Gina Sanders - stock.adobe.com

IT-Sicherheit: Unternehmen müssen ihr Ökosystem einbeziehen

Es genügt nicht mehr, dass Unternehmen darauf achten, die eigene Organisation gut abzusichern. Eine erfolgreiche Security-Strategie muss Drittanbieter und Lieferanten einbeziehen.

Im Dezember 2020 erlangten sogenannte Nation-State Hacker im Rahmen der SolarWinds Hacks Zugriff auf Daten von Tausenden SolarWinds-Kunden, darunter auch einige Abteilungen der US-Regierung. Die Hacker schleusten dabei bösartigen Code in ein Software-Update ein und überlisteten so das IT Performance Monitoring-System des Unternehmens. Und im Sommer 2021 wurde die Remote Monitoring und Management-Lösung von Kaseya, einem führenden Managed Security Services Provider (MSSP), angegriffen – mit weitreichenden Auswirkungen auf die MSP-Kunden der Organisation sowie deren Endkunden.

Diese Vorfälle verdeutlichen die Schwachstellen, die innerhalb des Lieferkettennetzwerks von Unternehmen existieren. Die European Union Agency for Cybersecurity (ENISA) hat beispielsweise festgestellt, dass 66 Prozent der Angriffe über den Code eines Zulieferers durchgeführt wurden. Ein Unternehmen kann in die robusteste Cybersecurity-Strategie investieren – aber kann es seinen Drittanbietern und Lieferanten vorschreiben, dieselben Regeln zu befolgen?

Organisationen sollten die folgenden Schritte befolgen, um das Risiko einer Security-Attacke zu minimieren:

Die Gefahren von Angriffen in der Lieferkette

Cyberangriffe haben das Potenzial, gefährliche Ausmaße anzunehmen, wenn sie aus vertrauenswürdigen Quellen kommen. In den oben genannten Beispielen war keine der Organisationen in der Lage, den Vorstoß der Hacker zu entdecken – und dies für einen beträchtlichen Zeitraum. Der Grund: Die Angreifer nutzten vertrauenswürdige Software und versteckten sich hinter Protokollen. Hacker setzen vermehrt auf künstliche Intelligenz (KI) und Maschinelles Lernen (ML), um nicht entdeckt zu werden, denn diese Technologien sind smart und oftmals schwer zu knacken. Hacker greifen auf Verschleierungstechniken zurück oder geben sich als legitime Unternehmen aus, um eine Entdeckung zu verhindern.

Zwischen einem Angriff und dem Zeitpunkt, an dem er von einer Organisation entdeckt wird, liegt immer eine gewisse Zeitspanne – die sogenannte Verweilzeit. Die M-Trends 2021 von FireEye Mandiant zeigen, dass die Verweildauer weltweit sinkt (von 416 Tagen im Jahr 2011 auf 24 Tage im Jahr 2021). In EMEA kehrt sich dieser Trend allerdings um: Hier stieg die Verweildauer von 54 Tagen im Jahr 2019 auf 66 Tage im Jahr 2020. Eine Verzögerung bei der Erkennung von Vorfällen führt zu massiven Auswirkungen auf die Lieferkette – die Kaskadeneffekte dieser Auswirkungen können Monate oder Jahre andauern.

Im Folgenden finden sich einige der empfohlenen Gegenmaßnahmen, die eine optimale Wirksamkeit der Verteidigung gewährleisten.

Validierungsprogramm für sicherere Software

Unternehmen müssen ihre Richtlinien zur Software-Validierung überdenken – insbesondere Software mit Open-Source-Komponenten stellt eine Schwachstelle innerhalb des Ökosystems dar. Aus diesem Grund sollten Organisationen beim Kauf und der Installation von Software sowie bei der Verwendung von Open-Source- und Drittanbieter-Komponenten eine Sorgfaltsprüfung durchführen.

Verträge mit Drittanbietern müssen überarbeitet werden und auch Sicherheitsauflagen enthalten. So sollten die Partner in der Lieferkette aufgefordert werden, Compliance-Zertifikate für Normen wie ISO 20001 oder ISO 20000 vorzulegen. Kleinere Anbieter, die sich diese teuren Akkreditierungen möglicherweise nicht leisten können, müssen sich verpflichten, im Falle eines Vorfalls unverzüglich Abhilfe zu schaffen. Eine weitere Anforderung: Unternehmen müssten die folgenden Richtlinien einhalten, wo immer dies relevant ist: die Richtlinien des National Institute of Standards and Technology (NIST), des CIS-Benchmarking (Center for Internet Security) und andere von OEMs empfohlene Best Practices.

Risikobewertung von Drittanbietern

Alle Anbieter müssen kategorisiert und im Hinblick auf Sicherheit bewertet werden – auf diese Weise lassen sich erforderliche Kontrollen für die von ihnen ausgehenden Risiken bestimmen. Darüber hinaus sollten die technischen Referenzen des Software-Anbieters sowie seiner Security-Lage regelmäßig in Rahmen von Audits überprüft werden.

Vishal Salvi, Infosys

„Die Verwaltung von Zugangsdaten ist ein wichtiger Aspekt bei der Handhabung von Zugriffsrechten, da gestohlene Passwörter wichtige Daten preisgeben können.“

Vishal Salvi, Infosys

Maßnahmen wie statische Code-Analysen von Drittanbietern (SAST), regelmäßiges Scannen der Security lokaler und Cloud-basierter Umgebungen, DevSecOps, Interactive Application Security Testing (IAST), Dynamic Application Security Testing (DAST) oder Integritätsprüfungen sollten in Kombination mit den neuesten Verschlüsselungs- und Authentifizierungstechnologien eingesetzt werden. Auch Penetrationstests und Bedrohungsmodellierung werden empfohlen.

Zugriffspunkte verwalten

Kommt Software von Drittanbietern zum Einsatz, müssen Unternehmen den Zugriff für lokale Administratoren und privilegierte Anwender einschränken: IT-Teams müssen das Prinzip der am wenigsten erforderlichen Privilegien und des zeitlich begrenzten Zugriffs auf Basis des Bedarfs anwenden, um Sicherheitsvorfälle zu vermeiden. Unternehmen dürfen bei der Vergabe von Zugriffsrechten die Mitarbeiter von Lieferanten nicht wie ihre eigenen Mitarbeiter behandeln. Rollenbasierte Rechte lassen sich über Identity and Access Management (IAM) einführen und auch auf Partner ausdehnen. Falsches Vertrauen kann zu einem gefährdeten Netzwerk führen.

Die Verwaltung von Zugangsdaten ist ein wichtiger Aspekt bei der Handhabung von Zugriffsrechten, da gestohlene Passwörter wichtige Daten preisgeben können. Oft genug kommen Lieferketten-Hacker aus dem Unternehmen selbst und haben Zugang zu wichtigen Informationen.

Framework kontrollieren

Unternehmen benötigen eine Strategie, die Kontrollpraktiken für den Zugriff auf ihre internen Ressourcen festlegt. Idealerweise entwickeln sie diese als Teil ihrer gesamten IT-Strategie und -Planung (Security by Design). So ist gewährleistet, dass der Fluss kritischer Daten kartiert und regelmäßig überwacht wird, um ungewöhnliche Aktivitäten oder Datenlecks zu erkennen. KI- und ML-basierte Lösungen bieten eine prädiktive Bedrohungsanalyse, um verdächtige Aktivitäten zu erkennen. Die gesamte ein- und ausgehende Kommunikation muss zudem gründlich überprüft werden. Die Nutzung paralleler Netzwerke verhindert darüber hinaus Angriffe auf die Lieferkette. Viele Firmen greifen dann auf die Segmentierung oder Abschottung des Netzwerks zurück.

Die Sicherheitsstrategie einer Organisation muss mit den Unternehmenszielen übereinstimmen, die je nach Branche unterschiedlich sind. So haben Behörden beispielsweise einen viel größeren Bedarf an kritischem Zugriffsmanagement und müssen mehrere Drittanbieter verwalten – dies fordert wiederum umfassendere Sicherheitskontrollen.

Ebenso trägt eine Art „Security-first“-Kultur innerhalb der Organisation dazu bei, dass Mitarbeiter die Unternehmensressourcen besser schützen. Sensibilisierungsveranstaltungen, Schulungsprogramme und ein Top-Down-Ansatz für die Umsetzung von Cybersecurity-Praktiken leisten einen großen Beitrag zur Verhinderung von Angriffen auf die Lieferkette.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über IT-Sicherheits-Management