Risikomanagement senkt Gefahren durch Drittanbieter-Software

Unternehmen nutzen durch die Digitalisierung immer mehr Software von Drittanbietern / Risikomanagement-Strategie ist notwendig

Von unserem Gastautor Dr. Johannes Bauer, Principal Security Advisor, UL

[datensicherheit.de, 19.09.2018] Mitte Juni 2018 meldete das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Cyberangriff: Deutsche Unternehmen aus der Energiewirtschaftsbranche seien Ziel einer großangelegten weltweiten Cyber-Angriffskampagne. Eine solche Attacke kann wie 2015 in der Ukraine großflächige Stromausfälle zur Folge haben, sie ist allerdings nur die Spitze des Eisbergs.

Mehrere bekanntgewordene erfolgreiche Cyberangriffe

Bereits 2014 gab es einen gezielten Angriff auf ein deutsches Stahlwerk, sodass ein Hochofen nicht mehr abgeschaltet werden konnte. 2016 haben sich Unbekannte Zugang zum Swift-System der Banken verschafft und konnten 82 Millionen US-Dollar erbeuten. Im selben Jahr wurde bekannt, dass die Steuerungssysteme einiger Wasserwerke frei im Internet zugänglich waren.

Risiken in der Software-Lieferkette

Da Industriesteuerungen zumeist für Fernzugriffe eingerichtet sind, suchen Cyberkriminelle gezielt nach offenen Zugängen oder Sicherheitslücken in den Administrations-Tools. Solche Drittanbieter-Software wird von vielen Herstellern angeboten und von Unternehmen in großer Zahl eingesetzt. Beispiele sind Betriebssysteme, Standard-Software für die Produktionssteuerung, Office Anwendungen, Device Management Software, Webserver oder Browser.

Die meisten der heute genutzten Softwarepakete integrieren eine Vielzahl fremder Module und Codebibliotheken. Vor allem im Bereich des industriellen Internet der Dinge oder Industrie 4.0 erfüllen sie Aufgaben wie etwa den Aufbau von Verbindungen, die Übertragung und Verschlüsselung von Daten, die Ansteuerung von Sensoren oder Aktoren und vieles mehr. Unternehmen sind auf Produkte und Komponenten von Fremdherstellern angewiesen, sodass sie von bisher unbekannten Schwachstellen ausgehen müssen.

Sie werden für die Unternehmen zu einem Risiko, das eingeschätzt und durch geeignete Maßnahmen begrenzt werden muss. Zudem potenziert sich das Risiko, da die Softwareanbieter häufig ebenfalls Module von Dritten nutzen. Leider ist nicht immer auf Anhieb erkennbar, ob bekannte Sicherheitslücken auch tatsächlich geschlossen worden sind. Eine Software-Qualitätskontrolle ist in dieser Gemengelage schwierig, da es keine standardisierte Metrik für die Messung der Qualität von Cybersecurity-Maßnahmen gibt. Die Unternehmen müssen sich also auf die Anbieter verlassen oder eine eigene Bewertung durchführen.

Strategie für das Risikomanagement entscheidend

Entscheidend ist eine Strategie für das Risikomanagement zur Beurteilung und Kontrolle von Softwareprodukten und Drittanbieter-Komponenten. Eine große Hilfe dabei ist die Normenreihe UL 2900. Sie bietet einen effektiven und effizienten Rahmen für die Beurteilung des Gesamtkonzepts eines Unternehmens für die Softwaresicherheit sowie Identifizierung von spezifischen Schwachstellen einzelner Software-Produkte und -Komponenten von Drittanbietern. Mit ihrer Hilfe können Unternehmen einige allgemein anwendbare Prinzipien und Best Practices umsetzen, die in den folgenden Absätzen vorgestellt werden.

Best Practices für das Risikomanagement

• Sicherheitsvorgaben: Unternehmen sollten formale Sicherheitsvorgaben und-Anforderungen definieren, die dann für alle Softwareprodukte und -Komponenten von Drittanbietern gelten und in Ausschreibungen oder Lieferantenvereinbarung aufgenommen werden sollten.
• Beschaffungsrichtlinie: Jedes Unternehmen kann in einer Beschaffungsrichtlinie Kriterien für die Aufnahme in das Lieferantenverzeichnis definieren. Entscheidend ist dabei eine unabhängige Validierung der Software von Drittanbietern für einen ausreichenden Schutz vor Sicherheitsmängeln und -lücken.
• Lieferantenprüfung: Jeder neue Lieferant in der Software-Lieferkette sollte zunächst eine Due-Diligence-Prüfung bestehen. Darin wird ermittelt, ob der Lieferant angemessene Sicherheitsvorkehrungen umsetzt, mit denen die Sicherheitsrisiken seiner Software oder Komponente gesenkt werden. Regelmäßige Follow-up-Audits stellen sicher, dass Änderungen an der Software das Sicherheitsniveau erhalten.
• Software-Verifizierung: Regelmäßige Tests von Softwareprodukten und -Komponenten stellen sicher, dass die Sicherheitsregeln des Unternehmens eingehalten werden. Sie sollten dabei automatisiert sein, um das Risiko von Fehlern zu senken.
• Aktualisierungen: Das Unternehmen sollte formale Prozesse besitzen, mit denen eine regelmäßige Aktualisierung von Software-Anwendungen sichergestellt wird. Dazu gehört auch das Ausbringen von Security-Patches, um den Schutz vor neu identifizierten Bedrohungen sicherzustellen.
• Track & Trace-Programme: Mit Track & Trace-Programmen werden die Quellen (Herausgeber) aller Anwendungen, Komponenten und Codebibliotheken erfasst und überwacht. Dadurch ist ein effizienter Zugriff auf Updates und Patches möglich.
• Zugangsbeschränkungen: Einzelne Anbieter in der Software-Lieferkette sollten nur Informationen nach dem Need-to-Know-Prinzip (Kenntnis nur bei Bedarf) erhalten, so dass Angaben über die gesamte Softwarestrategie des Unternehmens sowie aktuelle oder geplante Systeme geschützt sind.
• Lieferantenrichtlinien: Hilfreich sind auch klare Richtlinien für die Anbieter mit eindeutig festgelegten Konsequenzen bei Nichteinhaltung der Vorgaben oder der Verwendung gefälschter Software.
• Mitarbeiterschulung: Alle Mitarbeiter sollten fortlaufend und regelmäßig geschult werden, so dass „Awareness“ für Sicherheitspraktiken erzeugt wird.

Diese Best Practices helfen Unternehmen zusammen mit den UL-Normen dabei, Sicherheitsrisiken durch Länge und Umfang der Software-Lieferkette weitgehend zu entschärfen.

Bild: UL

Dr. Johannes Bauer, Principal Security Advisor, UL

Johannes Bauer ist promovierter Informatiker und arbeitet als Principal Security Advisor bei UL in Frankfurt. Seit mehr als zehn Jahren beschäftigt er sich mit der IT-Security, insbesondere im Umfeld der Elektromobilität sowie der Smart-Home-Systeme. Er verfügt über detaillierte Kenntnisse im Hinblick auf physische Bedrohungen eingebetteter Systeme sowohl invasiv als auch non-invasiv und hat eine Vielzahl von Beiträgen über Mitigationsstrategien zu deren Bekämpfung veröffentlicht. Daneben führte er regelmäßig Workshops zum Thema angewandte Kryptographie sowie Bedrohungs- und Risikoanalysen durch und arbeitete als Consultant für IT-Sicherheit.

Weitere Informationen zum Thema:

UL
Sicherheit vernetzter Produkte rund um die Industrie 4.0

UL
Normenreihe UL 2900 / Sicherung und Schutz von Produkten, Software und Infrastrukturen gegen Risiken für die Cybersicherheit

datensicherheit.de, 17.08.2018
UL eröffnet Cybersecurity-Labor in Frankfurt / Main

datensicherheit.de, 17.08.2018
Fertigungsindustrie: Cybersicherheit als zentrale Herausforderung

datensicherheit.de, 03.08.2018
IT trifft OT – Cyberangriffe auf industrielle Umgebungen

datensicherheit.de, 30.07.2018
Studie: Unternehmen vernachlässigen IoT-Sicherheit

datensicherheit.de, 25.07.2018
SANS-Studie: Cybersicherheit im IIoT bedroht