Je weiter die IT-Security wächst, desto mehr gedeiht leider auch die Cyberkriminalität. Neuesten Analysen zufolge fokussieren Hacker sich immer mehr auf Software-Lieferketten. Nach dem aktuellsten Statusbericht verzeichnet sich nicht nur eine deutliche Steigerung dieser Angriffe, sondern auch eine ganz neue Ausrichtung.
Der 2020 „State of the Software Supply Chain Support“
Bei dem Dokument mit dem merkwürdigen Namen handelt es sich um einen ausführlichen Statusbericht zu Software-Lieferketten. Darin dreht sich alles um sogenannte Open Source Software, deren Entwicklung, aber auch um die entsprechende IT-Sicherheit.
Sonatype veröffentlicht regelmässig einen solchen Bericht und hat damit bereits einen hohen Bekanntheitsgrad erreicht. Mit Machine-Learning-Methoden analysieren IT-Experten Open-Source-Software und deren Komponenten auf mögliche Schwachstellen.
Open Source als Schwachstelle bei Software-Lieferketten
Über die Risiken von Open-Source-Software haben wir dich bereits im Vorfeld informiert. Dass es sich dabei nicht um reine Mutmassung handelte, belegt nun die neue Studie von Sonatype. Die wichtigsten Kennzahlen und Erkenntnisse:
- durchschnittlich 85 Cyber-Attacken pro Monat richten sich gezielt auf Software-Lieferketten
- das stellt einen Anstieg von 430 Prozent im Vergleich zum Vorjahr dar
- jährliche Download-Anzahl von Open-Source-Software in Höhe von 373.000 Stück
- ein Grossteil dieser Open-Source-Software besteht aus unterschiedlichen Code-Komponenten, von denen ein Teil von minderer Qualität ist
- über die Hälfte der Unternehmen benötigt mehr als eine Woche, um Zero-Day-Exploits zu beheben
„Next Gen“ Angriffe auf Software-Lieferketten
Bei den Attacken handelt es sich laut Report um Angriffe der «nächsten Generation» — genauer gesagt: Angriffe auf die nächste Generation. Urheber von Malware, Hacker und Co. zielen gezielt auf noch in der Entstehung befindliche Open-Source-Projekte ab.
Sie kompromittieren die Projekte heimlich, schleusen Schadcode ein — und sobald die Software zum Release bereitsteht, streut sich die Malware bei jedem Download.
„Legacy“ Angriffe auf Software-Lieferketten
Das böse Geschwisterteil der Next-Gen-Attacken ist der Legacy-Angriff. Legacy steht übersetzt für Vermächtnis, Hinterlassenschaft oder schlicht «veraltet». Cyberkriminelle werden erst aktiv, nachdem Zero-Day-Exploits bekannt wurden — und nutzen diese dann schamlos aus.
Abhängigkeiten sind entscheidend
Natürlich kann nicht jedes Unternehmen einfach so seine Software-Lieferketten umstellen. Entscheidend ist die Abhängigkeit von einzelnen Gliedern der Kette.
Wer sämtliche Software intern betreibt oder auf einen einzigen externen Anbieter setzt, riskiert im Ernstfall die vollständige Einstellung des gesamten Geschäftsbetriebs. Wer auf viele verschiedene Software-Lösungen setzt, diese aber zum Grossteil aus Open-Source-Quellen bezieht, riskiert ebenso viel.
Open-Source-Software für die Lieferkette ist nicht zwangsläufig schlecht. Entscheidend ist, ob du sie im Notfall eigenständig patchen kannst — mit einem geeigneten Expertenteam, intern oder extern.