Aktuelles, Branche, Studien - geschrieben von dp am Montag, Mai 13, 2024 20:46 - noch keine Kommentare
Blinder Fleck der Cybersecurity: Software-Lieferketten als Einfallstor
Eine große Mehrheit der Unternehmen hatte einen Cyber-Vorfall innerhalb der vergangenen zwölf Monate
[datensicherheit.de, 13.05.2024] Laut einer aktuellen BlackBerry-Studie werden deutsche Unternehmen immer wieder von Lücken in und Angriffen auf ihre Software-Lieferkette überrascht. Diese basiert demnach auf einer Umfrage unter hundert deutschen IT- und Cybersecurity-Entscheidern. In den vergangenen zwölf Monaten hätten 81 Prozent der befragten Unternehmen einen Angriff auf oder eine Schwachstelle innerhalb ihrer Software-Lieferkette festgestellt. „Ein erfolgreicher Angriff kann schwerwiegende Folgen für das Geschäft haben!“
Cyber-Angriffe auf deutsche Unternehmen jeder Größe keine Seltenheit mehr
Angriffe auf deutsche Unternehmen jeder Größe seien keine Seltenheit und die meisten Entscheider verfolgten bereits eine Strategie, um sich abzusichern. Dennoch zeige diese neue Studie, „dass die Software-Lieferkette ein Blinder Fleck in der Sicherheitsstrategie der meisten Unternehmen darstellt“. Denn knapp vier von fünf Unternehmen (79%) seien im vergangenen Jahr – 2023 – auf einen Teil ihrer Software-Lieferkette aufmerksam gemacht worden, „der ihnen vorher unbekannt und der ungeschützt war“. Die größten Gefahrenpotenziale bergen laut BlackBerry Schwachstellen in Web-Browsern (30%) und Betriebssystemen (27%).
„Ein besorgniserregender toter Winkel, denn die Befragten berichten von ernsten Konsequenzen.“ Die meisten seien Opfer von Datenverlust (57%), hätten finanzielle Einbußen erlebt (53%) und den Verlust von Geistigem Eigentum (51%). Hinzu kämen die Beeinträchtigung des Geschäfts (47%) und ein Reputationsschaden (40%). Um sich vollständig von einem Angriff zu erholen, bräuchten 59 Prozent der Unternehmen meistens länger als eine Woche.
SBOM hilft Unternehmen, Cyber-Schwachstellen in der Software-Lieferkette zu ermitteln
Aus dieser Studie gehe hervor, dass Entscheider vor allem auf Datenverschlüsselung (54%), Schulungen für Mitarbeiter zum Sicherheitsbewusstsein (39%) und eine „Vulnerability Disclosure Policy“ (39%) setzten, um ihre Software-Versorgungskette abzusichern. Eine „Vulnerability Disclosure Policy“ solle festlegen, „wie ein Ethischer Hacker seine Informationen über entdeckte Schwachstellen in Systemen ermitteln und weitergeben soll“.
Eine sehr effektive Methode, um einem Angriff vorzubeugen, nutzten lediglich knapp ein Drittel der befragten – die „Software Bill of Materials“ (SBOM) werde nur von 34 Prozent der Unternehmen eingesetzt. In einer solchen Digitalen Stückliste seien alle eingekauften oder verwendeten Software-Bausteine aufzuführen. Eine SBOM erlaube es schnell und einfach, einen Überblick über die eigene Software zu erhalten, „sie zu auf Schwachstellen hin zu untersuchen und die Cyber-Sicherheit auszubauen“. Die Lösung erlaube es Akteuren, „Licht in die Dunkelstellen ihrer Lieferketten zu bringen“.
Unternehmen können SBOM mit modernen Lösungen automatisch erstellen und wirksam ihre Cyber-Sicherheit stärken
„Auf die Frage, warum die Unternehmen eine Lösung nicht einsetzen, die ihre Cyber-Sicherheitslage verbessern kann, machten die Umfrageteilnehmer ein mangelndes technisches Verständnis (39%), den Fachkräftemangel (37%) und das Fehlen wirksamer Tools (34%) verantwortlich.“ Es fehle den Unternehmen sowohl an den nötigen Arbeitsstunden als auch an dem nötigen Wissen, um die Software-Lieferkette abzusichern.
Moderne Lösungen leisteten einen wichtigen Beitrag, um zuverlässig eine SBOM automatisch zu erstellen. Sie dienten zudem häufig dazu, Software auf Schwachstellen und handwerkliche Fehler zu überprüfen. „Dank ihrer Genauigkeit vermeiden die Lösungen dabei ,False Positives’, was viel Aufwand und Zeit spart.“ Unternehmen hätten mit Lösungen dieser Art die Chance, wirksam ihre Cyber-Sicherheit zu stärken, ohne sich vom Fachkräftemangel und fehlendem Know-how ausbremsen zu lassen. „Die Studie zeigt, dass bisher nicht einmal jedes fünfte Unternehmen diesen Weg geht.“
Software-Lieferkette als Einfallstor für Cyber-Angreifer gilt es ernstzunehmen
Der kommende Cyber-Sicherheitsstandart NIS-2 trete im Oktober 2024 in Kraft und doch zeige der Report, dass sich ein Graben zwischen Vorgaben und der Prioritäten der Studienteilnehmer auftue. 64 Prozent der befragten Unternehmen in der Deutschland müssten sich an die kommenden Vorgaben halten und 54 Prozent fühlten sich „sehr gut“ oder „gut“ auf die neuen Richtlinien vorbereitet. NIS-2 gebe vor, dass betroffene Unternehmen den Behörden innerhalb von 24 Stunden nach einem Angriff diesen melden müssten. Trotzdem gebt die große Mehrheit der Unternehmen (71%) an, das sie mehr als einen Tag benötigten, um eine Sicherheitslücke zu identifizieren. „Damit würden sie die Standards nicht erfüllen und stehen etwaigen Konsequenzen gegenüber.“
Auf lokale Unternehmen kämen somit große Sicherheitsherausforderungen zu. Die Software-Lieferkette sei ein Einfallstor für Angreifer, welches die meisten Entscheider bis jetzt vernachlässigten. Eine SBOM sei eine zuverlässige Sicherheitsmaßnahme, welche vielen Organisationen helfen könne, sich trotz des Fachkräftemangels abzusichern.
Weitere Informationen zum Thema:
datensicherheit.de, 07.05.2024
Cyber Resilience Act: Verstöße können Unternehmen CE-Kennzeichnung kosten / Hersteller, Importeure und Händler sollten umgehend cyber-sicherheitskonforme Prozesse schaffen und automatisieren
datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zur Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf
datensicherheit.de, 01.06.2023
Neuer TeleTrusT-Leitfaden: Cloud Supply Chain Security / TeleTrusT warnt vor Attacken über vertrauenswürdig eingestufte Komponenten und IT-Services Dritter
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren