Startseite > Security > Der Schritt Null in der Software-Lieferkette

Sicherheitsstandards

Der Schritt Null in der Software-Lieferkette

12. Dezember 2022, 9:02 Uhr | Autorin: Lena Smart / Redaktion: Diana Künstler

Bereit für Software Bill of Materials, kurz SBOMs? Was Unternehmen ein Jahr nach der Einführung der Software-Stücklisten wissen sollten.

Der Artikel liefert unter anderem Antworten auf folgende Fragen:

Welche Auswirkungen kann ein Cyberangriff auf Lieferketten haben?
Wie will man die Transparenz der Software-Supply-Chain steigern?
Was ist die sogenannte Software Bill of Materials?
Was müssen Entscheider im Rahmen der SBOM beachten?

Vor etwas mehr als einem Jahr rüttelten Sicherheitslücken wie Log4j und Cyberangriffe wie der auf den US-Softwarehersteller Solarwinds die Welt auf. Vom Solarwinds-Hack, den viele Experten als „gefährlichsten des Jahrhunderts“ beschrieben, waren auch deutsche Unternehmen sowie Einrichtungen der öffentlichen Verwaltung betroffen, die die Orion-Software des Herstellers nutzten: Ministerien, Bundesbehörden, das Technische Hilfswerk, das Bundeskriminalamt oder das Robert-Koch-Institut, aber auch Siemens und mehrere Cloud-Dienstleister. Der Vorfall machte deutlich, wie eine Attacke auf nur ein Unternehmen zu einer Kettenreaktion entlang von Lieferketten führen und zahlreiche nachgelagerte Betriebe und Behörden in Mitleidenschaft ziehen kann. Als Reaktion darauf erließ das Weiße Haus am 12. Mai 2021 die Executive Order 14028 zur Verbesserung der Cybersicherheit der Nation. Sie soll die Transparenz der Software-Supply-Chain innerhalb des öffentlichen Sektors steigern. Unternehmen, die IT- und OT-Produkte für den öffentlichen Bereich liefern, müssen in den USA seither strengere Auflagen bezüglich ihrer Software-Lieferkette erfüllen und Informationen bereitstellen, die viele vorher gar nicht erhoben hatten. Zu den Neuerungen zählt auch die Pflicht, zu jedem Produkt die so genannte Software Bill of Materials (SBOM) bereitzustellen.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

SBOMs sollten als eine Art Schritt 0 in der Sicherheit der Software-Lieferkette betrachtet werden. Sie sind der Grund-baustein, auf dessen Basis die IT-Gemein-schaft in enger Zusammenarbeit sicherere Software entwickeln kann.

Was sind SBOMs?

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt den verbesserten Schutz von Wertschöpfungsketten durch SBOMs ausdrücklich. In einer SBOM werden alle Abhängigkeiten einer Software aufgelistet. Im Wesentlichen handelt es sich also um eine Stückliste von Bestandteilen, Komponenten und Bibliotheken, die von einer Software verwendet werden. So soll genau nachzuvollziehen sein, welche kommerzielle und Open-Source-Software von Drittanbietern in einer Lösung steckt. Die Erfahrungen aus dem Solarwinds-Hack und der Log4j-Sicherheitslücke flossen auch in das novellierte IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) hierzulande ein und führten zu neuen Anforderungen für Betreiber Kritischer Infrastrukturen (KRITIS), für Bundesbehörden und Unternehmen im besonderen öffentlichen Interesse sowie deren Zulieferer.

Die US-Telekommunikationsbehörde NTIA hat Mindeststandards für eine gültige SBOM veröffentlicht. Mit der Norm ISO 5962 wird das SBOM-Format aber auch international standardisiert. Zwar läuft die Phase der Definition von Spezifikationen und Standards noch, doch schon jetzt zeichnet sich ab, dass SBOMs einer der wesentlichen Sicherheitstrends des kommenden Jahres sein werden. Laut Gartner sind sie „ein unverzichtbares Instrument im Werkzeugkasten für Sicherheit und Compliance. Sie helfen bei der kontinuierlichen Überprüfung der Software-Integrität und warnen die Beteiligten vor Sicherheitsschwachstellen und Richtlinienverstößen“. IT-Sicherheitsexperten sollten diese Entwicklung daher aufmerksam verfolgen und für die Zeit nach der Definitionsphase vorbereitet sein, wenn erste Schritte in Richtung realer Implementierungen erfolgen.

Das sagt das BSI
Große Coordinated-Vulnerability-Disclosure-Fälle (CVD-Fälle) wie „Amnesia:33“ und „Ripple20“ haben gezeigt, dass Hersteller oft nur mit sehr viel Mühe feststellen können, welche Bibliotheken und andere Dritthersteller-Software in ihren Produkten eingesetzt werden. Diese aufwendigen Analysen kosten wertvolle Zeit und behindern den CVD-Prozess. Die internationale Community arbeitet daher mit starker Unterstützung der US-Behörde National Telecommunications and Information Administration (NTIA) an der Spezifikation der SBOM (Software Bill of Materials). In einer SBOM werden alle Abhängigkeiten einer Software aufgelistet. Dies soll eine effiziente Überprüfung ermöglichen, ob eine bekannte Schwachstelle ein Produkt betrifft. Als Anwender kommen hier zunächst die Hersteller selbst infrage, die in ihren Lieferketten sicherstellen müssen, ob sie eine bestimmte verwundbare Version einer Software einsetzen. Erst mit diesem Wissen lassen sich zu ergreifende Maßnahmen bezüglich der Behebung einleiten. In Kombination mit dem Common Security Advisory Framework (CSAF) kann der Prozess innerhalb der Wertschöpfungsnetzwerke umfassend automatisiert werden. Diesen verbesserten Schutz der Lieferketten unterstützt das BSI auch im Bereich der Spezifikation des VEX-Formates. Mithilfe von diesem können Hersteller AnwenderInnen mitteilen, dass sie zwar eine verwundbare Version der Software einsetzen, die Schwachstelle aber nicht ausnutzbar ist. Dies kann beispielsweise der Fall sein, wenn aufgrund von Compiler-Optionen nur ein bestimmter, nicht verwundbarer Code-Anteil in das Produkt eingeflossen ist. (DK)

Das sagt das BSI

Große Coordinated-Vulnerability-Disclosure-Fälle (CVD-Fälle) wie „Amnesia:33“ und „Ripple20“ haben gezeigt, dass Hersteller oft nur mit sehr viel Mühe feststellen können, welche Bibliotheken und andere Dritthersteller-Software in ihren Produkten eingesetzt werden. Diese aufwendigen Analysen kosten wertvolle Zeit und behindern den CVD-Prozess. Die internationale Community arbeitet daher mit starker Unterstützung der US-Behörde National Telecommunications and Information Administration (NTIA) an der Spezifikation der SBOM (Software Bill of Materials). In einer SBOM werden alle Abhängigkeiten einer Software aufgelistet. Dies soll eine effiziente Überprüfung ermöglichen, ob eine bekannte Schwachstelle ein Produkt betrifft. Als Anwender kommen hier zunächst die Hersteller selbst infrage, die in ihren Lieferketten sicherstellen müssen, ob sie eine bestimmte verwundbare Version einer Software einsetzen. Erst mit diesem Wissen lassen sich zu ergreifende Maßnahmen bezüglich der Behebung einleiten. In Kombination mit dem Common Security Advisory Framework (CSAF) kann der Prozess innerhalb der Wertschöpfungsnetzwerke umfassend automatisiert werden. Diesen verbesserten Schutz der Lieferketten unterstützt das BSI auch im Bereich der Spezifikation des VEX-Formates. Mithilfe von diesem können Hersteller AnwenderInnen mitteilen, dass sie zwar eine verwundbare Version der Software einsetzen, die Schwachstelle aber nicht ausnutzbar ist. Dies kann beispielsweise der Fall sein, wenn aufgrund von Compiler-Optionen nur ein bestimmter, nicht verwundbarer Code-Anteil in das Produkt eingeflossen ist. (DK)

Wichtige Punkte für Entscheider

Front- und Backends von SBOMs müssen noch definiert werden: SBOMs benötigen eine sichere Backend-Schicht für die Speicherung und Integra-tion. Entwickler wiederum benötigen ein Frontend, das Sicherheit in ihren Arbeitsablauf integriert, ohne die Produktivität zu beeinträchtigen. Darin liegt eine Chance für das Ökosystem der Anbieter von Cybersecurity-Lösungen. Doch erste Implementierungen auf dem Markt lassen noch auf sich warten. Das dürfte sich bis Ende 2022 ändern. Obwohl es in Deutschland anders als in den USA noch keine definierten Standards wie FedRAMP gibt, fordern Geschäftskunden immer öfter SBOMs von ihren Software- oder SaaS-Lieferanten. Vor allem Behörden, öffentliche Institute und Betreiber kritischer Infrastrukturen werden aufgrund der verschärften Auflagen des IT-SiG 2.0 die ersten großen Nutzer von SBOMs sein und diese verstärkt nachfragen.
Automatisierungsgrad entscheidend für die Implementierung: Damit SBOMs erfolgreich implementiert werden können, müssen sie so konzipiert werden, dass die Automatisierung bereits im Design berücksichtigt wird. In den USA, wo das National Institute of Standards and Technology (NIST) sogar eine Sprache für die Sicherheitsautomatisierung, OSCAL, definiert hat, ist das bereits der Fall. Das BSI gibt in seinem Report zur Lage der IT-Sicherheit in Deutschland 2021 an, dass der Prozess der Überprüfung, ob eine bekannte Schwachstelle ein Produkt betrifft, in Kombination mit dem Common Security Advisory Framework (CSAF) innerhalb der Wertschöpfungsnetzwerke umfassend automatisiert werden kann. SBOMs können ihre Wirkung vor allem dann entfalten, wenn sie in Verbindung mit der Automatisierung der Entwicklung eingesetzt werden. Software Composition Analysis (SCA)-Tools können SBOMs als Teil des CI/CD Prozesses sammeln.
Kontinuierliche Überwachung ist das Gebot der Stunde: Angesichts der unüberschaubaren Anzahl von Open-Source-Projekten, Programmiersprachen-Frameworks und -Bibliotheken wussten viele Unternehmen nicht nur nichts von der Log4j-Schwachstelle, sondern teilweise noch nicht einmal, ob und wo sie Log4j einsetzten. Auch sogenannte Coordinated Vulnerability Disclosure-Beispiele wie Ripple20, die im Internet der Dinge vernetzte Geräte in Haushalt, Industrie und sogar Gesundheitseinrichtungen gefährdeten, zeigten, dass viele Hersteller nur mit hohem Aufwand feststellen können, welche Bibliotheken und andere Dritthersteller-Software in ihren Produkten eingesetzt werden. Zu den größten Vorteilen von SBOMs gehört daher die kontinuierliche Überwachung aller eingesetzten Software-Komponenten.
Wunsch und Wirklichkeit: Einheitliche SBOM-Informationen sind wünschenswert. Doch es zeichnet sich bereits ab, dass es mehrere SBOM-Rahmenwerke geben wird: Für eine reibungslose Implementierung muss der Prozess aber gestrafft und so einheitlich wie möglich behandelt werden. Das Worst-Case-Szenario wäre ein komplexes Rahmenwerk, das niemand versteht und das sich deshalb nicht durchsetzt. SBOMs sollten als eine Art Schritt 0 in der Sicherheit der Software-Lieferkette betrachtet werden. Sie sind der Grundstein, auf dessen Basis die IT-Gemeinschaft in enger Zusammenarbeit sicherere Software entwickeln kann. In den USA haben beispielsweise das staatliche NIST und die private OWASP (Open Web Application Security Project) Foundation bereits unterschiedliche Rahmenwerke definiert. Da es unmöglich ist, die Wahl des einen oder des anderen regulatorisch vorzugeben, müssen Unternehmen agil genug sein, um unterschiedliche Rahmenwerke nutzen zu können. Für Sicherheitsverantwortliche ergibt sich daraus als positiver Aspekt eine Wahlmöglichkeit.
Engere Zusammenarbeit zwischen Unternehmen und Agenturen: Ein weiterer unschätzbarer Vorteil von SBOMs liegt in ihrer Fähigkeit, die Zusammenarbeit zwischen Sicherheitsexperten zu beschleunigen. Seitens des IT-ISAC, dessen Aufgabe es ist, die Zusammenarbeit und den Austausch relevanter, umsetzbarer Informationen über Cyberrisiken zu stärken und zu verbessern, ist bereits ein enormes Interesse an der Thematik zu erkennen. Wenn SBOMs einen besseren Informationsaustausch über Sicherheitslücken gewährleisten können, wird diese Art der Zusammenarbeit in sicheren Räumen viel häufiger zu sehen sein. Log4j und Solarwinds haben die Branche auf die Einfallstore aufmerksam gemacht, die unsichere Software-Artefakte und die durch ihre transitive Natur ermöglichten Angriffe darstellen. Behörden und Unternehmen sind sich gleichermaßen einig, dass man wissen muss, was in der Software steckt und wo sie läuft – und dass dies der erste Schritt dazu ist, die Sicherheit der Software-Lieferkette zu verbessern.

Über kurz oder lang fester Bestandteil

Verzeichnete die Welt bereits 2021 einen Anstieg von Cyberangriffen auf die Software-Supply-Chain, hat sich das Risiko durch die aktuellen Entwicklungen weiter erhöht. Sicherheitsvorkehrungen wie SBOMs werden daher unausweichlich zum festen Bestandteil einer transparenten, sicheren und damit vertrauenswürdigen Software-Lieferkette werden. Und mit einem zunehmenden Grad an Digitalisierung wird das Thema über kurz oder lang beinahe jedes Unternehmen betreffen, sei es aufgrund gesetzlicher Auflagen, aus wirtschaftlichen Erwägungen zum Schutz des eigenen Geschäftsmodells oder aus beiden Gründen. Unternehmensentscheider und Sicherheitsverantwortliche sollten sich rechtzeitig mit den relevanten Normen, Standards und Gegebenheiten der technischen Implementierung von SBOMs vertraut machen.