Suchen

Expertenbeitrag

Johannes Bauer

Johannes Bauer

Principal Security Consultant bei UL, UL

Cybersecurity-Serie Teil 2

Risikomanagement: Security in die Lieferkette bringen

| Autor/ Redakteur: Johannes Bauer / Sebastian Human

Der zweite Teil der Cybersecurity-Serie widmet sich der Frage, welche Anforderungen die Hersteller erfüllen müssen und wie sie die Risiken durch ihre Software-Lieferkette begrenzen.

Firma zum Thema

Mittels geeigneter Security-Maßnahmen lassen sich Risiken deutlich reduzieren.
Mittels geeigneter Security-Maßnahmen lassen sich Risiken deutlich reduzieren.
( Bild: gemeinfrei / Unsplash )

Zur Produktsicherheit gehört heute auch der Schutz vor Malware, Hackern und Angriffen aus dem Internet. Das Problem dabei: Vernetzte, intelligente Produkte bestehen aus zahlreichen Komponenten, die häufig nicht mehr vom Hersteller selbst entwickelt werden. Im Gegenteil, wichtige Bestandteile wie Betriebssysteme, integrierte Webserver, Bibliotheken für Bildverarbeitung oder Kryptographie und vieles mehr stammen von Fremdherstellern. Die Anbieter nutzen wiederum selbst Module von Fremdherstellern, so dass Anwendungen keineswegs mehr aus einem Guss sind. Dass immer mehr Unternehmen kritische IT-Systeme in die Cloud (Software-as-a-Service, SaaS) verlagern und über Programmierschnittstellen darauf zugreifen, macht die Security-Situation noch komplexer.

Erfahrungsgemäß ist dies für viele Unternehmen eine echte Herausforderung, denn hierfür sind robuste, flexible Prozesse für das Lieferanten- und Risikomanagement notwendig. Hier setzen gute Cybersecurity Services an. Sie unterstützen Unternehmen, die möglichen Sicherheitsrisiken ihrer Produkte und Systeme zu verstehen, zu messen und zu bewerten. So können Unternehmen überprüfen, ob ihre Implementierungen dem Stand der Technik entsprechen. Folgende Best Practices geben Orientierung, um Sicherheitsrisiken zu vermeiden.

Prozesse für Security-Management etablieren

Sicherheitsvorgaben: Unternehmen sollten für ihre gesamte Anwendungslandschaft formale Sicherheitsvorgaben und -Anforderungen definieren, die dann für alle Softwareprodukte und -Komponenten von Drittanbietern gelten. Diese Vorgaben gehören dann anschließend in jede Ausschreibung oder Lieferantenvereinbarung.

Lieferantenprüfung: Jeder neue Lieferant in der Software-Lieferkette sollte zunächst eine Due-Diligence-Prüfung bestehen. Darin wird ermittelt, ob der Lieferant angemessene Sicherheitsvorkehrungen umsetzt, mit denen die Sicherheitsrisiken seiner Software oder Komponente gesenkt werden. Regelmäßige Follow-up-Audits prüfen, dass Änderungen an der Software das Sicherheitsniveau erhalten.

Software-Validierung: Regelmäßige, automatisierte Validierungstests von Softwareprodukten und -Komponenten stellen sicher, dass die Sicherheitsregeln des Unternehmens eingehalten werden.

Aktualisierungen: Das Unternehmen sollte formale Prozesse definieren, mit denen eine regelmäßige Aktualisierung von Software-Anwendungen sichergestellt wird. Dazu gehört auch das Ausbringen von Security-Patches, um den Schutz vor neu identifizierten Bedrohungen sicherzustellen.

Information und Schulung

Track&Trace-Programme: Ebenso wichtig wie regelmäßige Aktualisierungen ist die Implementierung von Track&Trace-Programmen, mit denen die Quellen (Herausgeber) aller Anwendungen, Komponenten und Codebibliotheken erfasst und überwacht werden.

Ingo M. Rübenach, VP Central, East and Southern Europe Region, UL
Ingo M. Rübenach, VP Central, East and Southern Europe Region, UL
( Bild: Michael Schick )

Zugangsbeschränkungen: In dem Zusammenspiel mehrerer Software-Komponenten sollte für jede Einzelkomponente jeweils das Need-to-Know-Prinzip (Kenntnis nur bei Bedarf) gelten. Jede technische Komponente bekommt also nur die Privilegien zugeteilt, die für die erfolgreiche Arbeit unbedingt notwendig sind.

Mitarbeiterschulung: Alle Mitarbeiter sollten fortlaufend und regelmäßig geschult werden, sodass „Awareness“ für effektive Sicherheitspraktiken im Rahmen der Software Lieferkette, die Auswahl von Drittanbieter-Produkten sowie die Überwachung von Softwaresystemen auf potentielle Schwachstellen erzeugt wird.

Diese Best Practices helfen Unternehmen zusammen mit entsprechenden Prüfnormen wie UL 2900 dabei, Sicherheitsrisiken durch Länge und Umfang der Software-Lieferkette weitgehend zu entschärfen. Sie können damit die Beschaffung von Business-Software, Backend-Systemen oder Komponenten für die Entwicklung organisieren und ihre Sicherheitsrisiken senken.

Buchtipp „Cybersicherheit“Das Fachbuch „Cybersicherheit" führt grundlegend und praxisnah an die aktuellen Herausforderungen der IT-Security heran. Dabei werden bewusst neue digitale Entwicklungen, wie die Vernetzung industrieller Maschinen und Anlagen durch Industrie-4.0-Technologien, adressiert. „Cybersicherheit“ kann hier versandkostenfrei oder als eBook bestellt werden.

Im nächsten Teil der Serie geht es darum, smarte, vernetzte Produkte mit hoher Cybersicherheit herzustellen. Eine wichtige Anforderung dafür ist „Security by Design“.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45877179)

Über den Autor

Johannes Bauer

Johannes Bauer

Principal Security Consultant bei UL, UL