Ein anschauliches Beispiel für das Dilemma durch unsichere Software liefert der Log4J-Angriff. Ende des Jahres 2022 wurde eine Sicherheitslücke in Log4J bekannt. Folgen waren eine Welle von Cyberangriffen und die weitreichende Verunsicherung der Investoren. Die Krux daran: Für Unternehmen und Entwickler ist es kaum möglich, auf derlei Open Source-Bausteine zu verzichten. Denn zum einen sind sie tief in bestehenden Anwendungen verankert, zum anderen sind sie kaum zu ersetzten, da sie in viele oftmals unzugängliche Landschaften wie zum Beispiel IoT-Systeme integriert wurden. Nach einem Angriff auf die Softwarelieferkette berichteten 1.500 Befragte einer BlackBerry Studie von erheblichen Betriebsunterbrechungen (59 Prozent), Datenverlusten (58 Prozent) und negativen Folgen für die Reputation (52 Prozent), wobei neun von zehn Unternehmen (90 Prozent) bis zu einem Monat für die Wiederherstellung benötigten. Die Folgen eines Angriffs sind also nicht zu unterschätzen.
„Unternehmen kämpfen mit einer unübersichtlichen und schwierig zu managenden Softwarelieferkette, die sie anfällig für Angriffe macht“, erklärt Ulf Baltin, Managing Director, DACH bei BlackBerry. „Um sich resilienter aufzustellen, sollten Verantwortliche auch hier auf einen Secure by Design-Ansatz setzen. Dadurch sichern Unternehmen langfristig ihre Profitabilität.“ Der Experte erklärt, wie sich gezielt verhindern lässt, dass sich Softwarekomponenten aus externen Quellen zum Risikofaktor für Unternehmen jeglicher Größe entwickeln.
Die eigenen Softwarelieferanten und ihre Komponenten kennen
Einen möglichen Lösungsansatz bieten den Unternehmen sogenannte Software Bills of Material (SBOM), die sie dabei unterstützen, ihre Softwarelieferketten zu verstärken und zu sichern. Der Hintergrund: Nur wenn sich Unternehmen intensiv mit ihren Lieferanten auseinandersetzen, können sie die gesamte Bandbreite ihrer Softwarelieferkette erfassen und die damit verbundenen Risiken erkennen. Empfehlenswert sind daher strenge Ausschreibungsverfahren für mehr SBOM-Transparenz, um die Konformität der Lieferanten sicherzustellen.
Eine SBOM funktioniert analog zur Stückliste bei physischen Produkten als formale, strukturierte Dokumentation, die die Komponenten eines Softwareprodukts und ihre Beziehungen innerhalb der Softwarelieferkette beschreibt. Insofern gibt sie Auskunft über die Pakete und Bibliotheken innerhalb einer Anwendung sowie über deren Beziehung untereinander und zu anderen Projekten – ein entscheidender Faktor im Fall von wiederverwendetem Code und von Open Source-Komponenten.
Zeitaufwand realistisch einschätzen
Viele Entwickler, die sich blind auf den Code von Drittanbietern verlassen, schaffen komplexe Gebilde in Softwareform, die jedoch nur so sicher sind wie ihre schwächste Komponente. Gravierende Schwachstellen können die Folge sein. Daher verpflichtet die Regierung Joe Bidens in den USA Unternehmen bereits, ein SBOM zu verwenden. Allerdings ist das mit erheblichem Zeitbedarf für die Analysten verbunden, die mit der Erstellung von SBOM beauftragt sind. Derweil konnten einige KI-gestützte Lösungen wie BlackBerry Jarvis vergleichbare Ergebnisse innerhalb weniger Minuten produzieren.
Von Anfang an auf das Maximum an Sicherheit achten
Der Zeithorizont spielt auch in anderer Hinsicht eine zentrale Rolle. Die Ergebnisse der BlackBerry Studie zeigen auch, dass die Unternehmen zwar im Durchschnitt eine vierteljährliche Bestandsaufnahme ihrer eigenen Softwareumgebung durchführen, dass sie aber durch Faktoren wie fehlende Fähigkeiten (54 Prozent) und mangelnde Transparenz (44 Prozent) von einer regelmäßigeren Prüfung abgehalten werden.
Für kontinuierliche Sicherheit ist es von entscheidender Bedeutung, dass Software-Updates über die gesamte Softwarelieferkette hinweg auf dem neuesten Stand gehalten werden. Parallel dazu sollten Unternehmen ausschließlich widerstandsfähige Lösungen nutzen, die von Anfang an unter dem Aspekt maximaler Sicherheit entwickelt wurden. So können sich Verantwortliche kostspielige Kontrollen und Nachrüsten sparen. Von den Unternehmen, die nur quartalsweise ihre Lieferkette überprüfen, entdeckten 77 Prozent Akteure, die ihnen vorher nicht bekannt waren und die sie nicht auf die Einhaltung wichtiger Sicherheitsstandards hin überwacht hatten.
Cybersecurity als Teil der Unternehmenskultur etablieren
Ungeachtet der konkret eingesetzten Sicherheitslösung tun CSOs und andere Verantwortliche gut daran, innerhalb ihrer Unternehmen das Thema Cybersicherheit bekannt und zur täglichen Routine zu machen. Denn Softwareelemente in der Lieferkette können regelrecht „unter dem Radar fliegen“. Nur durch Bewusstseinsbildung und den Aufbau gesicherter Prozesse können die Sicherheitsanforderungen erfüllt werden. Ein Bereich, der oft vernachlässigt wird, ist die Sicherheit der Produktion. Dort nimmt die Zahl der Angriffe auf die OT-Infrastruktur in den vergangenen Jahren rasant zu. Entscheider sollten daher bei der Auswahl einer Cybersicherheitslösung darauf achten, dass diese den gesamten Produktlebenszyklus end-to-end abdeckt – im IoT-Kontext sowohl offline als auch online.
BlackBerry bietet Unternehmen und Regierungen auf der ganzen Welt intelligente Sicherheitssoftware und -dienstleistungen. Das Unternehmen sichert mehr als 500 Millionen Endpunkte, darunter über 215 Millionen Fahrzeuge, die heute auf der Straße unterwegs sind. Das im kanadischen Waterloo, Ontario, ansässige Unternehmen setzt sich konsequent für Security, Cybersicherheit und Datenschutz ein und ist führend in Schlüsselbereichen wie künstliche Intelligenz, Endpoint-Sicherheit und -Management, Verschlüsselung sowie Embedded Systems. Weitere Informationen finden Sie unter BlackBerry.com/de. Folgen Sie BlackBerry auch auf Twitter unter @BlackBerry.
BlackBerry. Intelligent Security. Everywhere.
BlackBerry Deutschland GmbH
Ratinger Strasse 9
40213 Düsseldorf
Telefon: +49 (211) 97199600
Telefax: +49 (211) 97199666
http://www.blackberry.com
Telefon: +49 (211) 882476-10
E-Mail: BlackBerryGermany@teamlewis.com
