:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/80/dc/80dc01258b6dda1e7b216323d5796051/0118518397.jpeg "Allesamt Highlights des Abends: Die Gewinnerinnen und Gewinner der Cloud Native Rockstar Awards 2024 gemeinsam mit den Moderatoren und Jury-Mitgliedern. (Bild: Vogel IT / <u><a target="_blank" href="https://www.cloudnativeconference.de/">Cloud Native Conference</a></u>)")
:quality(80)/p7i.vogel.de/wcms/b5/92/b592b98f6fa8f4d5393e7d1f26a9b1ab/0117932513.jpeg "Die Sicherheit der Software-Lieferkette steht vor vielschichtigen Herausforderungen. (Bild: immimagery - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/88/af88b8b06a9613b86559b6999ef4ed8a/0118097195.jpeg "Auf der OCX 2024 will die Eclipse Foundation ihre verschiedenen Open-Source-Communities zusammenbringen, (Bild: Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/8e/b3/8eb34e2abe20465041e396063e8d39b5/0118088468.jpeg "Künstliche Intelligenz kann in Testing und Qualitätssicherung gleich an mehreren Stellen tätig werden. (Bild: sompong_tom - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/59/d859a4bcea4e775772b78767789646e7/0117717484.jpeg "Report eines Testdurchlaufs mit dem Robot Framework. (Bild: Lang / Robot Framework)")
:quality(80)/p7i.vogel.de/wcms/4a/3d/4a3d398f19b8fa2044a3a9f0081e46f2/0118416942.jpeg "Die meistverwendeten Datenbank-Plattformen und die Anzahl ihrer Instanzen laut der Redgate-Umfrage. (Bild: Redgate)")
:quality(80)/p7i.vogel.de/wcms/99/39/9939f3b5fdaae42f3bf4ac2465270f2a/0117791750.jpeg "Das Azure-Vision-SDK lädt insbesondere Entwickler und Entwicklerinnen ein, sich mit der Materie zu befassen. (Bild: Drilling / Microsoft)")
:quality(80)/p7i.vogel.de/wcms/f1/9d/f19deb033fc3094112887ccba347e548/0118171860.jpeg "In TypeSpec kommt eine an TypeScript und C# angelehnte Syntax zum Einsatz, ergänzt durch Editor-Tools für Visual Studio und VS Code. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/65/3b/653bccb0f4511868163e35e79ef17efe/0118315737.jpeg "Im Fokus dieses Artikels steht die Verbesserung der Systemsicherheit von Linux und die Optimierung von dessen Security-Funktionen. (Bild: Antonio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/dd/97ddc917ccc52db20fcb3cbdebe916f1/0118360337.jpeg "Ablauf des typischen CrashLoopBackOff-Zustands in Kubernetes. (Bild: Groundcover)")
:quality(80)/p7i.vogel.de/wcms/bd/f1/bdf1217cc5885d60e2eac54ad9a69e26/0117073864.jpeg "Die Sicherung der Lieferkette einer „containerisierten“ Anwendung ist ein mehrstufiger Prozess, der sich von der Entwicklung bis hin zur Bereitstellung erstreckt. (Bild: <u><a target="_blank" href=https://pixabay.com/photos/container-ship-cargo-ship-freighter-596083/>46173</a></u>)")
:quality(80)/p7i.vogel.de/wcms/9c/d1/9cd11868f7678b81932032a894bcd81a/0117948576.jpeg "Moderne EdTech-Entwickler und -Designer sollten eine Umgebung schaffen, in der sich alle Lernenden wohlfühlen und einen barrierefreien Zugang zu Wissensinhalten haben. (Bild: <u><a target="_blank" href=https://pixabay.com/users/roszie-6000120/>RosZie</a></u>)")
:quality(80)/p7i.vogel.de/wcms/5b/85/5b853b09ae4f974cb97b58e5cb8e759b/0118249571.jpeg "Je nach „Betätigungsfeld“ muss ein passendes Sprachmodell zum Einsatz kommen, das außerdem gewissen Spielregeln folgt. (© Imagecreator – stock.adobe.com)")
![Mithilfe eines anderen Konsensverfahrens, Hashgraph, ließe sich eine Menge CO2 bei der Berechnung von Kryptowährungen sparen. (Bild: Benjamin ['O°] Zweig - stock.adobe.com)](https://cdn1.vogel.de/annR7MKBLjg3UGu-x3l6Nvb7-fI=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/4e/40/4e40e5356b18ebce4656f2a51e65c815/0116079923.jpeg "Mithilfe eines anderen Konsensverfahrens, Hashgraph, ließe sich eine Menge CO2 bei der Berechnung von Kryptowährungen sparen. (Bild: Benjamin ['O°] Zweig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/be/18/be18ae4c02dbf9aa47e97decf9b84ea4/0118091847.jpeg "Die meisten der existierenden Datenbanksysteme verfügen über SQL-Schnittstellen. (Bild: alphaspirit - Fotolia.com)")
:quality(80)/p7i.vogel.de/wcms/af/ba/afba059e1e635289905bc63ce8cc4579/0117149678.jpeg "On-Premise bezeichnet den Betrieb von Software auf selbstverwalteten Hardware-Ressourcen. (Bild: <u><a href=https://unsplash.com/de/@tvick>Taylor Vick</a></u>)")
:quality(80)/p7i.vogel.de/wcms/79/8a/798ac0bb2a4e3a384a3c7634dc919ceb/0117709235.jpeg "APIs ermöglichen es verschiedenen Software-Anwendungen, Daten auszutauschen und miteinander zu interagieren, ohne dass Details zu Implementierung bekannt sein müssen. (Bild: <u><a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a></u>)")
:quality(80)/p7i.vogel.de/wcms/ef/83/ef83b21f59d76ece1f76070d93e9bd6b/0116763715.jpeg "Mit der Verbreitung von generativer KI wird die Bedeutung von Software-Bots weiter zunehmen. (Bild: <u><a href=https://pixabay.com/users/alexandra_koch-621802/>Alexandra Koch</a></u>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Strategien für eine sichere Software-Lieferkette So funktionieren Supply-Chain-Attacks
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Hacker-Angriffe auf die Software-Lieferkette, auch Value-Chain- oder Third-Party-Angriffe genannt, agieren verdeckt, sind schwer abzuwehren und deren Konsequenzen unter Umständen mit großen Schäden und hohen Kosten verbunden. Welche präventiven Maßnahmen sind zu ergreifen?
Hacker nutzen Schwachstellen aus, um in das Netzwerk eines Softwareanbieters einzudringen und die ursprüngliche Funktionalität der Software mit schädlichem Code zu manipulieren. Sobald die infizierte Software an Kunden weitergegeben wird, typischerweise durch Software-Updates oder Installationsprogramme, öffnet sich eine Tür für nicht autorisierte Prozesse wie beispielsweise das Herausfiltern vertraulicher Informationen, Kapern von Daten oder die Kontrolle über spezifische Systeme aus der Ferne.
Solche Angriffe auf Software-Lieferketten nahmen in den letzten Jahren dramatisch zu. Kein Wunder, denn diese Methode erweist sich als sehr effektiv und beruht auf zwei wesentlichen Gründen:
- Die Hacker-Angriffe werden immer ausgefeilter und zielführender.
- Die zunehmende Digitalisierung erschafft eine beispiellose vernetzte Welt, die sich durch die Möglichkeiten der neuen Technologien, noch beschleunigen wird.
Supply-Chain-Angriffe mit riesiger Effektivität
Angriffe auf die Lieferkette sind für Hacker attraktiv, denn dadurch können sie Zugriffe auf alle Unternehmen erhalten, die diese Software verwenden. Bedrohungen dieser Art fokussieren kommerzielle Software- bzw. Open-Source-Anbieter und Hardware-Hersteller. Hierfür suchen Hacker nach unsicherem Code, unsicheren Infrastrukturpraktiken sowie unsicheren Netzwerkprozessen, die es ihnen ermöglichen, kompromittierende Komponenten einzuschleusen.
Dafür bietet der Herstellungsprozess von der Entwicklung bis zur Installation der Produkte zahlreiche Möglichkeiten. Manche Anbieter stellen Produkte zur Verfügung, die von zigtausenden Kunden genutzt werden. Auf diese Weise erhalten Hacker gleich Zugriffe auf eine sehr große Anzahl von Opfern, statt nur eine einzelne Zielorganisation damit zu kompromittieren.
So können sie still und unbemerkt – buchstäblich aus dem Hinterhalt – sehr große Mengen an Daten herausfiltern. Bei den meisten Supply-Chain-Attacken ist E-Mail-Betrug der primäre Vektor, mit dem ein Angriff beginnt, denn daurch kann im Vorfeld die notwendige Recherchearbeit geleistet und so viel wie möglich über die Zielorganisation in Erfahrung gebracht werden.
Strategien für eine sichere Software-Lieferkette
Es genügt ein schwaches Glied, um Hackern ein Tor zu sonst robusten und sicheren Umgebungen zu bieten. Dementsprechend liegt der Schlüssel zu jeder sicheren Software-Lieferkette in der Fähigkeit, Schwachstellen schnell zu erkennen und zu beheben, bevor sie von Hackern ausgenutzt werden können. Folgende Strategien sollten unter anderem in Betracht gezogen werden:
SBOM
Unternehmen benötigen eine sogenannte Software-Stückliste (Software Bill of Materials, SBOM), die das Inventar der Komponenten angibt, die zur Erstellung eines Software-Artefakts wie einer Software-Anwendung verwendet werden. Im Wesentlichen handelt es sich bei einer SBOM um eine Bestandsaufnahme aller Softwarekomponenten wie Bibliotheken, Frameworks und generierten Codes, die in der gesamten Software-Lieferkette verwendet werden.
Mit einer SBOM kann ein Unternehmen ein umfassendes Kompendium der Zusammensetzung und Abhängigkeiten seiner Software entwickeln, um potenzielle Schwachstellen schnell zu erfassen und beheben zu können. Treten später Mängel an einem bestimmten Teil auf, lassen sich die betroffenen Produkte anhand der SBOM sehr schnell identifizieren.
Check auf Schwachstellen
Jede Softwarekomponente, die Teil einer SBOM ist, sollte auf öffentlich bekannt gegebene IT-Security-Schwachstellen überprüft werden, und jede entdeckte Schwachstelle sollte sofort behoben werden. Beginn der Überprüfung mit einem Scan von Schwachstellen in den frühesten Phasen des Software-Entwicklungslebenszyklus, um Probleme zu erkennen, bevor ihre Behebung schwieriger und vor allem auch kostspieliger wird.
Das Scannen sollte während der gesamten CI/CD-Pipeline erfolgen, vom Build über den Test und die Bereitstellung bis zur Laufzeit. Darüber hinaus darf das Scannen keine einmalige Aktivität sein. Vielmehr muss dies kontinuierlich in allen Software-Umgebungen erfolgen, da es nicht selten vorkommt, dass Schwachstellen erst viel später entdeckt werden.
Festlegung von Zero-Trust-Richtlinien
Unternehmen müssen explizit Zero-Trust-Richtlinien definieren, um zu erfassen, was die verschiedenen Teile der Anwendungs-Workloads tun oder auf was sie zugreifen dürfen. Zero-Day-Angriffe stellen ein besonders großes Risiko dar, da sie unbekannte Schwachstellen ausnutzen, für die es noch keinen Patch gibt.
Durch solche Angriffe erhalten Hacker sehr leicht Zugriffe auf eingeschränkte Ressourcen wie Dateien, Prozesse und Netzwerke. Um diese Angriffe einzudämmen, sind die Prinzipien des Zero Trust von entscheidender Bedeutung. Im Wesentlichen wendet Zero Trust eine Mikrosegmentierungstechnik an und verwendet Sicherheitsrichtlinien, um den unbefugten Zugriff auf eingeschränkte Ressourcen durch bösartigen Code zu verhindern, der von Hackern eingeschleust wird.
Einrichtung von Honeypots
Ein Honeypot umfasst Fake-Daten, die allerdings wie sensible bzw. wertvolle Daten aussehen. Die Mechanik funktioniert wie ein Stolperdraht, der die IT-Security-Teams darüber aufmerksam macht, dass ein System gerade kompromittiert wird.
IAM-Systeme einführen
Ein Identity-Access-Management-System bietet ein zentralisiertes Dashboard, mit dem die IT-Security-Teams über die gesamte Umgebung hinweg Datenzugriffe kontrollieren und Accounts erstellen als auch deaktivieren können. Dadurch lassen sich Berechtigungen im Netzwerk besser verwalten und potenziellen Missbrauch erkennen, da sie an einem Ort gesammelt werden.
Begrenzung privilegierter Accounts
Bei vielen Supply-Chain-Attacks bewegen sich Hacker nach einer Kompromittierung oft lateral durch ein Netzwerk. Indem ein privilegierter Zugang nur wenigen Accounts vorbehalten ist, kann das Risiko begrenzt werden.
Fazit
Aufgrund zunehmender Angriffe auf Software-Lieferketten müssen Unternehmen dringend zielführende Maßnahmen ergreifen, um die Bestandteile und Komponenten ihrer Software zu identifizieren, Codes zu prüfen und in den gesamten Ökosystemen eine Zero-Trust-Methodik zu implementieren. Wer es versäumt, solide Strategien zur Dokumentation der Lieferketten und zur Behebung bekannter und unbekannter Schwachstellen zu entwickeln, riskiert sowohl erhebliche finanzielle Verluste als auch einen dauerhaften Rufschaden.
(ID:49978013)
:quality(80)/p7i.vogel.de/wcms/b1/e3/b1e3098b0b52ddd8001f939f8ad829ca/0113676942.jpeg "Mit einer SBOM kann die Branche dafür sorgen, dass Hacker keine bösartigen Artefakte in der Software-Supply-Chain platzieren. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/00/40/0040c7606199a9462928636e8ae5de2d/0118174634.jpeg "API-Security dient dazu, APIs regelmäßig zu überwachen und zu testen, um Schwachstellen zu finden und diese zu entschärfen. (Bild: Murrstock - stock.adobe.com)")