Technischer Support
Dokumentation
Anmeldung
Kontakt
Angriffe auf die Lieferkette haben in den letzten Jahren einen rasanten Anstieg erlebt und sich zu einer gewaltigen Bedrohung für die Cyberlandschaft entwickelt. In einer Zeit, in der Unternehmen zunehmend auf Software von Drittanbietern und Open-Source-Komponenten angewiesen sind, haben sich Angriffe auf die Lieferkette als praktikable und heimtückische Möglichkeit für Angreifer erwiesen, Schwachstellen in weit verbreiteter Software auszunutzen und zahlreiche Unternehmen gleichzeitig zu schädigen.
Eine wachsende Bedrohung: Wachstum und Auswirkungen
Der Anstieg der Angriffe auf die Software-Lieferkette ist nicht nur hypothetisch, sondern wird durch alarmierende Statistiken belegt. Zwischen 2019 und 2022 sind die Angriffe auf die Software-Lieferkette um erstaunliche 742 % angestiegenund 2023 wird voraussichtlich ein neuer Rekord aufgestellt.
Der Rückgriff auf Software von Drittanbietern und Open-Source-Komponenten ist zwar für die betriebliche Flexibilität und die Verkürzung der Entwicklungszeiten von entscheidender Bedeutung, birgt aber auch erhebliche Risiken. Aufgrund dieser Abhängigkeit von externem Code, der von mehreren Unternehmen und für verschiedene Anwendungen verwendet wird, kann ein Angriff auf eine Basisbibliothek schnell zu Tausenden von verwundbaren Software-Stacks führen, wie das jüngste Beispiel der WebP-Sicherheitslücke.
Das inhärente Risiko bei Software von Drittanbietern
Die weit verbreitete Verwendung von Software von Drittanbietern öffnet die Büchse der Pandora mit ihren Risiken und Herausforderungen. Nach Angaben von Gartner arbeiten 60 % der Unternehmen mit mehr als 1.000 Drittanbietern zusammenund bieten damit zahlreiche potenzielle Einfallstore für Angreifer.
Fälle wie die Sicherheitsverletzung bei JP Morgan Chase, bei der aufgrund einer Schwachstelle in der Website eines Drittanbieters die Benutzernamen und Passwörter von Millionen von Konten preisgegeben wurden, unterstreichen die greifbaren Risiken und die enormen Auswirkungen solcher Angriffe.
Die Schande von Log4j
Die Log4j-Schwachstelle oder Log4Shell ist ein Beispiel dafür, wie eine einzige Schwachstelle in einer weit verbreiteten Open-Source-Bibliothek zu einer globalen Cyber-Sicherheitskrise führen kann. Diese Schwachstelle war nicht nur in den direkten Abhängigkeiten vorhanden, sondern auch in rund 17.000 Java-Paketen, die im Maven Central Repository als direkte oder transitive Abhängigkeit gehostet werden. Trotz umfangreicher Patching-Bemühungen bleiben viele Instanzen ungepatcht, was ein ständiges Risiko für Unternehmen auf der ganzen Welt darstellt.
Die Komplexität von Abhängigkeitsnetzen
Abhängigkeiten in Software-Lieferketten bringen zusätzliche Komplexitäts- und Risikoebenen mit sich. Durch diese Abhängigkeiten bedingte transitive Schwachstellen haben ein noch nie dagewesenes Ausmaß erreicht und betreffen zwei Drittel der Open-Source-Bibliotheken.
Der Log4Shell-Vorfall hat deutlich gemacht, wie wichtig die Transparenz und das Bewusstsein für diese komplizierten Lieferketten sind, da fehlende Kenntnisse über deren Ursprung und Abhängigkeiten die Bemühungen zur Behebung von Schwachstellen erheblich erschweren können.Um diesen Risiken zu begegnen, setzen Unternehmen auf KI in Lieferketten, um die Transparenz und Automatisierung zu verbessern.
Die Eskalation in Zahlen und Techniken
Laut einem Bericht von Sonatypeist die Zahl der dokumentierten Angriffe auf die Lieferkette mit bösartigen Komponenten von Drittanbietern innerhalb eines Jahres um 633 % auf über 88.000 bekannte Fälle gestiegen. Die Angriffstechniken haben sich diversifiziert: Abhängigkeitsverwirrung, Typosquatting, Brandjacking, Einschleusen von bösartigem Code und sogar Protestsoftware stellen Cybersecurity-Experten vor neue Herausforderungen und Überlegungen.
Das Rätsel der Abhängigkeitsverwirrung
Angriffe auf Abhängigkeitsverwirrungen haben seit ihrer Offenlegung im Februar 2021 besonders an Bedeutung gewonnen. Diese Technik nutzt das Verhalten von Paketverwaltungs-Clients aus und verleitet sie dazu, bösartige Pakete mit höheren Versionsnummern aus öffentlichen Repositories anstelle von legitimen Paketen in internen Repositories zu verwenden. Dies unterstreicht die Notwendigkeit für Unternehmen, die Namen ihrer privaten Pakete in öffentlichen Repositories zu registrieren oder eindeutige Präfixe zu verwenden, um derartige Risiken zu mindern.
Verstärkte Verteidigung gegen Angriffe auf die Lieferkette
Die Ermittlung und Behebung von Schwachstellen ist das Kernstück einer soliden Verteidigungsstrategie gegen Angriffe auf die Lieferkette. Es ist nicht realistisch, zu erwarten, dass jede einzelne Abhängigkeit bei jeder Aktualisierung überprüft wird, und jede Abhängigkeit von dieser Abhängigkeit in der Kette.
Es stehen nicht genügend Ressourcen zur Verfügung, um diese Aufgabe kontinuierlich auszuführen, wie es für einen angemessenen Schutz erforderlich wäre. Und selbst dann wäre es leicht, Probleme zu übersehen, die zu Sicherheitsproblemen führen könnten, so wie wir bei den Anwendungen immer wieder Patches zur Fehlerbehebung einspielen.
Eine Alternative ist, sich auf vertrauenswürdige Repositories für Ihre Abhängigkeiten zu verlassen, die diese Prüfung für Sie durchführen. Dienste wie SecureChain für Javavon TuxCare bieten genau das - eine kuratierte, aktualisierte und zuverlässige Quelle für die Abhängigkeiten Ihrer Java-Bibliotheken, die das Risiko reduziert, fehlerhafte oder gefährdete Abhängigkeiten aus öffentlichen oder nicht vertrauenswürdigen Quellen zu beziehen.
Die gefährlichen Zahlen hinter den Angriffen auf die Lieferkette zeichnen ein ernüchterndes Bild der Cyber-Bedrohungslandschaft. Die Diversifizierung und Raffinesse der Angriffstechniken erfordern einen Paradigmenwechsel von der reinen Prävention hin zu proaktiven Erkennungs- und Eindämmungsstrategien. Unternehmen müssen einen ganzheitlichen, sachkundigen und anpassungsfähigen Ansatz verfolgen, um sich in diesem komplizierten Netz von Schwachstellen und Abhängigkeiten zurechtzufinden und ihre digitalen Werte und ihre betriebliche Integrität vor der aufkeimenden Welle von Angriffen auf die Lieferkette zu schützen.
