Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Die Krux mit Software-Bibliotheken

Software-Lieferkette

Die Krux mit Software-Bibliotheken

4. April 2023, 15:41 Uhr | Autor: Erik Dörnenburg / Redaktion: Sabine Narloch
© andreync/123rf

Software-Bibliotheken werden in vielen Teams genutzt, um Software zu gestalten. Doch wo sie zum Einsatz kommen, bergen sie auch die Gefahr, zur Angriffsfläche für HackerInnen zu werden.

Eine erfolgreiche Software muss heutzutage mehr Funktionen bieten als je zuvor. Dafür benutzen Entwicklungsteams Bibliotheken, die als kommerzielle Produkte oder Open Source Software verfügbar sind. Die Teams, die diese Bibliotheken bauen, nutzen ihrerseits ebenfalls Bibliotheken. So entsteht eine Software-Lieferkette, aber auch eine Angriffsfläche für HackerInnen. Angriffe sorgen in der Regel für mediale Aufmerksamkeit und können brisant für den Unternehmenserfolg werden. Um dem vorzubeugen, sollten vor allem Führungskräfte wichtige Sicherheitsmaßnahmen mitdenken und für deren Umsetzung sorgen.

Was Software-Lieferketten angreifbar macht

Im Schnitt werden etwa 90 Prozent eines Programms nicht von hauseigenen IT-EntwicklerInnen geschrieben, sondern bestehen aus Software-Bibliotheken. Solche Bibliotheken, meistens als Open Source Software zur Verfügung gestellt, sind öffentlich einsehbar, kostenlos nutzbar und verleihen einer Anwendung verschiedene Funktionalitäten. Sie sind untereinander vernetzt und bauen aufeinander auf. Zur Verdeutlichung ein Beispiel: Wird eine solche Bibliothek zur Programmierung von Benutzeroberflächen in die eigene Software integriert, sind damit weitere Bibliotheken eingebunden. So entstehen viele Abhängigkeiten, die man sich in Form von eng verschlungenen, sehr großen Mindmaps oder Themenbäumen vorstellen kann. Eine Sicherheitslücke in nur einer dieser Bibliotheken kann zu einer Gefährdung der gesamten Software führen und betrifft somit direkt nicht nur eines, sondern meist viele Unternehmen. Der Begriff Software-Lieferkette verkörpert sinnbildlich deshalb das Sprichwort: „Eine Kette ist nur so stark wie ihr schwächstes Glied“.

Die Verwendung von solchen öffentlichen Bibliotheken bei der Entwicklung der Software ist also heikel, da sie für ein zufriedenstellendes Kundenerlebnis mit vielen Möglichkeiten nahezu unumgänglich ist, aber auch größere Sicherheitsrisiken innerhalb der Architektur birgt. Das umfassende Bibliotheken-Netzwerk im Überblick zu behalten, wird für die IT-Sicherheit zur Mammutaufgabe. Allzu oft wissen Unternehmen nicht einmal, welche Bibliotheken innerhalb ihrer Software-Lieferkette verwendet werden.

Zeitfenster für HackerInnen

Was für die einen eine große Herausforderung ist, birgt für andere Potenzial: Jeder noch so kleine Programmierfehler kann von Hackern als Sicherheitslücke genutzt werden. Dabei müssen Cyberkriminelle die Schwachstellen nicht einmal mehr finden: In Katalogen wie dem Common Vulnerabilities and Exposures System (CVE) werden bekannte Schwachstellen öffentlich gesammelt. Dies geschieht normalerweise erst nachdem die Schwachstelle behoben wurde, aber in vielen Fällen wissen Teams, die eine betroffene Bibliothek benutzt haben, nicht, dass Handlungsbedarf besteht; oder es ist ihnen nicht möglich, schnell auf die neue Version der Bibliothek zu wechseln. Dies öffnet ein Zeitfenster für HackerInnen, in dem sie bekannte Schwachstellen ausnutzen können.

Ein Beispiel: Die Sicherheitslücke Log4Shell von Java

Ein Beispiel, das gut veranschaulicht, wie effektiv und weitreichend Angriffe auf die Software-Lieferkette sind, bietet der Fall Log4Shell. Er gilt als größte Sicherheitslücke in der Geschichte des Internets und entstand, weil viele Anwendungen, die in der Programmiersprache Java geschrieben sind, die Bibliothek Log4j zum Protokollieren von Ereignissen nutzen. Wie viele andere oft genutzte Bibliotheken ist Log4j Open Source Software; diese enthielt eine Sicherheitslücke, die Hacker nutzten, um Schadsoftware in Systeme einzuschleusen und unberechtigtes Kopieren, Übertragen und Abrufen von Daten ermöglichte. Die Schwachstelle ist deshalb so gefährlich, weil die Programmiersprache Java fast überall verwendet wird, sodass sehr viele Anwendungen und Unternehmen betroffen waren.

 

Anbieter zum Thema

AfB gemeinnützige GmbH
Zyxel Networks A/S
HP Deutschland GmbH
G DATA CyberDefense AG
Matchmaker+
zu Matchmaker+
  1. Die Krux mit Software-Bibliotheken
  2. Wie relevant ist die Lieferketten-Problematik?

Lesen Sie mehr zum Thema

Digitale Transformation
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu ThoughtWorks

Unternehmenskultur

Grüne Cloud-Teams als Königsweg

Weitere Artikel zu Digitale Transformation

Barrierefreiheitsstärkungsgesetz (BFSG)

Was jetzt für Websites zählt – und wer handeln muss

Erkenntnisse vom Kyndryl Sommerabend

Kyndryl auf Sichtbarkeitskurs

Digitale Souveränität in Europa

Der neue Wettlauf um Kontrolle, Kompetenz und Kooperation

Stimmen von der Tutzing-Tagung

Digitale Souveränität als Gemeinschaftsaufgabe

„AWS European Sovereign Cloud“

Amazon verspricht souveräne Cloud in Europa

Matchmaker+
Xelion GmbH

Xelion GmbH
dtm Datentechnik Moll GmbH

dtm Datentechnik Moll GmbH
Zyxel Networks A/S

Zyxel Networks A/S
sysob IT-Distribution GmbH & Co. KG

sysob IT-Distribution GmbH & Co. KG
KONZEPTUM GmbH

KONZEPTUM GmbH
nexspace data centers GmbH

nexspace data centers GmbH