Je weiter die IT-Security wächst, desto mehr gedeiht leider auch die Cyberkriminalität. Neuesten Analysen zufolge fokussieren Hacker sich immer mehr auf Software-Lieferketten. Nach dem aktuellsten Statusbericht verzeichnet sich nicht nur eine deutliche Steigerung dieser Angriffe, sondern auch eine ganz neue Ausrichtung.
Der 2020 “State of the Software Supply Chain Support”
Bei dem Dokument mit dem merkwürdigen Namen handelt es sich um einen ausführlichen Statusbericht zu Software-Lieferketten. Darin dreht sich alles um sogenannte Open Source Software, deren Entwicklung, aber auch um die entsprechende IT-Sicherheit.
Das Unternehmen Sonatype veröffentlicht regelmässig einen solchen Bericht und hat damit bereits einen hohen Bekanntheitsgrad erreicht. Mit Machine Learning Methoden analysieren IT-Experten Open Source Software und deren Komponenten auf mögliche Schwachstellen.
Open Source als Schwachstelle bei Software-Lieferketten
Über die Risiken von Open Source Software informierten wir Sie bereits im Vorfeld. Dass es sich in unserem Beitrag nicht um reine Mutmassung handelte, belegt nun die neue Studie von Sonatype. Die wichtigsten Kennzahlen und Erkenntnisse der Analyse von Software-Lieferketten stellen wir Ihnen nachfolgend vor.
- durchschnittlich 85 Cyber-Attacken pro Monat richten sich gezielt auf Software-Lieferketten
- dies stellt einen Anstieg von 430 Prozent im Vergleich zum Vorjahr dar
- jährliche Download-Anzahl von Open Source Software in Höhe von 373.000 Stück
- ein Grossteil besagter Open Source Software besteht aus unterschiedlichen Codes, von denen ein Teil von minderer Qualität ist
- über die Hälfte der Unternehmen benötigt mehr als eine Woche, um Zero-Day-Exploits zu beheben
“Next Gen” Angriffe auf Software-Lieferketten
Bei den Attacken durch Cyberkriminelle handelt es sich laut dem Report indes um Angriffe der “nächsten Generation”. Vielmehr sollte es jedoch heissen, Angriffe auf die nächste Generation. Denn der Umstand bedeutet, dass Urheber von Malware, Hacker und Co. es ganz gezielt auf noch in der Entstehung befindliche Open Source Projekte abzielen.
Cyberkriminelle kompromittieren die Projekte und deren Bestandteile heimlich, schleusen Schadcode in die Software ein und sobald diese dann zum Release bereitsteht, streut sich die Malware bei jedem Download.
“Legacy” Angriffe auf Software-Lieferketten
Das böse Geschwisterteil der Next Gen Attacken ist der sogenannte Legacy-Angriff. Legacy steht übersetzt für verschiedene Begriffe, darunter Vermächtnis, Hinterlassenschaft, oder auch einfach “veraltet”. Und genau das ist es, was hier zum Zuge kommt. Cyberkriminelle werden erst aktiv, nachdem Zero-Day-Exploits bekannt wurden. Anschliessend nutzen sie diese schamlos aus.
Abhängigkeiten sind entscheidend
Natürlich kann nicht jedes Unternehmen einfach mal so seine Software-Lieferketten umstellen. Entscheidend ist jedoch die Abhängigkeit von einzelnen Gliedern der Kette.
Wer sämtliche Software “inhouse” betreibt oder aber auf einen einzigen externen Anbieter setzt, riskiert im Ernstfall die vollständige Einstellung des gesamten Geschäftsbetriebs. Wer auf eine Vielzahl von Software setzt, diese aber zu einem Grossteil aus Open Source Quellen bezieht, riskiert ebenso viel.
Open Source Software für die Lieferkette ist nicht zwangsläufig schlecht, jedoch sollte stets die Möglichkeit bestehen, diese im Notfall eigenständig zu patchen. Das wiederum ist mit der Aufstellung eines geeigneten Expertenteams, sei es intern oder extern, möglich.