „ein inakzeptabler Zustand“.

TeleTrusT empfiehlt Software Bill of Materials – eine Aufstellung aller Komponenten einer Software-Anwendung

Um das Problem der mangelnden Transparenz zu lösen, führt laut TeleTrusT der Weg über die „Software Bill of Materials“ (SBOM): „Eine SBOM ist eine Aufstellung aller Komponenten, die in einer Software-Anwendung enthalten sind.“

Wenn neue Erkenntnisse zu Fehlern und Schwachstellen in diesen Komponenten auftauchen, könnten Anwender schnell ermitteln, ob sie möglicherweise betroffen sind und die von ihnen genutzten Anwendungen gefährdet sind.

Es werde erwartet, „dass sich die Bereitstellung von SBOMs durch Lieferanten und Betreiber von Software und Services zum Marktstandard entwickelt“.

Oliver Dehning, Leiter der TeleTrusT-AG Cloud Security kommentiert

„Aktuelle ,Software Bill of Materials’ (Software-Stücklisten, SBOM) sind die Basis für mehr Transparenz in der ,Cloud Supply Chain’ und damit für mehr Sicherheit bei der Nutzung von ,Cloud’-Services“, erläutert Oliver Dehning, Leiter der TeleTrusT-AG „Cloud Security“.

Anwender könnten einen erheblichen Beitrag zur Verbesserung der Sicherheit in ihrer „Cloud Supply Chain“ leisten, wenn sie die Bereitstellung von SBOMs durch Provider in ihren Anforderungskatalog aufnehmen.

Dehning rät abschließend: „Provider sollten ihrerseits ihren Anwendern diese Informationen zur Verfügung stellen und damit aktives Management von Cyber-Sicherheit auch in der ,Cloud’ ermöglichen.“

Weitere Informationen zum Thema:

Bundesverband IT-Sicherheit e.V. TeleTrusT
Cloud Supply Chain Security / Leitfaden für Schutzmaßnahmen 2023