Schwachstelle Drittanbieter-Software

Best-Practices für das Risikomanagement

Unternehmen benötigen deshalb Systeme und Verfahren zur Beurteilung und Kontrolle von Softwareprodukten und Komponenten, die über die Software-Lieferkette bezogen werden. Eine große Hilfe bei der Messung und Bewertung der Sicherheitsmerkmale von Produkten und Technologien kann die Normenreihe „UL 2900“ sein. Sie soll einen effektiven und effizienten Rahmen für die Beurteilung des Gesamtkonzepts eines Unternehmens für die Softwaresicherheit sowie der spezifischen Schwachstellen einzelner Software-Produkte und -Komponenten von Drittanbietern bieten. Mit ihrer Hilfe können Unternehmen einige allgemein anwendbare Prinzipien und Best-Practices umsetzen, die in den folgenden Absätzen vorgestellt werden.

Sicherheitsvorgaben: Unternehmen sollten für ihre gesamte Anwendungslandschaft formale Sicherheitsvorgaben und -Anforderungen definieren, die dann für alle Softwareprodukte und -Komponenten von Drittanbietern gelten. Diese Vorgaben gehören dann anschließend in jede Ausschreibung oder Lieferantenvereinbarung.

Beschaffungsrichtlinie: Jedes Unternehmen kann in einer Beschaffungsrichtlinie Kriterien für die Aufnahme in das Lieferantenverzeichnis definieren. Entscheidend ist dabei eine unabhängige Validierung der Software von Drittanbietern für einen ausreichenden Schutz vor Sicherheitsmängeln und -lücken, sodass die Lieferanten in der Lage sind, potenzielle Schwachstellen zu identifizieren, die zu einem Sicherheitsvorfall führen könnten.

Lieferantenprüfung: Jeder neue Lieferant in der Software-Lieferkette sollte zunächst eine Due-Diligence-Prüfung bestehen. Darin wird ermittelt, ob der Lieferant angemessene Sicherheitsvorkehrungen umsetzt, mit denen die Sicherheitsrisiken seiner Software oder Komponente gesenkt werden. Regelmäßige Follow-up-Audits stellen sicher, dass Änderungen an der Software das Sicherheitsniveau
erhalten.

Software-Validierung: Regelmäßige Validierungstests von Softwareprodukten und -komponenten stellen sicher, dass die Sicherheitsregeln des Unternehmens eingehalten werden. Die Tests sollen dabei automatisiert sein, um das Risiko von Fehlern zu senken.
Aktualisierungen: Das Unternehmen sollte formale Prozesse besitzen, mit denen eine regelmäßige Aktualisierung von Software-Anwendungen sichergestellt wird. Dazu gehört auch das Ausbringen von Security-Patches, um den Schutz vor neu identifizierten Bedrohungen sicherzustellen.

Track-and-Trace-Programme: Ebenso wichtig wie regelmäßige Aktualisierungen ist die Implementation von Track-and-Trace-Programmen, mit denen die Quellen (Herausgeber) aller Anwendungen, Komponenten und Code-Bibliotheken erfasst und überwacht werden. Dadurch ist ein effizienter Zugriff auf Updates und Patches möglich und es kann der laufende Support älterer Produkte sichergestellt werden.

Zugangsbeschränkungen: Einzelne Anbieter in der Software-Lieferkette sollten nur Informationen nach dem Need-to-Know-Prinzip (Kenntnis nur bei Bedarf) erhalten, sodass Angaben über die gesamte Softwarestrategie des Unternehmens sowie aktuelle oder geplante Systeme geschützt sind.

Lieferantenrichtlinien: Hilfreich sind auch klare Richtlinien für die Anbieter mit eindeutig festgelegten Konsequenzen bei Nichteinhaltung der Vorgaben oder der Verwendung gefälschter Software.

Mitarbeiterschulung: Alle Mitarbeiter sollten fortlaufend und regelmäßig geschult werden, sodass „Awareness“ für effektive Sicherheitspraktiken im Rahmen der Software-Lieferkette, die Auswahl von Drittanbieter-Produkten sowie die Überwachung von Softwaresystemen auf potenzielle Schwachstellen erzeugt wird.

Diese Best Practices sollen Unternehmen zusammen mit den UL-Normen dabei helfen, Sicherheitsrisiken durch Länge und Umfang der Software-Lieferkette weitgehend zu entschärfen. Eine so angelegte, robuste Strategie für das Risikomanagement der Software-Lieferkette ist nicht auf bestimmte Branchen oder Anwendungsgebiete festgelegt. Unternehmen können damit die Beschaffung von Business-Software, Backend-Systemen oder Komponenten für die Entwicklung organisieren und ihre Sicherheitsrisken senken.

Ingo M. Rübenach ist VP Central, East and South Europe bei UL

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Schwachstelle Drittanbieter-Software
2. Best-Practices für das Risikomanagement

Lesen Sie mehr zum Thema

Weitere Artikel zu connect professional

Digitale Souveränität in Europa

Der neue Wettlauf um Kontrolle, Kompetenz und Kooperation

Pflegepersonalbemessungsverordnung

Nicht mehr exceln bis der Arzt kommt

Open statt ausgeliefert

Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will

Embraceable AI

Die nachvollziehbare KI

Tierisch langweilig

Roboter bringt Affen zum Gähnen

Weitere Artikel zu Viren-/Malware-Schutz

94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-Bedrohungen legen zu

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied

Weitere Artikel zu Mobile Security

Advertorial

Wie Unternehmen ihre mobile Kommunikation schützen

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler