News und Produkte

Sicherheit von Open-Source-Software

Die Linux Foundation und Snyk haben Ende Juni die Ergebnisse ihres ersten gemeinsamen Forschungsberichts „The State of Open Source Security“ veröffentlicht. Die Ergebnisse zeigen teils erhebliche Risiken, die sich aus dem weitverbreiteten Einsatz von Open-Source-Software (OSS) in der modernen Anwendungsentwicklung ergeben – zudem seien viele Unternehmen derzeit schlecht darauf vorbereitet, solche Risiken effektiv zu bewältigen, kommentiert Snyk. Der Bericht zeige, wie real das Risiko ist, sich von Open-Source-Komponenten abhängig zu machen, da man in jeder untersuchten Anwendung bereits Dutzende von Schwachstellen in vielen direkten Abhängigkeiten entdeckt habe. Das durchschnittliche Anwendungsentwicklungsprojekt weist dem Report zufolge 49 Schwachstellen und 80 direkte Abhängigkeiten auf. Das Risiko werde durch indirekte oder transitive Abhängigkeiten noch verstärkt – viele Entwickler wüssten nicht einmal von allen Abhängigkeiten. Immerhin seien sich die Umfrageteilnehmer in einem gewissen Maße der Komplexität bewusst, die OSS in der heutigen Software-Lieferkette bewirke: Mehr als ein Viertel der Umfrageteilnehmer gab an, sich Sorgen über die Sicherheitsauswirkungen ihrer direkten Abhängigkeiten zu machen – nur 18 % gaben an, dass sie von den Kontrollen überzeugt sind, die sie für ihre transitiven Abhängigkeiten eingerichtet haben.

Nur rund die Hälfte aller erfassten Unternehmen verfügt der Studie zufolge über eine Sicherheitsrichtlinie zur OSS-Nutzung – bei größeren Unternehmen ist der Anteil etwas höher (Abb. 1). 30 % der Unternehmen ohne eine Open-Source-Sicherheitsrichtlinie geben laut Snyk offen zu, dass sich niemand in ihrem Team direkt um die OSS-Sicherheit kümmert. Wenig verwunderlich hält dann in diesem Teil der Stichprobe auch nur weniger als die Hälfte der Teilnehmer ihre OSS für „einigermaßen“ (somewhat) oder hochgradig sicher – bei Organisationen mit OSS-Security-Policy sind das immerhin 70 % (vgl. Abb. 2).

Mit der zunehmenden Komplexität der Anwendungsentwicklung gehen auch komplexere Sicherheitsherausforderungen für die Entwicklungsteams einher – OSS macht die Entwicklung zwar effizienter, erhöht aber auch den „Reparaturaufwand“, konstatiert die Studie: Dem Bericht zufolge dauert die Behebung von Schwachstellen in Open-Source-Projekten fast 20 % länger als in proprietären Projekten – der Zeitaufwand, um OSS-Schwachstellen zu beheben, habe sich von 49 Tagen im Jahr 2018 auf 110 Tage im Jahr 2021 mehr als verdoppelt. Abbildung 3 zeigt eine Aufschlüsselung der mittleren Dauer bis zu einem Fix je nach verwendeter Programmiersprache.

„Softwareentwickler haben heute ihre eigenen Lieferketten – statt Autoteile zusammenzubauen, entwickeln sie Code, indem sie vorhandene Open-Source-Komponenten mit ihrem eigenen Code mischen. Dies führt zwar zu höherer Produktivität und Innovation, sorgt aber auch für erhebliche Sicherheitsprobleme“, erläutert Matt Jarvis, Director, Developer Relations bei Snyk: „Der ‚State of Open Source Security‘-Bericht hat weitverbreitete Beweise für die Naivität der Industrie in Bezug auf den heutigen Stand der OSS-Sicherheit gefunden.“ – „Open-Source-Software macht Entwickler zweifellos effizienter und beschleunigt Innovationen, aber die Art und Weise, wie moderne Anwendungen zusammengestellt werden, macht es auch schwieriger, sie zu sichern. Die Untersuchung zeigt deutlich, dass das Risiko real ist und die Branche noch enger zusammenarbeiten muss, um von schlechten Praktiken bei Open Source oder in der Software-Lieferkette wegzukommen“, folgert Brian Behlendorf, General Manager, Open Source Security Foundation (OpenSSF).

Für die von OpenSSF, der Cloud Native Security Foundation, der Continuous Delivery Foundation sowie der Eclipse Foundation unterstützte Studie wurden unter anderem im April 2022 mehr als 550 Teilnehmer befragt sowie Daten von Snyk Open Source genutzt, das laut Anbieter mehr als 1,3 Milliarden Open-Source-Projekte gescannt hat. Der vollständige Report steht als 33-seitiges PDF in englischer Sprache über https://snyk.io/reports/open-source-security/ kostenlos zum Download zur Verfügung (Registrierung erforderlich). (www.linuxfoundation.org / https://snyk.io)

Leitfaden und Tool zur Software-Supply-Chain-Sicherheit

Als Ergebnis ihrer Kooperation haben das Center for Internet Security (CIS) sowie Aqua Security unlängst den Entwurf eines Leitfadens für Sicherheit in der Software-Supply-Chain sowie ein Open-Source-Tool vorgestellt, mit dessen Hilfe sich die Einhaltung der neuen CIS-Richtlinien sicherstellen lassen soll.

Der CIS Software Supply Chain Security Guide enthält mehr als 100 grundlegende Empfehlungen, die sich laut Herausgeber auf eine Vielzahl häufig verwendeter Technologien und Plattformen anwenden lassen. Die neuen Richtlinien schreiben demnach Best Practices fest, die wichtige neue Standards wie Supply-Chain-Levels for Software Artifacts (SLSA) und The Update Framework (TUF) unterstützen – gleichzeitig wollen sie grundlegende Empfehlungen für die Festlegung und Prüfung von Konfigurationen auf den von den Benchmarks unterstützten Plattformen geben.

Innerhalb des Leitfadens umfassen die Empfehlungen fünf Kategorien der Software-Supply-Chain: Quellcode, Build-Pipelines, Abhängigkeiten, Artefakte und Bereitstellung. Das CIS beabsichtigt, den Leitfaden um spezifischere Benchmarks zu erweitern und so einheitliche Sicherheitsempfehlungen für alle Plattformen zu schaffen. Wie alle CIS-Anleitungen werde auch dieser Leitfaden weltweit veröffentlicht und geprüft – bislang etwa von Experten des CIS, von Aqua Security, Axonius, PayPal, CyberArk, Red Hat und anderen Technologieunternehmen. Rückmeldungen aus der Community könnten ebenfalls dazu beitragen, dass künftige plattformspezifische Anleitungen präzise und relevant sind.

Um Unternehmen bei der Umsetzung der CIS-Richtlinien zu unterstützen, habe Aqua Security zudem ein Open-Source-Tool veröffentlicht: Chain-Bench scanne den DevOps-Stack vom Quellcode bis zur Bereitstellung und vereinfache die Einhaltung von Sicherheitsvorschriften, Standards und internen Richtlinien, um sicherzustellen, dass Teams Software-Sicherheitskontrollen und Best Practices konsequent umsetzen können, betont das Unternehmen. Der CIS Software Supply Chain Security Guide steht als 66-seitiges PDF in englischer Sprache über die CIS WorkBench (Registrierung erforderlich) kostenlos zum Download bereit. Das kostenfreie Open-Source-Tool Chain-Bench ist via https://github.com/aquasecurity/chain-bench verfügbar. (www.cisecurity.org / www.aquasec.com)

Mehr IoT-Malware – Verschiebungen im Cyberwettrüsten

Ende Juli hat SonicWall das Halbjahres-Update des SonicWall Cyber Threat Report 2022 veröffentlicht. Demnach sind die globalen Malware-Zahlen um 11 %, Malware-Attacken auf das „Internet der Dinge“ (IoT) sogar um 77 % und (via TLS) verschlüsselte Bedrohungen um 132 % gestiegen. Zudem seien – gerade bei Ransomware – geografische Verschiebungen zu beobachten, da sich die geopolitischen Konflikte auch auf cyberkriminelle Aktivitäten auswirken.

In Deutschland stieg die Anzahl der Eindringversuche im Vergleich zum Vorjahr laut SonicWall um 20 %. Zwar nahmen Ransomware-Attacken (–15 %) und Malware-Angriffe (– 13 %) hierzulande leicht ab – dennoch liege Deutschland damit im weltweiten Vergleich noch immer auf Platz 4 bei der Anzahl der Ransomware- (9 372 838) und Malware-Attacken (132 503 054).

Während das globale Ransomware-Geschehen zum Jahresanfang abgenommen habe (–23 % im Jahresvergleich), gab es in Europa einen signifikanten Anstieg bei Malware-Angriffen (+29 %) und Ransomware (+63 %). Sieben der elf mengenmäßig am meisten von Ransomware betroffenen Länder gehören zu Europa (Großbritannien, Italien, Deutschland, Niederlande, Norwegen, Polen und Ukraine), was auf eine Verschiebung in der  Cyberbedrohungslandschaft in dieser Region deutet, berichtet SonicWall.

Der vollständige SonicWall Cyber Threat Report 2022 ist als 39-seitiges PDF in englischer Sprache über www.sonicwall.com/2022-cyber-threat-report/kostenlos (Registrierung erforderlich) verfügbar. (www.sonicwall.com)

DNS-Kongress auf der Security Essen

Nach dem coronabedingten Aussetzen öffnet die Security Essen vom 20. bis 23. September 2022 wieder ihre Tore. Die Fachmesse ist internationaler Treffpunkt der physischen Sicherheitsbranche und findet im modernisierten Gelände der Messe Essen statt. In den Ausstellungshallen geht es um die Themenbereiche „Dienstleistungen“, „Zutritt, Mechatronik, Mechanik und Systeme“, „Perimeter“, „Video“ sowie „Brand, Einbruch und Systeme“.

Darüber hinaus ist auch Cybersecurity ein Thema: Durch IoT-Devices und die Internetanbindung von Produkten und Dienstleistungen, die zuvor rein physisch oder autark funktionierten, ergeben sich neue mögliche Angriffsziele für Cyberkriminelle, so die Messe. Smart Homes, digitale Firmengebäude, Videoüberwachung und Zutrittskontrolle in der Cloud seien nur einige Beispiele dafür, dass die Auseinandersetzung mit Datenschutz und Informations-Sicherheit künftig auch für die physische Sicherheitswelt unausweichlich ist.

Deswegen veranstalte man innerhalb des Rahmenprogramms einen passenden Kongress, dessen Programm Datakontext im Auftrag organisiert: Auf der Digital Networking Security Konferenz am 20. und 21. September berichten Experten über aktuelle Vorfälle, wichtige Schnittstellen zwischen der Corporate- und IT-Security sowie rechtliche Vorgaben und geben praktische Umsetzungsbeispiele. So zeigt der Sachbuchautor Thomas R. Köhler in seiner Keynote zum Thema „Zwischen Cybercrime und Cyberwarfare – warum Cybersicherheit Chefsache ist“ anhand aktueller Fallbeispiele die wesentlichen Gefahren für Unternehmen, welche Risiken im Internet der Dinge drohen, warum Fabrikautomatisierung und Logistik die neuen Spielfelder der Cybercrimeszene werden und wie man sich und seine Mitarbeiter:innen bestmöglich schützen kann.

Der Kongress findet in Halle 7 statt und ist für Messebesucher kostenlos. Weitere Informationen gibt es unter www.security-essen.de/impulsgeber/programm/dns-konferenz/. (www.security-essen.de)

Firmen, Finanzen & Fusionen

Jubiläen: In diesem Jahr feiern eine ganze Reihe Unternehmen und Verbände nennenswerte Jahrestage. Unter anderem freuen sich SAP und die von zur Mühlen‘sche (VZM) GmbH über ihr 50-jähriges Bestehen. Die Project Consult Unternehmensberatung wurde 30. Und Anfang September feiert der CyberSicherheitsrat Deutschland e. V. sein 10-jähriges Jubiläum. (https://cybersicherheitsrat.de / www.project-consult.com / www.sap.com/germany/ / www.vzm.de)

Airbus und CISPA gründen Digital Innovation Hub for Cybersecurity and Artificial Intelligence: Die beiden Organisationen haben im Juni ein Memorandum of Understanding (MoU) unterzeichnet, um noch in diesem Jahr ein Kompetenzzentrum für Cybersicherheit und vertrauenswürdige künstliche Intelligenz im Saarland zu eröffnen. Als Ort ist der CISPA-Campus in St. Ingbert vorgesehen, wo innerhalb der nächsten drei Jahre rund 100 Experten beschäftigt werden sollen – langfristig wolle man das Kompetenzzentrum auf mehr als 500 Experten ausbauen. (https://airbus-cyber-security.com/de/ /https://cispa.de)

Aqua Security aus deutschem Rechenzentrum: Der US-amerikanische Cloud-Security-Anbieter hostet seine Cloud-Native-Application-Protection-Plattform (CNAPP) als Software as a Service (SaaS) ab sofort auch in Frankfurt am Main. Kunden in der EU sollen so die Flexibilität von SaaS nutzen, um Angriffe auf Cloud-Native-Umgebungen zu stoppen und gleichzeitig hiesige Anforderungen an Datenschutz und Beschränkungen für die Datenübertragung einhalten können. (www.aquasec.com)

Partnervertrag von HiScout und secunet: Durch die Vertiefung der bestehenden Kooperation wolle man den gemeinsamen Kundenbestand weiter ausbauen. Die beiden Unternehmen möchten durch die Kooperation ihren Kunden gemeinsam einen „Komplettservice rund um Managementsysteme für Governance, Risk and Compliance (GRC)“ anbieten. (www.hiscout.com / www.secunet.com)

Kooperation von Juniper Networks und Dragos: Die Zusammenarbeit mit dem Cybersecurity-Anbieter im Bereich Industrial Control Systems (ICS) und Operational Technology (OT) diene der Sicherung kritischer Infrastrukturen. Basierend auf den Routing-, Switching- und Firewall-Lösungen von Juniper in Verbindung mit der Cybersecurity-Technik sowie Bedrohungsanalyse der Dragos-Plattform sollen OT-Netzwerke „nahezu in Echtzeit auf Angriffe reagieren“ können. Das konvergente Industrienetzwerk ermögliche darüber hinaus eine starke Cybersecurity-Transparenz über IT- und OT-Domänen hinweg sowie eine „End-to-End-Bedrohungserkennung und -Reaktionsorchestrierung“ einschließlich der Nutzung von Junipers Connected-Security-Strategie in OT-Netzwerkumgebungen. (www.juniper.net/de/ / www.dragos.com)

Lookout übernimmt Safer-Pass: Mit der Akquisition des Anbieters für Passwortmanagement biete man künftig geräteübergreifende Lösungen für das Identitäts- und Passwortmanagement an. So wolle Lookout seine Mission fortsetzen, „proaktiven Schutz zu bieten und Kundendaten für Privatpersonen und Unternehmen zu sichern“. Safer-Pass werde nun unter der Marke und Führung von Lookout operieren, das SaferPass-Team nach Firmenangaben vollständig in die Lookout-Organisation integriert. (www.lookout.com / https://saferpass.com)

Netskope übernimmt Woot-Cloud: Mit dem „Pionier bei der Anwendung von Zero-Trust-Prinzipien auf IoT-Sicherheit“ erweitere man Netskopes Security-Service-Edge-(SSE)- und Zero-Trust-Funktionen um die HyperContext Security Platform von WootCloud, die „End-to-End-Transparenz, Kontext und Bedrohungsbeseitigung für verwaltete sowie nichtverwaltete IoT-Geräte in Unternehmen“ liefere. (www.netskope.com / www.wootcloud.com)

Skaylink eröffnet Cyber-Security-Center (CSC): Mit dem neuen Angebot will der Cloud-Dienstleister basierend auf Microsoft-Technologien wie Azure Sentinel „den Schutz der kompletten IT-Landschaft in Verbindung mit einer 24/7-Überwachung“ als Managed Service anbieten. (www.skaylink.com)

secunet und Worldline kooperieren mit Fokus auf vertrauenswürdige Konnektivität im Zero-Trust-Umfeld: Zusammen mit dem Anbieter für Zahlungsverkehrsdienstleistungen habe secunet eine Lösungsplattform für das Edge-Computing geschaffen, die „alle Anforderungen an vertrauenswürdige Konnektivität im Zero-Trust-Umfeld“ erfülle. Dazu habe man die Cybersicherheitssoftware WL Digital Doorman und WL Secure Remote Servicing von Worldline als funktionsvalidierte Bausteine der Trusted-Edge-Plattform secunet edge qualifiziert. Außerdem hat secunet die Übernahme des Open-Source-Projekts strongSwan gemeldet: Die Software setze das Internet-Key-Exchange-(IKE)-Protokoll um und sei unter anderem eine zentrale Komponente des Schlüsselmanagements in der IT-Hochsicherheitslösung SINA sowie Teil von Millionen gängiger Smartphones. Der Übernahmevertrag mit der OST Ostschweizer Fachhochschule (ehemals HSR Hochschule für Technik Rapperswil), die das Projekt bislang betreut hat, wurde Ende Mai 2022 unterzeichnet – die Rechte für die Software lägen somit nun bei secunet. strongSwan bleibe aber weiterhin unter der Softwarelizenz GPLv2. (www.secunet.com / www.worldline.com / www.ost.ch / www.strongswan.org)

Deutscher Hosting-Standort von Snyk: Mit seinem neuen EU-Rechenzentrum in Frankfurt/Main wolle das Unternehmen gewährleisten, dass seine Kunden bei Fragen der Datenspeicherung sicher und regelkonform bleiben können. Der Anbieter von Security-Lösungen für Entwickler sei in den letzten Quartalen in der EMEA-Region schnell gewachsen und der neue Standort solle die Attraktivität für Unternehmenskunden in der Region weiter erhöhen. (www.snyk.io)

Sophos bündelt Teams: Die neue Geschäftseinheit Sophos X-Ops vereine SophosLabs, Sophos SecOps und Sophos AI in einer übergreifenden Einheit, um die Stärken aller Teams zu kombinieren und künftig „geballte Threat-Intelligence“ sowie Schutz-, Erkennungs- und Reaktionsfunktionen anzubieten. (www.sophos.com/de-de/)

Thales übernimmt OneWelcome: Mit der Akquisition des niederländischen Customer-Identity-and-Access-Management-(CIAM)-Anbieters wolle das Unternehmen die Entwicklung seines Cybersicherheits-Segments beschleunigen. Die Identitäts-Cloud von OneWelcome für externe Nutzer – wie Verbraucher, Geschäftspartner und Auftragnehmer – ergänze die Identitäts- und Zugriffsmanagement-Funktionen von Thales für Mitarbeiter:innen und decke Schlüsselbereiche wie Datenschutz, Delegations- und Zustimmungsmanagement ab. Überdies haben Thales und Palo Alto Networks gemeldet, im Rahmen einer langjährigen Zusammenarbeit drei technische Integrationen zur Unterstützung der Cloud-Migration von Unternehmen durchzuführen: Durch die Integration von Thales‘ SafeNet Trusted Access in Palo Altos Prisma Access, GlobalProtect, ML-Powered Next Generation Firewalls und Cortex XSOAR-Technologie seien Unternehmen in der Lage, ein Zero-Trust-Modell in einer Reihe von Lösungen einzusetzen und von einer adaptiven Multi-Faktor-Authentifizierung, Zugriffsmanagement über Edge-Solutions, Netzwerksicherheitsrichtlinien, Incident-Response sowie Threat-Intelligence-Management zu profitieren.
(www.thalesgroup.com / www.onewelcome.com / www.paloaltonetworks.de)

Trend Micro gründet Tochterunternehmen für Cybersicherheit im Automotive-Bereich: Aufgrund der starken  Marktnachfrage nach entsprechenden Sicherheitslösungen konzentriere sich VicOne als neue Tochtergesellschaft auf die Absicherung von Elektrofahrzeugen und vernetzten Fahrzeugen. So wolle man Ende-zu-Ende-Sicherheitslösungen für das Automobil-Ökosystem einschließlich „Security by Design“, Risikomanagement sowie Detection and Response anbieten. Zudem pflege Trend Micro bereits eine strategische Partnerschaft mit dem MIH Consortium, einer von Foxconn geleiteten offenen Plattform für die Entwicklung elektrischer Fahrzeuge, und habe sich vor Kurzem der Initiative Scalable Open Architecture for Embedded Edge (SOAFEE) angeschlossen. (www.trendmicro.de / www.vicone.com / www.mih-ev.org / https://soafee.io)

uniscon agiert künftig als idgard: Das Unternehmen firmiere zwar weiterhin unter „uniscon GmbH“, kommuniziere aber künftig als idgard – eine Entscheidung, die sich im gesamten Markenauftritt und allen Kommunikationskanälen widerspiegele. Dies umfasse auch den privacyblog, der ab sofort unter der neuen URL blog-idgard.com zu finden ist, sowie die Social-Media-Kanäle des Unternehmens. (www.uniscon.com / www.idgard.de)

Virtual Solution heißt jetzt Materna Virtual Solution: Die Umfirmierung folgt der Übernahme durch Materna Anfang des Jahres – der Münchener Kommunikationsspezialist bleibt aber einer Presseinformation zufolge weiterhin eigenständig. Mit der Zugehörigkeit zur Materna-Gruppe erweitere das Unternehmen jedoch seine „Expertise und Ressourcen im Bereich der sicheren Kommunikation und des ultramobilen Arbeitens“. (www.materna-virtual-solution.com)