Software-Lieferketten absichern, Teil 1 Gefährdungslage und regulatorisches Rahmenwerk

Mit der Verbreitung von Software wächst die Bedeutung von robustem und nachvollziehbarem Code. Neue Compliance-Vorgaben sollen schlecht abgesicherten Software-Lieferketten Einhalt gebieten. Auf DevSecOps-Teams kommen zwangsläufig neue Aufgaben zu.

Moderne Softwareentwicklung stützt sich auf ein komplexes Geflecht aus Technologien, Produkten und Dienstleistungen, die von einer Vielzahl unabhängiger Anbieter stammen und dennoch tief ineinandergreifen müssen. Auf Grund dieser Verzahnung können sich Cyber-Attacken quer durch die Software-Lieferkette propagieren und bei den Endbenutzern der Software einen massiven Multiplikationseffekt ausüben.

Laut der Studie „Software Bill of Materials and the readiness for cybersecurity“ der Linux Foundation sorgen sich 98 Prozent der Organisationen um die Sicherheit ihrer Software. Gut sieben von zehn (72%) zeigten sich sehr oder sogar extrem besorgt. Als Hauptgründe dafür nannten sie finanzielle Risiken (66%), Reputationsschäden (61%) und Gefahren rechtlicher Natur (53%).

Diese Beweggründe verdeutlichen die Notwendigkeit einer kohärenten Strategie zur Bewältigung der Software-Sicherheit, urteilen die Autoren der Studie. Sicherheit besitzt im Übrigen die oberste Priorität, wenn es darum geht, welche Software eine Organisation einsetzen wird. Die Einhaltung der Lizenzbestimmungen kommt interessanterweise erst an zweiter Stelle.

Jedes achte europäische Unternehmen, das Software entwickelt oder verwendet, fiel bereits einem Cyberangriff zum Opfer. Zwei von fünf europäischen Internetnutzern waren selbst auch schon von Sicherheitsproblemen betroffen. Der bevorzugte Angriffsvektor sind dabei Software-Lieferketten und deren Verwundbarkeiten.

Verwundbarkeiten der Software-Lieferkette

Supply-Chain-Attacken haben in den letzten paar Jahren an Umfang dramatisch zugenommen. Die Anzahl der dokumentierten Angriffe auf die Software-Lieferkette über bösartige Komponenten von Drittanbietern ist zwischen 2021 und 2022 um 633 Prozent gestiegen, berichtete Sonatype, Spezialist für die Verwaltung von Software-Lieferketten. Zwischen den Jahren 2019 und 2022 haben die Attacken um durchschnittlich 742 Prozent pro Jahr zugelegt.

Gleichzeitig haben die Fälle von transitiven Schwachstellen, die Softwarekomponenten von ihren Abhängigkeiten erben, beispiellose Ausmaße erreicht. Zwei Drittel aller Open-Source-Bibliotheken sollen demnach betroffen sein. Immer mehr Unternehmen, öffentliche Verwaltungen und Regierungen in Europa und weltweit beobachten die zunehmende Bedrohungslage mit Besorgnis.

Die EU-Cybersicherheitsbehörde ENISA nennt Verwundbarkeiten der Software-Lieferkette als die voraussichtlich größte Bedrohung der Cybersicherheit bis zum Jahre 2030. Die Organisation berichtete im Jahre 2022, dass Ransomware-Akteure ihre Angriffe größtenteils über die Software-Lieferkette ausübten. Besonders alarmierend sei demnach der Anstieg von Cyberattacken auf den öffentlichen Sektor, die inzwischen einen von fünf Attacken (24%) ausmachen dürfte.

Forschende führen das Problem auf eine stärkere Abhängigkeit der öffentlichen Hand von veralteten Legacy-Anwendungen zurück. Das Forschungsinstitut Gartner prognostiziert, dass bis zum Jahre 2025 rund 45 Prozent aller Organisationen eine Attacke über ihre Software-Lieferkette erlebt haben werden.

Anatomie einer Supply-Chain-Attacke

Eine der größten Attacken über die Software-Lieferkette ging in die IT-Geschichte unter dem Namen SolarWinds ein. Die Cybersicherheitsspezialistin FireEye hat im Dezember 2020 in der IT-Überwachungsplattform Orion von SolarWinds bösartigen Code aufgedeckt. Angreifern war es gelungen, in den Build-Server von SolarWinds einzudringen.

Alle Unternehmen, die sich auf das betroffene Produkt verließen und über den automatisierten Aktualisierungsmechanismus Updates bezogen, waren dadurch automatisch verwundbar. Mit Hilfe der persistenten Hintertür konnten die Angreifer auf Netzwerke, Systeme und Daten in allen diesen nachgelagerten Organisationen zugreifen, von Großkonzernen bis hin zu Regierungsbehörden.

Der Vorfall gilt bis heute als einer der dreistesten Cyberangriffe auf die Software-Lieferkette der IT-Geschichte. Aber er ist bei Weitem nicht der einzige: Im folgenden halben Jahr nach der SolarWinds-Attacke (zwischen Januar 2020 und Anfang Juli 2021) konnte die Europäische Agentur für Cybersicherheit ENISA noch 24 weitere Software-Supply-Chain-Angriffe mit regionaler oder globaler Reichweite ausmachen.

Einige dieser Attacken machten sich sogar bekannte Entwicklungswerkzeuge zu Nutze, darunter Apple Xcode und Apache NetBeans. Auch Microsofts Lieferkette blieb nicht verschont. Im Mai 2021 hat Snyk Sicherheitslücken in Marktplatz-Erweiterungen von Visual Studio Code entdeckt, die sich auf nachgelagerte Softwareprojekte von rund zwei Millionen Entwicklern hätten propagiert haben dürfen.

Seither sind die Regulierungsbehörden auf beiden Seiten des Atlantiks auf der Hut. Sie wollen dem Problem wie gewohnt mit strengen Vorschriften begegnen. Inzwischen fehlen allerdings weltweit 3,4 Millionen Cybersecurity-Fachkräfte. Die EMEA-Region (Europa, Naher Osten und Afrika) soll im laufenden Jahr 2023 einen Mangel an Experten im Bereich der Cybersicherheit in Höhe von über dreihunderttausend Stellen verzeichnet haben – ein Anstieg von fast 60 Prozent im Vergleich zum Vorjahr.

Die Lösung liegt auf der Hand: Software-Lieferketten absichern wird Pflicht. Auf Softwareentwickler kommen nicht zu unterschätzende neue Aufgaben zu.

Zur Debatte? Legislative Vorschläge der EU

Laufende Bemühungen der EU, die Wirtschaft auf mehr Cyber-Resilienz zu trimmen, beinhalten Gesetzesvorschläge mit Titeln wie Data Act, Cyber Resilience Act und Artificial Intelligence Act. Der heftig diskutierte Data-Act-Vorschlag der Europäischen Kommission vom 23. Februar 2022 will den Austausch von Industriedaten eines Unternehmens mit anderen Firmen und Behörden regeln.

Der Cyber Resilience Act der Europäischen Kommission zielt darauf ab, Verbraucher und Unternehmen vor Produkten mit „unzureichenden Sicherheitsfunktionen“ zu schützen, um ein besseres Niveau der Cybersicherheit zu gewährleisten. Obligatorische Cybersecurity-Anforderungen und Verpflichtungen für Hersteller sowie Importeure und Vertreiber von Produkten mit digitalen Elementen innerhalb der Europäischen Union gehören hier zum Programm.

In die Pflicht genommen werden dabei Hard- und Software sowie Remote-Dienste zur Datenverarbeitung, sofern ihr Fehlen das betreffende Produkt daran hindern würde, eine seiner Funktionen auszuführen. Jede im Produkt enthaltene Schwachstelle oder jeder Vorfall, der die Sicherheit beeinträchtigt, muss vom Hersteller an die Europäische Agentur für Cybersicherheit (ENISA) gemeldet werden.

Die sogenannten „kritischen Produkte“ – darunter Betriebssysteme, Firewalls oder Netzwerkschnittstellen – würden einem besonderen Compliance-Verfahren unterliegen. Die Sanktionen bei Verstoß werden von der betreffenden Verletzung abhängen. Die Rede ist hierbei von Geldsummen in Höhe von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes des betroffenen Unternehmens des vorherigen Geschäftsjahres – je nachdem, welcher Betrag höher ist.

In einem Trilogieverfahren haben sich Europaparlament, europäische Kommission und die Mitgliedstaaten bereits auf einen Kompromiss zum ursprünglichen Vorschlag geeinigt. Unternehmen haben fortan zwischen einem und zwei Jahren Zeit, sich an die neuen Anforderungen anzupassen. Entwickler von quelloffenem Code sind davon im Übrigen nicht ausgeschlossen, wenn auch deutlich weniger betroffen als ursprünglich befürchtet.

Der Vorschlag für die KI-Verordnung (a.k.a. Artificial Intelligence Act) zielt darauf ab, die Vermarktung und Verwendung von KI-Systemen in der EU zu regulieren. Die Verordnung nimmt alle Entwickler von KI-Systemen mit einer Reihe von strengen Richtlinien für Risikomanagement, Datenverwaltung, technische Dokumentation und Transparenz sowie Standards für Genauigkeit und Cybersicherheit in die Pflicht. Quelloffene KIs genießen hierbei keine Sonderbehandlung.

Bereits verpflichtend: neue „Cyber-Direktiven“

Die NIS 2-Richtlinie (EU 2022/2555 vom 14 Dezember 2022), die am 27.12.2022 im Amtsblatt L333 der Europäischen Union veröffentlicht wurde, soll die Netzwerk- und Informationssicherheit (NIS) in der EU stärken. Die NIS 2-Richtlinie erweitert derweil den Anwendungsbereich der ersten NIS-Richtlinie (EU 2016/1148) auf neue Sektoren und Dienstleistungen wie Online-Marktplätze, Cloud-Computing-Dienste und soziale Netzwerke.

Diese Richtlinie zielt darauf ab, den Schutz kritischer Infrastrukturen, darunter Energie- und Verkehrsnetzen, Gesundheitsdiensten und öffentlichen Verwaltungen, zu erhöhen und die Kooperation und den Informationsaustausch zwischen den Mitgliedstaaten zu verbessern. Für Unternehmen, die digitale Dienstleistungen anbieten, legt die NIS 2-Richtlinie verbindliche Sicherheitsanforderungen fest.

Diese Anforderungen betreffen die Sicherheit der IT-Systeme, den Schutz personenbezogener Daten, die Identifizierung und Bewertung von Sicherheitsrisiken, das Management von Sicherheitsvorfällen sowie die regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen. Zu den wichtigsten Maßnahmen der NIS 2-Richtlinie gehört die Verpflichtung zur Meldung schwerwiegender Sicherheitsvorfälle an nationale Behörden sowie die Stärkung der Rolle von Computer-Sicherheitsvorfällen (CERTs) und Computer-Notfallteams (CSIRTs).

Die NIS 2-Richtlinie muss von den EU-Mitgliedstaaten bis zum 28. Juni 2023 in nationales Recht umgesetzt werden. Unternehmen sollten sich zügig auf die Umsetzung dieser Anforderungen vorbereiten und ihre Software-Entwicklungsteams mit einbeziehen. Die DORA-Verordnung (EU 2022/2554, The Digital Operational Resilience Act) vom 14. Dezember 2022 nimmt Finanzinstitute in die Pflicht. Betroffen sind unter anderem Kredit- und Zahlungsinstitute, elektronische Geldinstitute und Krypto-Dienstleister sowie Drittanbieter von Informations- und Kommunikationstechnologie (IKT).

Insbesondere ist das Management von Finanzinstituten dafür verantwortlich, ICT-Risiken zu definieren, zu genehmigen und zu überwachen. Finanzinstitute müssen auch Anforderungen erfüllen, um bedeutende ICT-bezogene Vorfälle an die zuständigen Behörden zu melden. Darüber hinaus enthält DORA einige Anforderungen in Bezug auf die Vertragsvereinbarungen zwischen IKT-Drittanbietern und Finanzinstituten. DORA wurde im Amtsblatt der EU am 27. Dezember 2022 veröffentlicht und gilt ab dem 17. Januar 2025.

Die US-Regierung hat ihrerseits unter anderem eine Anordnung der Exekutive erlassen, um die Sicherheit der Softwarelieferkette von Regierungsinstitutionen zu verbessern (EO 14028 vom 12. Mai 2021). Das NIST (National Institute of Standards and Technology) hat die Aufgabe, bewährte Verfahren für das Risikomanagement der Softwarelieferkette festzuhalten, Leitlinien auszuarbeiten und Kriterien für zukünftige Standards festzulegen. Alle Softwarelieferanten werden fortan eben diesen Standards genügen müssen, um Softwareprodukte an die U.S.-Bundesregierung verkaufen zu können.

Initiativen der Industrie: OpenSSF

Vordenker der Softwareindustrie befassen sich mit der Problematik der Software-Lieferketten schon länger. Einige der führenden Technologieanbieter, Finanzdienstleister, Telekommunikationsbetreiber und Cybersecurity-Firmen haben sich im Rahmen der OpenSSF (Open Source Security Foundation), einer Cyber-Initiative der Linux Foundation, zusammengetan, um den Stier gemeinsam an den Hörnern zu packen.

Die OpenSSF Foundation entstand im Jahre 2019 unter der Obhut der Linux Foundation aus der Fusion der Core Infrastructure Initiative und der Open Source Security Coalition. Sie bringt Vordenker, Open-Source-Maintainer und Sicherheitsexperten verschiedener Marktakteure an einen Tisch mit dem Ziel, Verwundbarkeiten aus Open-Source-Software auszumerzen und die Sicherheit von Softwarelieferketten zu verbessern.

OpenSSF befasst sich mit der Entwicklung von Verbesserungen an Toolchains und bewährten Verfahren, mit der Forschung und Weiterbildung von Fachkräften und der Offenlegung von Schwachstellen in quelloffenem Code. Im Rahmen dieser branchenübergreifenden Anstrengung entstehen unter anderem diverse standardisierte Tools und Methoden zur Absicherung von Software-Lieferketten.

Fazit

Regulierungsbehörden wollen das Risikomanagement der Software-Lieferkette den Unternehmen ins Pflichtenheft der Compliance eintragen. Mit neuen Vorschriften will man die Sicherheit und Integrität von Softwareprodukten verbessern – und zwar direkt an der Quelle.

(ID:49949369)