Software-Lieferketten werden immer unsicherer

5. August 2020, 13:41
image

Die Sicherung der Software-Lieferkette brauche eine "kohärentere Reaktion" von Regierungen und Tech-Industrie, fordert ein Report des Atlantic Council.

Der US-Think-Tank Atlantic Council, der auf Internationale Beziehungen spezialisiert ist, hat einen Report "Breaking Trust: Shades of Crisis Across an Insecure Software Supply Chain" veröffentlicht. Darin will der Council aufzeigen, dass die Unsicherheit der Software-Lieferkette eine "Hauptquelle" für nationale Sicherheitsrisiken sowohl für öffentliche als auch für private Organisationen sei.
Im Gegensatz zum physischen Aspekt von Geräten werde Software ständig aktualisiert. Das bedeute, dass die Lieferkette für Software lang ist und vollständig davon abhänge, dass die Benutzer ihren Anbietern und Entwicklern vertrauen.
Für den Report haben die Autoren 115 Angriffe auf Software-Lieferketten in den letzten zehn Jahren untersucht – und wie sich diese Angriffe verändert haben. "Das Sicherheitsrisiko in der Lieferkette wächst", schreiben sie, "und manifestiert sich zunehmend in Schäden für Software-Anwender." In einer zusammenhängenden Software-Umgebung würden erfolgreiche Angriffe vom Endziel wegwandern und sich verstärkt auf die schwächsten Glieder in der Lieferkette fokussieren.
image
Art der Angriffe in den letzten zehn Jahren. Grafik: Atlantic Counsil
Der Report macht dabei die folgenden Haupttrends aus:
  • Grosse Wirkung von staatlichen Akteuren: In der untersuchten Zeit habe es mindestens 27 Angriffe auf die Software-Lieferkette gegeben, die von Russland, China, dem Iran, aber auch den USA, Indien und Ägypten ausgeführt worden seien.
  • Einführung von Software-Updates: 27% der Angriffe zielten auf Software-Updates, um bösartigen Code auf manchmal Millionen von Zielen einzuschleusen.
  • Infizierung von Open-Source-Code: Bei diesen Vorfällen modifizierten Angreifer Open-Source-Code, entweder indem sie sich Zugang zu einem Entwickler-Konto verschafften, oder sie veröffentlichten eigene Open-Source-Pakete mit Namen, die oft benutzten Paketen ähneln. Diese Angriffe richteten sich gegen einige der am weitesten verbreiteten Open-Source-Werkzeuge im Internet.
  • App Stores im Visier: 22% der Angriffe zielten auf App Stores wie den Google Play Store, den App Store von Apple oder App-Hubs von Drittanbietern, um Malware auf mobilen Geräten zu verbreiten. Einige Angriffe zielten sogar auf Entwickler-Tools ab, so dass jede App, die später mit diesem Tool erstellt wurde, potenziell gefährdet war.
  • Missbrauch des Vertrauens in Code Signing: Diese Angriffe untergraben die Kryptographie öffentlicher Schlüssel und Zertifikate, die zur Gewährleistung der Integrität von Code verwendet werden. Die Überwindung dieser Schutzvorkehrungen ist ein entscheidender Schritt, um von einfachen Änderungen an Open-Source-Code bis hin zu komplexen nationalstaatlichen Spionagekampagnen alles zu ermöglichen.
Die Autoren geben auch Empfehlungen an die Tech-Industrie und politische Entscheidungsträger ab, wie die Sicherheit der Lieferkette erhöht werden kann. Das vermutlich Nützlichste sei "die Unterstützung für weitgehend kompatible Standards sowie Werkzeuge anzubieten, um die Belastung der Entwickler durch ein sicheres Software-Lieferkettenmanagement zu verringern". Weiter soll Open Source besser geschützt werden: "Die politische Gemeinschaft muss die Bemühungen, Open-Source-Projekte sicherer zu machen, unterstützen." Sonst würde ein innovatives Ökosystem verdorren.
Der ausführliche Report mit zahlreichen Beispielen von Angriffen auf die Lieferkette kann auf der Website des Atlantic Council kostenlos als PDF heruntergeladen werden.

Loading

Mehr zum Thema

image

Cybersecurity bei EY

Mit dem Cybersecurity Team unterstützen wir bei EY unsere Kundinnen und Kunden bei der Risikominimierung von Cyberangriffen.

image

Gibt Swisscom im Glasfaserstreit nach?

Bald können private Kundinnen und Kunden bei Swisscom wieder Glasfaser-Anschlüsse bestellen – und zwar in Form einer P2P-Anbindung.

publiziert am 6.10.2022 3
image

Cyberkriminelle veröffentlichen Daten von Läderach

Einen Monat nach dem Cyberangriff auf den Schweizer Chocolatier sind mehrere Datenpakete im Darknet aufgetaucht. Läderach erklärt uns, die Situation genau zu beobachten.

publiziert am 6.10.2022
image

Bruce Schneier: "Man wird nie sicher sein, dass E-Voting nicht manipuliert wurde"

Kryptographie-Guru Schneier war kürzlich in Zürich. Wir haben mit ihm über E-Voting, Cybersicherheit und die US-Zentralbank gesprochen.

publiziert am 6.10.2022 6