Blinder Fleck der Cybersecurity: Software-Lieferketten als Einfallstor

Eine große Mehrheit der Unternehmen hatte einen Cyber-Vorfall innerhalb der vergangenen zwölf Monate

[datensicherheit.de, 13.05.2024] Laut einer aktuellen BlackBerry-Studie werden deutsche Unternehmen immer wieder von Lücken in und Angriffen auf ihre Software-Lieferkette überrascht. Diese basiert demnach auf einer Umfrage unter hundert deutschen IT- und Cybersecurity-Entscheidern. In den vergangenen zwölf Monaten hätten 81 Prozent der befragten Unternehmen einen Angriff auf oder eine Schwachstelle innerhalb ihrer Software-Lieferkette festgestellt. „Ein erfolgreicher Angriff kann schwerwiegende Folgen für das Geschäft haben!“

Cyber-Angriffe auf deutsche Unternehmen jeder Größe keine Seltenheit mehr

Angriffe auf deutsche Unternehmen jeder Größe seien keine Seltenheit und die meisten Entscheider verfolgten bereits eine Strategie, um sich abzusichern. Dennoch zeige diese neue Studie, „dass die Software-Lieferkette ein Blinder Fleck in der Sicherheitsstrategie der meisten Unternehmen darstellt“. Denn knapp vier von fünf Unternehmen (79%) seien im vergangenen Jahr – 2023 – auf einen Teil ihrer Software-Lieferkette aufmerksam gemacht worden, „der ihnen vorher unbekannt und der ungeschützt war“. Die größten Gefahrenpotenziale bergen laut BlackBerry Schwachstellen in Web-Browsern (30%) und Betriebssystemen (27%).

„Ein besorgniserregender toter Winkel, denn die Befragten berichten von ernsten Konsequenzen.“ Die meisten seien Opfer von Datenverlust (57%), hätten finanzielle Einbußen erlebt (53%) und den Verlust von Geistigem Eigentum (51%). Hinzu kämen die Beeinträchtigung des Geschäfts (47%) und ein Reputationsschaden (40%). Um sich vollständig von einem Angriff zu erholen, bräuchten 59 Prozent der Unternehmen meistens länger als eine Woche.

SBOM hilft Unternehmen, Cyber-Schwachstellen in der Software-Lieferkette zu ermitteln

Aus dieser Studie gehe hervor, dass Entscheider vor allem auf Datenverschlüsselung (54%), Schulungen für Mitarbeiter zum Sicherheitsbewusstsein (39%) und eine „Vulnerability Disclosure Policy“ (39%) setzten, um ihre Software-Versorgungskette abzusichern. Eine „Vulnerability Disclosure Policy“ solle festlegen, „wie ein Ethischer Hacker seine Informationen über entdeckte Schwachstellen in Systemen ermitteln und weitergeben soll“.

Eine sehr effektive Methode, um einem Angriff vorzubeugen, nutzten lediglich knapp ein Drittel der befragten – die „Software Bill of Materials“ (SBOM) werde nur von 34 Prozent der Unternehmen eingesetzt. In einer solchen Digitalen Stückliste seien alle eingekauften oder verwendeten Software-Bausteine aufzuführen. Eine SBOM erlaube es schnell und einfach, einen Überblick über die eigene Software zu erhalten, „sie zu auf Schwachstellen hin zu untersuchen und die Cyber-Sicherheit auszubauen“. Die Lösung erlaube es Akteuren, „Licht in die Dunkelstellen ihrer Lieferketten zu bringen“.

Unternehmen können SBOM mit modernen Lösungen automatisch erstellen und wirksam ihre Cyber-Sicherheit stärken

„Auf die Frage, warum die Unternehmen eine Lösung nicht einsetzen, die ihre Cyber-Sicherheitslage verbessern kann, machten die Umfrageteilnehmer ein mangelndes technisches Verständnis (39%), den Fachkräftemangel (37%) und das Fehlen wirksamer Tools (34%) verantwortlich.“ Es fehle den Unternehmen sowohl an den nötigen Arbeitsstunden als auch an dem nötigen Wissen, um die Software-Lieferkette abzusichern.

Moderne Lösungen leisteten einen wichtigen Beitrag, um zuverlässig eine SBOM automatisch zu erstellen. Sie dienten zudem häufig dazu, Software auf Schwachstellen und handwerkliche Fehler zu überprüfen. „Dank ihrer Genauigkeit vermeiden die Lösungen dabei ,False Positives’, was viel Aufwand und Zeit spart.“ Unternehmen hätten mit Lösungen dieser Art die Chance, wirksam ihre Cyber-Sicherheit zu stärken, ohne sich vom Fachkräftemangel und fehlendem Know-how ausbremsen zu lassen. „Die Studie zeigt, dass bisher nicht einmal jedes fünfte Unternehmen diesen Weg geht.“

Software-Lieferkette als Einfallstor für Cyber-Angreifer gilt es ernstzunehmen

Der kommende Cyber-Sicherheitsstandart NIS-2 trete im Oktober 2024 in Kraft und doch zeige der Report, dass sich ein Graben zwischen Vorgaben und der Prioritäten der Studienteilnehmer auftue. 64 Prozent der befragten Unternehmen in der Deutschland müssten sich an die kommenden Vorgaben halten und 54 Prozent fühlten sich „sehr gut“ oder „gut“ auf die neuen Richtlinien vorbereitet. NIS-2 gebe vor, dass betroffene Unternehmen den Behörden innerhalb von 24 Stunden nach einem Angriff diesen melden müssten. Trotzdem gebt die große Mehrheit der Unternehmen (71%) an, das sie mehr als einen Tag benötigten, um eine Sicherheitslücke zu identifizieren. „Damit würden sie die Standards nicht erfüllen und stehen etwaigen Konsequenzen gegenüber.“

Auf lokale Unternehmen kämen somit große Sicherheitsherausforderungen zu. Die Software-Lieferkette sei ein Einfallstor für Angreifer, welches die meisten Entscheider bis jetzt vernachlässigten. Eine SBOM sei eine zuverlässige Sicherheitsmaßnahme, welche vielen Organisationen helfen könne, sich trotz des Fachkräftemangels abzusichern.

Weitere Informationen zum Thema:

datensicherheit.de, 07.05.2024
Cyber Resilience Act: Verstöße können Unternehmen CE-Kennzeichnung kosten / Hersteller, Importeure und Händler sollten umgehend cyber-sicherheitskonforme Prozesse schaffen und automatisieren

datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zur Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf

datensicherheit.de, 01.06.2023
Neuer TeleTrusT-Leitfaden: Cloud Supply Chain Security / TeleTrusT warnt vor Attacken über vertrauenswürdig eingestufte Komponenten und IT-Services Dritter