Mit <kes>+ lesen

Cyber-Supply-Chain-Security : (Cyber-) Sicherheit auf die Kette bekommen : Die zunehmende Digitalisierung der Lieferketten birgt Chancen und Risiken zugleich

Führungskräfte sind besorgt über Schwachstellen in ihrer Lieferkette – zu Recht: Laut des „Global Cybersecurity Outlook 2022“ des World Economic Forums gaben fast 40 Prozent der Befragten an, dass sie von einem Cybersicherheitsvorfall im Zusammenhang mit Drittanbietern beziehungsweise liefernden Firmen negativ betroffen waren. 58 Prozent der befragten CEOs hielten ihre Geschäftspartner und Zulieferbetriebe für weniger widerstandsfähig als ihre eigene Organisation.

Heutige Lieferketten sind weitverzweigte, global vernetzte Systeme, in denen Institutionen sowohl aus dem öffentlichen als auch aus dem privaten Sektor eng zusammenarbeiten. Dazu gehören Einkäufer, Lieferanten, Entwickler, Systemintegratoren, Dienstleister und weitere Fachleute aus verschiedensten Bereichen, die gemeinsam Produkte und Dienstleistungen erforschen, entwickeln, herstellen, beschaffen, liefern, integrieren und in vielfältiger Weise nutzen oder verwalten. Dabei spielt die Cybersicherheit eine zentrale Rolle, da diese Interaktionen von einer breiten Palette von Technologien, gesetzlichen Rahmenbedingungen und strategischen Ansätzen geprägt und beeinflusst werden, um die Integrität und Sicherheit dieser globalen Lieferketten zu gewährleisten. Die Absicherung solch komplexer Systeme stellt eine enorme Herausforderung dar und kann nur über ganzheitliche Sicherheitskonzepte realisiert werden.

Schmerzhafte Erfahrungen

Einer der bis heute prominentesten Lieferketten-Angriffe ist der Angriff auf das Netzwerk-Monitoring-Tool Orion der Firma Solarwinds: Angreifern war es gelungen, Zugriff auf das Build-System des Unternehmens zu erlangen und über einen längeren Zeitraum Schadcode einzuschleusen, der dann in Form von Updates an die Kundschaft von Solarwinds verteilt wurde. Der Angriff diente hauptsächlich der Spionage und blieb damit weit unter dem eigentlichen Schadenspotenzial, dennoch sind die Komplexität und die Auswirkungen des Angriffs beträchtlich. Das modifizierte Update wurde an 18 000 Nutzerinnen und Nutzer ausgeliefert, darunter US-Behörden wie das Finanzministerium oder die „Nationale Verwaltung für Nukleare Sicherheit“ (NNSA, [1]). Der Angriff gilt bis heute als Textbuch-Version eines Advanced-Persistent-Threat-(APT)-Angriffs.

Abbildung 1: Risiken in der Lieferkette
Abbildung 1: Risiken in der Lieferkette

Ein weiteres bekanntes Beispiel für eine Sicherheitslücke in der Lieferkette ist „log4shell“. Dabei handelte es sich um eine Sicherheitslücke in dem beliebten Java-Logging-Framework log4j. Die Schwachstelle ermöglichte es Angreifern, einen beliebigen Code auf den betroffenen Systemen auszuführen. Besonders problematisch war die weite Verbreitung des Open-Source-Frameworks, das Bestandteil vieler Produkte namhafter Hersteller war. Auch dieser Vorfall zeigt, dass gerade die Intransparenz in Softwarelieferketten zu schweren Sicherheitsvorfällen führen kann.

Regulatorische Vorgaben

Die Politik reagiert auf die Lage und adressiert das Thema Lieferkettensicherheit in zwei kommenden Regulierungsvorhaben. So werden unter Art. 21 der NIS-2-Direktive „wichtige“ und „besonders wichtige“ Einrichtungen aufgefordert, geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen für das Risikomanagement im Bereich der Cybersicherheit nach dem „All-Hazards-Approach“ zu ergreifen.

Konkret werden Unternehmen, die in den Geltungsbereich fallen, verpflichtet, ein Cyber-Supply-Chain-Risk-Management (C-SCRM) zu etablieren (vgl. Abb. 1). Um ein funktionierendes C-SCRM aufsetzen zu können, bedarf es wiederum einer Vielzahl von Prozessen, die unter anderem die nötige Transparenz in die Lieferkette bringen, wie etwa durch die Einrichtung eines Lieferantenregisters und den Betrieb eines IT-Asset-Managements. Weiterhin müssen Faktoren wie die Cybersicherheitspraktiken der zuliefernden Unternehmen für eine entsprechende Risikobewertung herangezogen werden. Die Prüfung und Erweiterung bestehender Verträge ist hier eine logische Konsequenz, um den Anforderungen der NIS-2-Direktive gerecht zu werden.

Ein weiteres Regulierungsvorhaben der EU ist der Cyber-Resilience-Act (CRA). Mit diesem soll zukünftig ein einheitlicher Rechtsrahmen für den gesamten Binnenmarkt der EU geschaffen werden. Dieser wird Voraussetzungen im Bereich der IT-Sicherheit für das Inverkehrbringen von Produkten mit digitalen Elementen festlegen, darunter Mindestanforderungen an das IT-Sicherheitsniveau. Diese müssen von fast allen Produkten mit digitalen Elementen eingehalten werden – angefangen bei Smart-Home-Geräten bis hin zu gesamten Betriebssystemen. Die Anforderungen werden die Sicherheit über den gesamten Produktzyklus (Planung, Konzeption, Entwicklung, Herstellung, Lieferung, Wartung) inklusive der Verwendung von Komponenten Dritter berücksichtigen.

Neben den geplanten Gesetzesvorhaben gelten für bestimmte Sektoren bereits heute Vorgaben im Bereich Lieferkettensicherheit: So ist etwa der Finanzsektor durch den Digital-Operations-Resilience-Act (DORA) reguliert, der unter Kapitel V Anforderungen an das Management von IKT-Drittparteienrisiken stellt. Die Radio-Equipment-Directive (RED), welche hier in Deutschland durch das Funkanlagengesetz umgesetzt wird, regelt die Lieferketten von auf dem europäischen Markt bereitgestellten Funkanlagen.

Abbildung 2: Effektives Cyber-Supply-Chain-Risk-Management(C-SCRM) in fünf Schritten-min
Abbildung 2: Effektives Cyber-Supply-Chain-Risk-Management(C-SCRM) in fünf Schritten-min

Ökonomische Aspekte

Mit Beginn der Corona-Pandemie zeigte sich die Relevanz ökonomischer Aspekte wie Produktverfügbarkeit und verlängerter Lieferzeiten; besonders die Halbleiterindustrie hatte mit starken Lieferengpässen zu kämpfen. Der russische Angriffskrieg auf die Ukraine verschärfte die Situation zudem, da Lieferwege von für die Halbleiterherstellung benötigten Edelgasen abgeschnitten wurden. Diese Situation ist als indirektes Risiko für die Cybersicherheit zu bewerten, da Lieferantenwechsel notwendig werden – unter Umständen zu weniger vertrauenswürdigen Lieferanten, die neue Angriffsvektoren öffnen, etwa durch Counterfeiting, sprich die illegale Herstellung und Verbreitung gefälschter Komponenten, die als echte Produkte verkauft werden, aber minderwertig oder sogar schädlich sein können.

Um dieses Risiko zu minimieren und gleichzeitig die digitale Souveränität Europas zu stärken, möchte die Europäische Kommission mithilfe des European Chips-Acts den europäischen Marktanteil im Halbleiterbereich bis 2030 auf 20 Prozent verdoppeln. Da die Abhängigkeiten aber nicht erst bei den fertigen Halbleitern beginnen, sondern schon beim Rohmaterial, soll mithilfe des Critical-Raw-Materials-Acts gleichzeitig die Versorgung mit seltenen Erden und anderen wichtigen Rohmaterialien sichergestellt werden.

Neue Ansätze für mehr Lieferkettensicherheit

Lieferkettensicherheit ist komplex und erfordert eine ganzheitliche Betrachtung. Grundsätzlich mangelt es nicht an technischen Lösungen. Doch für die Absicherung der Lieferkette reichen diese allein nicht aus – sie sind viel mehr als Werkzeuge zu betrachten: Im Bereich der Softwarelieferketten erhöht eine „Software Bill of Material“ (SBOM) die Transparenz, indem sie angibt, welche eigenen oder fremden Komponenten (z. B. Bibliotheken) verwendet werden.

Da fast immer eine Vielzahl unterschiedlicher Quellen und Komponenten im Softwareentwicklungsprozess zum Einsatz kommen, sind SBOMs ein wichtiges Instrument zur transparenten Darstellung der Softwarelieferkette. Sie werden automatisiert erstellt und liegen im Ergebnis als maschinenlesbare Datei vor. SBOMs können verschiedene Charakteristika aufweisen, so ist zum Beispiel eine SBOM dann besonders aussagekräftig, wenn die aufgeführten Komponenten der beschriebenen Software jeweils wiederum in ihre Bestandteile zerlegt werden. So werden auch indirekte Abhängigkeiten über mehrere Ebenen transparent gemacht.

SBOMs können also einen unterschiedlichen Detaillierungsgrad aufweisen und danach charakterisiert werden. Zudem werden sie danach klassifiziert, in welchem Stadium der Software-Erstellung sie erzeugt wurden, zum Beispiel auf Basis des verwendeten Quelltexts (Source-SBOM) oder als Teil des Build-Prozesses (Build-SBOM). Wird also eine Schwachstelle in einer Software oder Softwarebibliothek bekannt, hilft eine SBOM, zu erkennen, ob diese Bestandteil der eigenen Produktlieferkette sind und somit Handlungsbedarf besteht. Aus diesem Grund gehören SBOMs zu den zentralen Forderungen des bereits erwähnten Cyber-Resilience-Acts.

Wichtig ist hierbei jedoch, dass die Information zu der Schwachstelle selbst nicht in der SBOM enthalten ist. Hierzu stehen maschinenlesbare Security Advisories, wie im „Common Security Advisory Framework“ (CSAF, vgl. Kasten) beschrieben, zur Verfügung. SBOMs und CSAF verkürzen somit die Reaktionszeit auf eine bekanntgewordene Sicherheitslücke deutlich. Lieferkettensicherheit kann jedoch nur mithilfe ganzheitlicher Sicherheitskonzepte gewährleistet werden – zu erprobten Maßnahmen zählen etwa das IT-Asset-Management, das Cyber-Supply-Chain-Risk-Management (C-SCRM) und die entsprechende Beachtung der Thematik in Awareness-Maßnahmen. Diese Maßnahmen werden für viele Unternehmen durch die kommenden Regulierungsvorhaben verpflichtend.

Das BSI unterstützt mit zahlreichen Angeboten wie etwa dem CyberRisikoCheck, der kleinen und mittleren Unternehmen (KMU) eine Positionsbestimmung des eigenen IT-Sicherheitsniveaus ermöglicht. Er zeigt auch auf, welche konkreten Maßnahmen umgesetzt werden sollten. Da KMU einen großen Teil der Lieferketten ausmachen, aber gleichzeitig eher kleinere Budgets für Cybersicherheit zu Verfügung haben, ist diese niederschwellige Hilfe essenziell.

Ein weiteres wichtiges Element ist die Technische Richtlinie TR-03183-2 [2], die Anforderungen an eine „Software Bill of Materials“ beschreibt. Nicht nur sind SBOMs eine Anforderung des CRA, vielmehr sind sie der einzige Weg, Informationen über Abhängigkeiten in Softwarekomponenten interoperabel über Unternehmensgrenzen hinweg zu teilen.

Lieferkettensicherheit muss Chefsache sein. Deshalb schildert das „Management Blitzlicht“ [3] (Abb. 3), ein neues Publikationsformat des BSI für die Chefetage, in seiner ersten Ausgabe, wie der Aufbau eines effektiven C-SCRM gelingt. Mehr Details bietet das Handbuch „Management von Cyber-Risiken“ [4] der Allianz für Cyber-Sicherheit (ACS). Da die Lieferkettensicherheit fast alle Bereiche eines Unternehmens betrifft, ist die nötige Aufmerksamkeit des Managements sowie die Bereitstellung der benötigten Ressourcen eine unverzichtbare Grundvoraussetzung.

Abbildung 3: „Management Blitzlicht“ für die Chef-Etage zum effektiven Aufbau eines C-SCRM-min
Abbildung 3: „Management Blitzlicht“ für die Chef-Etage zum effektiven Aufbau eines C-SCRM-min

Common Security Advisory Framework (CSAF)

Das „Common Security Advisory Framework“ (CSAF) wurde am 18. November 2022 als offener Standard (CSAF 2.0) der OASIS Open publiziert. Es begegnet der Herausforderung, dass es viele unterschiedliche Formate, Dokumentstrukturen und Kommunikationswege zur Übermittlung von Security-Advisories (deutsch: Sicherheitsinformationen) gab und gibt. Der Prozess der Informationsbeschaffung und Risikobewertung ist somit mit enormem manuellem und zeitlichem Aufwand verbunden. Darüber hinaus sind Sicherheitsinformationen oft nur in menschenlesbarer und nicht in maschinenlesbarer Form vorhanden sowie teilweise nur dedizierten Kreisen zugänglich.

CSAF spezifiziert zum einen das Auffinden, die Verteilung und den Abruf und zum anderen das Format von maschinenverarbeitbaren Sicherheitsinformationen. Informationen, die entsprechend des CSAF-Standards generiert und bereitgestellt werden, werden im JSON-Format publiziert, lassen sich daher gut skalieren und automatisiert abrufen und verteilen.

Die Nutzung von CSAF-Dokumenten reduziert den manuellen Aufwand bei der Suche nach Sicherheitsinformationen und deren Evaluation erheblich. Sie ermöglicht es Herstellern, Anwendern, Betreibern und der Verwaltung, Sicherheitsinformationen zu einzelnen Schwachstellen automatisiert abzurufen, um sie mit ihren Asset- und sogar SBOM-Datenbanken abzugleichen. Es kann nach CSAF-Dokumenten und deren Inhalt, beispielsweise nach bestimmten Herstellern, gefiltert werden, sodass dann auch nur solche Advisories automatisiert abgerufen werden, die für die in der entsprechenden Asset- oder SBOM-Datenbank befindlichen Produkte und Komponenten relevant sind.

CSAF-Dokumente informieren also nicht nur über eine mögliche Betroffenheit, sondern ermöglichen es auch, eine Nicht-Betroffenheit festzustellen und erleichtern so die Risikobewertung. Das Beschleunigen dieser Prozesse mittels CSAF ermöglicht, dass sich Hersteller, Anwender, Betreiber und die Verwaltung auf das Risikomanagement und das Beheben von Schwachstellen konzentrieren und ein zeitgemäßes Schwachstellenmanagement betreiben.

Literatur

[1] Eike Kühl, Solarwinds-Hack, Ein Hackerangriff, der um die Welt geht, spektrum.de, Januar 2021, www.spektrum.de/news/solarwinds-einhackerangriff- der-um-die-welt-geht/1819187

[2] Bundesamt für Sicherheit in der Informationstechnik (BSI), Cyber Resilience Requirements for Manufacturers and Products – Part 2: Software Bill of Materials (SBOM), BSI Technical Guideline TR-03183-2, Version 1.1, November 2023, www.bsi.bund.de/dok/TR-03183

[3] Bundesamt für Sicherheit in der Informationstechnik (BSI), Management Blitzlicht – Grundlagen des Cyber- Supply Chain Risk Management (C-SCRM), Oktober 2023, www.bsi.bund.de/SharedDocs/Downloads/ DE/BSI/Publikationen/Broschueren/ Management_Blitzlicht_C-SCRM.html

[4] Bundesamt für Sicherheit in der Informationstechnik (BSI) / Allianz für Cyber-Sicherheit (ACS), Management von Cyber-Risiken, Ein Handbuch für die Unternehmensleitung, März 2023, www.allianz-fuer-cybersicherheit.de/dok/cyberriskmanagement

Diesen Beitrag teilen: