leowolfert - Fotolia
Unsicherer Code aus Softwarebibliotheken
Angriffe auf die Softwarelieferkette stellen für Unternehmen eine Herausforderung dar. Sicherheitslücken in der Software vernetzter Geräte vergrößert die Angriffsfläche von Firmen.
Im April 2021 entdeckte Tenable eine Schwachstelle in einem Router des Anbieter Buffalo, deren Ursprung auf die Arcadyan-Software zurückzuführen war. Die Recherche innerhalb der Software-Supply-Chain ergab, dass mindestens 20 weitere Modelle von 17 verschiedenen Anbietern und Serviceprovidern wie Telstra, Telus, Verizon und Vodafone betroffen waren.
Unsichere Home-Router können durch die pandemiebedingte Erweiterung der Geschäftsumgebung zu einem erheblichen Sicherheitsproblem werden. Die Heimnetzwerke, aber vor allem auch das wachsende Internet der Dinge erweitern die potenzielle Angriffsfläche erheblich.
Die Angriffsfläche wird größer
Weitere Angriffsvektoren ergeben sich aus der Flut an mobilen Geräten und IoT-Komponenten (Internet of Things), deren Software auch Sicherheitslücken enthalten kann. ITK- und IoT-Geräte nutzen vorinstallierte Firmware für Hardwarebetrieb, Kommunikation und Sicherheit.
Da die Anzahl der Softwarekomponenten in der Firmware zunimmt, ist es in der Hardwareproduktion nicht mehr üblich, all diese Lösungen selbst zu entwickeln. Daher arbeiten einige Hersteller mit einem oder mehreren Drittanbietern zusammen, um auf die erforderlichen Softwarekomponenten zurückgreifen zu können. Zusätzlich zur Integration herkömmlicher Firmware-Komponenten erfordern IoT-Geräte die Integration und Verwaltung verschiedener Cloud-Clients, um die Software zu aktualisieren, Fehler zu beheben oder neue Funktionen hinzuzufügen.
All diese Anforderungen führen dazu, dass Softwarekomponenten auf verschiedene Weise für Softwareentwickler, andere Parteien und im schlimmsten Fall auch Cyberkriminelle zugänglich sind. Verschaffen sich Angreifer tatsächlich Zugang zur Software, ist auch eine spektakuläre Cyberattacke auf die Automatisierungsserver vieler Unternehmen möglich, wie sie sich Anfang Juli 2021 ereignete.
Cyberkriminelle, die hinter der REvil-Ransomware stecken, nutzten Zero-Day-Sicherheitslücken in der Automatisierungssoftware VSA von Kaseya aus. Andere Cyberbanden arbeiten daran, den Erfolg der sich selbstverbreitenden, zerstörerischen Malware NotPetya, die 2017 weltweit großen Schaden anrichtete, zu wiederholen.
Maßnahmen für eine sicherere Software
Um Cyberangriffe dieser Art zu stoppen, gilt es vor allem bei Drittanbieter-Software, größere Sorgfalt walten zu lassen. Die Komplexität von Softwareprojekten und die Abhängigkeit von Drittanbieter-Code, Open-Source-Software und Code-Bibliotheken nimmt aber weiter zu. Taucht eine Schwachstelle in mehrfach verwendeter Software auf, ist es wichtig, alle Projekte und Kunden zu kennen, um eine weitere Verbreitung der Bedrohung stoppen zu können.
Eine vollständige Inventarisierung der eingesetzten Komponenten ist hierbei unverzichtbar. Diese erfolgt im Optimalfall mittels einer maschinenlesbaren Software Bill of Materials (SBOM). Diese Liste enthält alle Supply-Chain-Beziehungen der Softwarekomponenten, die bei der Entwicklung eines Produkts zum Einsatz kamen. Im Falle der Schwachstelle in der Arcadyan-Software hätten SBOMs, die natürlich auf aktuellem Stand sein müssen, maßgeblich dazu beigetragen, die betroffenen Geräte schneller zu identifizieren und die weitere Verbreitung der unsicheren Software zu stoppen.
„Es gilt in der gesamten Software-Supply-Chain nachzubessern, um die neue Geschäftswelt, geprägt von Fernarbeit, mobilen Lösungen und dem Internet der Dinge, immer wieder ein Stück sicherer zu machen.“
Evan Grant, Tenable
Die Umsetzung sicherer Softwareentwicklungspraktiken entsprechend eines Secure Software Development Lifecycle (SSDLC) ist ebenfalls wichtig, um Schwachstellen in einem neuen Release von Haus aus zu minimieren.
Eine hohe Sorgfalt zahlt sich aus, denn je früher Programmierfehler und Schwachstellen erkannt werden, desto niedriger ist der Aufwand zur Behebung, wodurch weniger zusätzliche Kosten in der Entwicklung entstehen. Kommen die Probleme erst dann ans Tageslicht, wenn Geräte mit fehlerhaftem Code bereits im Handel oder gar im Einsatz sind, ist der potenzielle Schaden weitaus größer.
Als weitere Maßnahme im Sinne der Softwaresicherheit können Unternehmen ein Product Security Incident Response-Team (PSIRT) aufstellen, dass die Identifizierung, Bewertung und das Risikomanagement verantwortet. Das in den SSDLC-Prozess eingebundene PSIRT setzt Best Practices um und übernimmt das gesamte Sicherheitsmanagement in diesem Zusammenhang. Ein PSIRT oder ein eigenes internes Programm für den Umgang mit Softwareschwachstellen strukturiert den gesamten Prozess bis zur Behebung und macht ihn dadurch effizienter.
Die Community muss konsequenter reagieren
Cyberangriffe im Zusammenhang mit der Software-Supply-Chain nehmen zu und gewinnen dadurch an Aufmerksamkeit der Beteiligten und Betroffenen. Die gesamte Community ist nun gefragt, bewährte Praktiken und empfohlene Richtlinien umzusetzen, aber auch neue Ansätze einzubringen.
Ebenso wie beim Datenschutz dürfte auch der Gesetzgeber seine Möglichkeiten ausspielen, um das Qualitätsmanagement zu stärken. Bislang zeigt sich allzu oft, dass die Offenlegung und Meldung von Schwachstellen dem Tempo der Cyberangreifer hinterherhinken. Hier gilt es in der gesamten Software-Supply-Chain nachzubessern, um die neue Geschäftswelt, geprägt von Fernarbeit, mobilen Lösungen und dem Internet der Dinge, immer wieder ein Stück sicherer zu machen.
Über den Autor:
Evan Grant ist Staff Research Engineer bei Tenable. Der Beitrag wurde vom Research-Team von Tenable verfasst. Tenable bietet Produkte in den Bereich risikobasiertes Schwachstellenmanagement an.
