Internet of Things
Code als Sicherheitsrisiko
Fortsetzung des Artikels von Teil 1
Was Nutzer tun können
Grundsätzlich sollten alle Nutzer an ihrem Home-Router überprüfen, ob die Webschnittstelle für das Internet geöffnet ist, und den Internet-/WAN-Zugang zur Webschnittstelle des Geräts deaktivieren.Hersteller bezeichnen diese Option oft als „Fernverwaltung“, deaktivieren sie aber standardmäßig, da sie eine Angriffsfläche biete kann. Andere Anbieter lassen sie aber wiederum aktiviert. Dies scheint bei einigen Routern des zuvor beschriebenen Falls so gewesen zu sein. Darunter auch Tausende Geräte, die Kunden von ihren Serviceprovidern erhalten haben.
Die Software-Supply-Chain absichern
Gleichzeitig nimmt die Komplexität von Softwareprojekten und die Abhängigkeit von Drittanbieter-Frameworks, Open-Source-Software und gemeinsam genutzten Bibliotheken zu. Daher ist es wichtig, dass Unternehmen nach Möglichkeit ein umfassendes Inventar dieser verschiedenen eingesetzten Komponenten und der Beziehungen zwischen ihnen führen. An diesem Punkt setzt eine maschinenlesbare Software Bill of Materials (SBOM) als formale Aufzeichnung an, die alle Details und Supply-Chain-Beziehungen Komponenten enthält. Würden beispielsweise alle Hersteller SBOMs pflegen, wäre es möglich, Geräte mit gegebenenfalls betroffenem Code früher zu identifizieren und die entsprechenden Beteiligten anschließend zu kontaktieren. Eine weitere Maßnahme ist die Anwendung sicherer Softwareentwicklungspraktiken. Die Einhaltung eines sicheren Softwareentwicklungszyklus (Secure Software Development Lifecycle, SSDLC) ermöglicht es, die Anzahl und die Auswirkungen von Schwachstellen in der herausgegebenen Software zu ermitteln und zu reduzieren. Darüber hinaus können Unternehmen durch das frühzeitige Erkennen von Problemen im Entwicklungsprozess die Kosten minimieren. Diese entstehen auch, wenn sicherheitsrelevante Fehler und Schwachstellen erst dann behoben werden, wenn der Code bereits in der Produktion zum Einsatz kommt.
Ein Product Security Incident Response Team (PSIRT) als weitere Maßnahme ist ein Team innerhalb des Unternehmens, das sich mit der Identifizierung, Bewertung und dem Umgang mit Risiken im Zusammenhang mit Schwachstellen befasst, die in den Produkten entdeckt werden. Ein PSIRT könnte eine wichtige Rolle im SSDLC-Prozess spielen, indem es Anleitungen für ordnungsgemäße Sicherheitspraktiken sowie Aufsicht und Koordination für alle Sicherheitsprobleme bietet. Wenn jedes beteiligte Unternehmen über ein PSIRT verfügt oder intern Programme zur Offenlegung von Schwachstellen implementiert hätte, wäre der Prozess bis zu deren Behebung um einiges einfacher.
Mehr Widerstandskraft für die ITK-Branche
Es liegt auf der Hand, dass jeder Hersteller, Anbieter oder Dienstleister die Sicherheit nicht nur für seine eigenen Produkte, sondern auch für die Produkte, die Komponenten und die Dienstleistungen, die er von Dritten erwirbt, als unabdingbar ansehen sollte. Nur so kann es gelingen, die Branche als Ganzes widerstandsfähiger gegen Cyberangriffe zu machen und Kunden besser zu schützen. Wenn jeder Anbieter Maßnahmen ergreift, um seine eigene Sicherheitslage zu verbessern, und dies auch von seinen Zulieferern verlangt, können sich die Anbieter gegenseitig schützen. Immerhin haben die aktuellen Vorfälle eine erhöhte Aufmerksamkeit bei Anbietern, Experten und Gesetzgebern bewirkt. Die gesamte Branche bringt neue Ideen ein, gründet Gremien und schafft neue Richtlinien und Verfahren, die darauf abzielen, alle Sicherheitsprobleme, die sich aus der Komplexität bei der Mehrfachverwendung von Software ergeben, zu entschärfen. Ziel ist es, alle bekannten Risiken von vornherein zu mindern und – wenn es zum Worst Case kommt – schnell und gezielt reagieren zu können.
Roger Scheer, Regional Vice President Central Europe bei Tenable
- Code als Sicherheitsrisiko
- Was Nutzer tun können
Lesen Sie mehr zum Thema
