Cybersecurity-Serie Teil 2

Risikomanagement: Security in die Lieferkette bringen

| Autor / Redakteur: Dr. Johannes Bauer / Sebastian Human

Mittels geeigneter Security-Maßnahmen lassen sich Risiken deutlich reduzieren.
Mittels geeigneter Security-Maßnahmen lassen sich Risiken deutlich reduzieren. (Bild: gemeinfrei / Unsplash)

Der zweite Teil der Cybersecurity-Serie widmet sich der Frage, welche Anforderungen die Hersteller erfüllen müssen und wie sie die Risiken durch ihre Software-Lieferkette begrenzen.

Zur Produktsicherheit gehört heute auch der Schutz vor Malware, Hackern und Angriffen aus dem Internet. Das Problem dabei: Vernetzte, intelligente Produkte bestehen aus zahlreichen Komponenten, die häufig nicht mehr vom Hersteller selbst entwickelt werden. Im Gegenteil, wichtige Bestandteile wie Betriebssysteme, integrierte Webserver, Bibliotheken für Bildverarbeitung oder Kryptographie und vieles mehr stammen von Fremdherstellern. Die Anbieter nutzen wiederum selbst Module von Fremdherstellern, so dass Anwendungen keineswegs mehr aus einem Guss sind. Dass immer mehr Unternehmen kritische IT-Systeme in die Cloud (Software-as-a-Service, SaaS) verlagern und über Programmierschnittstellen darauf zugreifen, macht die Security-Situation noch komplexer.

IoT-Sicherheit für KMU: Externe IT-Profis als virtuelle CIOs

Security

IoT-Sicherheit für KMU: Externe IT-Profis als virtuelle CIOs

20.03.19 - Es bedarf keines Blickes in die Glaskugel, um vorauszusagen, dass die zunehmende Anzahl von IoT-Geräten und deren Vernetzung zu einer großen Herausforderung für die IT der Unternehmen wird. Sie ist es zum Teil bereits heute. lesen

Erfahrungsgemäß ist dies für viele Unternehmen eine echte Herausforderung, denn hierfür sind robuste, flexible Prozesse für das Lieferanten- und Risikomanagement notwendig. Hier setzen gute Cybersecurity Services an. Sie unterstützen Unternehmen, die möglichen Sicherheitsrisiken ihrer Produkte und Systeme zu verstehen, zu messen und zu bewerten. So können Unternehmen überprüfen, ob ihre Implementierungen dem Stand der Technik entsprechen. Folgende Best Practices geben Orientierung, um Sicherheitsrisiken zu vermeiden.

Prozesse für Security-Management etablieren

Sicherheitsvorgaben: Unternehmen sollten für ihre gesamte Anwendungslandschaft formale Sicherheitsvorgaben und -Anforderungen definieren, die dann für alle Softwareprodukte und -Komponenten von Drittanbietern gelten. Diese Vorgaben gehören dann anschließend in jede Ausschreibung oder Lieferantenvereinbarung.

Lieferantenprüfung: Jeder neue Lieferant in der Software-Lieferkette sollte zunächst eine Due-Diligence-Prüfung bestehen. Darin wird ermittelt, ob der Lieferant angemessene Sicherheitsvorkehrungen umsetzt, mit denen die Sicherheitsrisiken seiner Software oder Komponente gesenkt werden. Regelmäßige Follow-up-Audits prüfen, dass Änderungen an der Software das Sicherheitsniveau erhalten.

Software-Validierung: Regelmäßige, automatisierte Validierungstests von Softwareprodukten und -Komponenten stellen sicher, dass die Sicherheitsregeln des Unternehmens eingehalten werden.

Aktualisierungen: Das Unternehmen sollte formale Prozesse definieren, mit denen eine regelmäßige Aktualisierung von Software-Anwendungen sichergestellt wird. Dazu gehört auch das Ausbringen von Security-Patches, um den Schutz vor neu identifizierten Bedrohungen sicherzustellen.

Zugriffssicherheit für die Industrie 4.0

Mehr Schutz durch Privileged Account Management

Zugriffssicherheit für die Industrie 4.0

Denkt man an Industrie 4.0 wird klar, dass IT-Infrastrukturen bereits die industriellen Prozesse beeinflussen. Dies hat das Potenzial für noch nie da gewesene Flexibilitäts- und Effizienzsteigerungen und ebenso massive Sicherheitsanforderungen. weiter...

Information und Schulung

Track&Trace-Programme: Ebenso wichtig wie regelmäßige Aktualisierungen ist die Implementierung von Track&Trace-Programmen, mit denen die Quellen (Herausgeber) aller Anwendungen, Komponenten und Codebibliotheken erfasst und überwacht werden.

Ingo M. Rübenach, VP Central, East and Southern Europe Region, UL
Ingo M. Rübenach, VP Central, East and Southern Europe Region, UL (Bild: Michael Schick)

Zugangsbeschränkungen: In dem Zusammenspiel mehrerer Software-Komponenten sollte für jede Einzelkomponente jeweils das Need-to-Know-Prinzip (Kenntnis nur bei Bedarf) gelten. Jede technische Komponente bekommt also nur die Privilegien zugeteilt, die für die erfolgreiche Arbeit unbedingt notwendig sind.

Mitarbeiterschulung: Alle Mitarbeiter sollten fortlaufend und regelmäßig geschult werden, sodass „Awareness“ für effektive Sicherheitspraktiken im Rahmen der Software Lieferkette, die Auswahl von Drittanbieter-Produkten sowie die Überwachung von Softwaresystemen auf potentielle Schwachstellen erzeugt wird.

Diese Best Practices helfen Unternehmen zusammen mit entsprechenden Prüfnormen wie UL 2900 dabei, Sicherheitsrisiken durch Länge und Umfang der Software-Lieferkette weitgehend zu entschärfen. Sie können damit die Beschaffung von Business-Software, Backend-Systemen oder Komponenten für die Entwicklung organisieren und ihre Sicherheitsrisiken senken.

Buchtipp „Cybersicherheit“Das Fachbuch „Cybersicherheit" führt grundlegend und praxisnah an die aktuellen Herausforderungen der IT-Security heran. Dabei werden bewusst neue digitale Entwicklungen, wie die Vernetzung industrieller Maschinen und Anlagen durch Industrie-4.0-Technologien, adressiert. „Cybersicherheit“ kann hier versandkostenfrei oder als eBook bestellt werden.

Im nächsten Teil der Serie geht es darum, smarte, vernetzte Produkte mit hoher Cybersicherheit herzustellen. Eine wichtige Anforderung dafür ist „Security by Design“.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45877179 / Security)