(Bild Designed by Freepik)

Cyber-Bedrohungen zählen heute zu den Top-Risiken für Unternehmen. Auch auf die Lieferketten und unsere digitale Infrastruktur haben es Angreifer abgesehen, wie das BSI mit seiner Meldung zur kritischen Backdoor in dern “xz utils” eindrücklich darstellt. Auch die wenig Weihnachts-freundliche Entdeckung der geradezu legendär gewordenen “Log4Shell” Schwachstelle in der gleichnamigen Komponente “Log4j” Bibliothek hielt im Winter 2021 viele von uns auf Trab. Supply Chain Security ist nicht mehr nur ein IT-Thema – sie wird zu einem entscheidenden Wettbewerbsfaktor, wenn man selbst Software an seine Kunden ausliefert – das Produkthaftungsgesetz (ProdHaftG) schließt nun Software mit ein! Sowohl als Lieferant als auch als Kunde, sollte man folglich wissen welche Komponenten man im Einsatz hat. 

Dass Lieferketten ein leichtes Opfer für Cyber-Kriminelle sind, verwundert kaum. Durch die Beteiligung verschiedenster Personengruppen (Unternehmen, Lieferanten, Händler, Kunden, …) steigt die Zahl möglicher Einfallstore an. Setzen einzelne Akteure auf unzureichende Schutzmaßnahmen, ist das Risiko groß. Die Supply Chain ist also nur so sicher, wie ihr schwächstes Glied.  

Das betrifft immer häufiger auch die Lieferkette von Programmen und Tools, denn diese Software enthält oft Komponenten Dritter, die wiederum häufig Schwachstellen enthalten, über die Entwicklungsteams des direkten Lieferanten nur begrenzte Kontrolle haben. Ungepatchte Sicherheitslücken in diesen Software-Komponenten erhöhen das Risiko im eigenen Betrieb erheblich. Und die aufgedeckte Backdoor in den xz Utils zeigt als Horrorszenario, dass die Injektion bösartigen Codes in (Open Source) bereits erfolgt und auch in kompilierten Programmen nicht auszuschließen ist! Deshalb kommt –etwa durch die neue DORA-Regulierung – der Absicherung der Software Lieferkette eine zentrale Rolle zu. 

Wie also Sicherheitslücken aufdecken? Gemeinsam mit unserem Partner ReversingLabs setzen wir dafür auf die Analyse von Drittanbieter-Software. Denn herkömmliche Risikobewertungen kratzen oft nur an der Oberfläche und übersehen, was wirklich zählt: verborgene Gefahren tiefer in der Software. Ob vor dem Kauf oder bei Updates – eingebettete Angriffe und kritische Schwachstellen bleiben unentdeckt.  

 
Genau hier setzen wir an, und automatisieren die Analyse und Sicherheitsbewertung weit jenseits manueller Fragebögen und “Software-Teilelisten” (Software Bill of Material) – das gesamte Software Paket wird – unabhängig davon, ob es sich um proprietäre, kommerzielle oder Open Source Komponenten oder Artefakte Dritter handelt – auf bekannte Schwachstellen, mögliche Manipulationen,  enthaltene Secrets oder Credentials sowie mögliche Lizensierungsprobleme untersucht.  

Mit dem Dreischritt Risk, Release, Run kann so vor der Installation oder dem Update ein umfassender Report zur Sicherheitsanalyse bereitgestellt werden, der sowohl Betreiber als auch Entscheider ruhiger schlafen lässt – denn die Supply Chain Sicherheit ist zum integralen Bestandteil der Organisation geworden! 

Im Rahmen der Risikobewertung lassen sich mögliche Schwachstellen aufdecken, direkt bewerten schnelle Entscheidungen zur Einstufung als “Freigabe”, “Warnung” oder “Stop” herbeiführen. Sowohl der internen Entwicklermannschaft als auch den betroffenen Lieferanten kann ausführlich das entdeckte Problem dargelegt werden, bevor Schaden durch Schwachstellen in den produktiven Systemen auftreten kann. In den Fokus rücken dafür Abhängigkeiten von Drittanbietern, privilegierte Zugriffe oder erweiterte Angriffsflächen. Mit dem Release geht eine vollständige Analyse der Drittanbieter-Software einher.  

Nicht immer sind Schwachstellen bereits bekannt, wenn wir Software in Betrieb nehmen – die bekannte “Log4Shell” Problematik ist hier ein gutes Beispiel, aber auch der traditionelle “Patch Tuesday” von Microsoft zeigt den stetigen Fluss an neu gefundenen Schwachstellen. Sobald ein solcher neuer Software Alert (etwa über die wohlbekannte “CVE” Webseite) bekannt wird, kann dieser zeitnah gegen die bereits erfasste und installierte Software-Basis geprüft werden. Anstelle der mühsamen und zeitaufwändigen manuellen Analyse kann direkt eine Bewertung und Einstufung erfolgen, die sofort aufzeigt an welchen Stellen exponiert ist, und wo Gegenmaßnahmen nötig sind. 

Alleine die bessere Sichtbarkeit von Software-Schwachstellen sorgt noch nicht für einen guten Schutz, denn dieser kann und muss umfassend und allseitig sein. Durch die Verbindung unserer langjährigen IAM-Expertise mit den neuen Ansätzen zur Software Supply Chain Security und der Incident Response sorgen wir dafür, dass sowohl die Konfiguration der Zugriffsrechte, die Nutzung privilegierte Konten als auch die eingesetzte Software auf dem vom BSI (und anderen Aufsichtsbehörden) geforderten Stand der Technik sind, und weder der Mißbrauch digitaler Identitäten noch Software Bugs als Eingangstore für Angreifer genutzt werden können.  

Somit gestalten sich Lieferketten erst mit klarer IAM-Strategie vollständig sicher, effizient und widerstandsfähig gegenüber Bedrohungen. Um bei DORA und NIS2 zu punkten, empfehlen wir eine ganzheitliche Betrachtung aus mindestens diesen Punkten: 

• Zentralisierte Identitätsverwaltung: Konsistente Zugriffsrichtlinien – auch für Partneridentitäten – sind notwendig, um Benutzeraktivitäten transparent zu überwachen.  
• Identitätsmanagement: Single Sign-On (SSO) erleichtert den Zugang und garantiert gleichzeitig eine attributbasierte Zugriffskontrolle. 
• Rollenbasierten Zugriff: Mithilfe rollenbasierter Zugriffskontrollen lassen sich Berechtigungen gezielt nach Verantwortlichkeiten vergeben.  
• Sichere API-Verbindungen: Ein Datenaustausch innerhalb der Lieferkette via API-Gateway mit Authentifizierungs- und Verschlüsselungsfunktionen schützt vertrauliche Informationen.  
• Starke Authentifizierung: Mit sicheren zweiten Faktoren (etwa FIDO2-basierten Hardwaretoken und Passkeys) nur autorisierten Personen Zugang zu sensiblen Daten ermöglichen. 
• Granulare Zugriffsrechte: Statt einfacher JA/NEIN Zugriffe den wirklichen “need to know” und “need to do” über Beziehungen (ReBAC), Kontext (CBAC) und passende Eigenschaften (ABAC) sichern – Rollenmodell (RBAC) inklusive  
• Echtzeitüberwachung: Alle privilegierten Zugriffe in Echtzeit überwachen und protokollieren, um verdächtige Aktivitäten sofort zu erkennen (PAM mit Session Monitoring) 
• Automatisierte Prozesse: Mit Identity Governance (IGA) Lösungen die Rollen und Berechtigungen zentral und automatisiert verwalten – eine Erleichterung für Ihr IT-Team und Ihre Personalexperten. 
• Software Sicherheit: Alle zu liefernde oder eingesetzte Software auf ihre Bestandteile analysieren und Schwachstellen zuverlässig finden und entschärfen (SSCM) 
• Die Technik alleine hilft nicht, wenn die Menschen und Prozesse nicht harmonieren: 
• Prozessberatung: Wir helfen Ihnen dabei, Ihre (IT- und HR) Kernprozesse aufzunehmen, zu entschlacken und ein perfektes Mapping auf moderne Werkzeuge und Systeme vorzunehmen. 
• Schulung und Fortbildung: Als erfahrene Experten, Dozenten und Schulungsleiter für Security Themen teilen wir unser Wissen mit Ihren Mitarbeitern – im standardisierten Kurs oder individuell abgestimmt 

In unserer zunehmend vernetzten Welt sind das Zusammenspiel von Personen und Prozessen mit Technologien wie Software Supply Chain Security und IAM immer mehr als “reine Sicherheitswerkzeuge” in Stellung zu bringen. Erst ihr abgestimmtes Zusammenspiel erzeugt die entscheidenden Faktoren für Resilienz und nachhaltigen Erfolg. Daher lohnt es sich, nicht nur über Schwachstellen zu grübeln, oder einmalige Analysen der Drittanbieter-Softwares zu planen sondern diese Aufgaben mit soliden IAM-Konzepten und Prozessoptimierungen zu kombinieren.