Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Die Krux mit Software-Bibliotheken

Software-Lieferkette

Die Krux mit Software-Bibliotheken

4. April 2023, 15:41 Uhr | Autor: Erik Dörnenburg / Redaktion: Sabine Narloch
Fortsetzung des Artikels von Teil 1

Wie relevant ist die Lieferketten-Problematik?

Dass solche Angriffe weitreichende Folgen haben, ist nicht erst seit gestern bekannt. Bereits vor Jahren wurden erste Fälle me-dial aufbereitet. Was die Problematik allerdings immer aktueller macht, sind die bereits erwähnten wachsenden Kundenansprüche an moderne Software-Anwendungen und die daraus resultierende Geschwindigkeit, mit der sich Software weiterentwickelt und vernetzt. In den USA wurde die beschriebene Thematik bereits vielseitig diskutiert; das führte zu einer Vorgabe des Weißen Hauses, die verlangt, dass Listen über alle beteiligten Bibliotheken einer an die Regierung gelieferten Software geführt werden müssen, eine sogenannte „Software Bill of Materials“.

Davon erhofft sich die Regierung, dass bei der Verwaltung ihrer Software umfassend und automatisiert geprüft werden kann, ob Sicherheitsprobleme innerhalb der integrierten Bibliotheken bestehen. Bei solch einer Menge an eingebundenen Bibliotheken ist es meist nicht eine Frage, ob es Sicherheitsrisiken gibt, sondern wann diese auftreten und wie schnell sie behoben werden.

Deutschland ist im direkten Vergleich weniger fortgeschritten, jedoch steigt in DAX-Unternehmen die Aufmerksamkeit für den verantwortungsvollen Umgang mit Technologien. Vor allem Automobilhersteller fragen vermehrt Beratungsdienstleistungen zur Überprüfung ihrer Software-Lieferketten an oder ziehen dazu firmeneigene Sicherheitsabteilungen zu Rate. Allerdings ist hier oft die konkrete Herangehensweise noch unklar. Doch es gibt Möglichkeiten für Unternehmen, die verwendete Software besser zu schützen (siehe Kasten).

Immer mehr Unternehmen wird bewusst, dass die Folgen eines Angriffs auf die Software-Lieferkette enorme Ausmaße haben können. Sowohl auf technischer, als auch auf der Ebene der Reputation. In den Köpfen von EntscheiderInnen sollte sich nun verankern, dass die Sicherheit einer Software-Lieferkette nicht erst dann relevant wird, wenn sie angegriffen wurde, sondern bereits während des gesamten Lebenszyklus. Sicher ist, dass dieses Thema im Kontext eines verantwortungsvollen Umgangs mit Technologien in den nächsten Jahren an Bedeutung gewinnen wird und den Unternehmenserfolg mitbestimmt.

Erik Dörnenburg ist Software Engineer bei Thoughtworks

Anbieter zum Thema

AfB gemeinnützige GmbH
HP Deutschland GmbH
Zyxel Networks A/S
G DATA CyberDefense AG
Matchmaker+
zu Matchmaker+
Was Unternehmen tun können, um sich und ihre Software besser zu schützen:

1. Software regelmäßig aktualisieren
Der Lebenszyklus und somit die Gefahren innerhalb einer Software enden nicht mit ihrer Entwicklung, stattdessen müssen Funktionen regelmäßig erweitert und Fehler behoben werden. Dabei werden automatisch auch die Bibliotheken neu integriert und somit die in der Zwischenzeit bekannt gewordenen Sicherheitslücken geschlossen. Bei Anwendungen, die jedoch ohne regelmäßige Änderungen auskommen, wie Admin-Oberflächen, darf dies nicht vergessen werden.

Denn gerade wenn externe Software genutzt wird, sollte regelmäßig gecheckt werden, ob Aktualisierungen notwendig sind. Hier braucht es ein Bewusstsein dafür, dass Anwendungen, die am Anfang als sicher gegolten haben, dies im Laufe der Zeit mitunter nicht mehr sind.

2. Auf Sicherheit prüfen
In den meisten Fällen finden im Bereich der Libraries automatisierte Sicherheitsprüfungen statt. Zugleich ist es ratsam, Überwachungswerkzeuge einzusetzen, die Software und angebundene Bibliotheken scannen und auf Sicherheitslücken aufmerksam machen. Die Lücken werden sichtbar, weil ein Abgleich mit Datenbanken wie dem Common Vulnerabilities and Exposures (CVE) stattfindet: Wird über das CVE eine neue Sicherheitslücke bekannt gegeben, kann diese sofort und automatisiert mit der Liste der in der eigenen Software verwendeten Bibliotheken abgeglichen werden. Gerade bei vielen unterschiedlichen Bibliotheken, lässt sich die Gefahr einer Lücke (und ihrer Folgen) so automatisiert reduzieren. Andere Tools testen zudem den selbst geschriebenen Code und erkennen Muster, die als unsicher gelten. 

 

  1. Die Krux mit Software-Bibliotheken
  2. Wie relevant ist die Lieferketten-Problematik?

Lesen Sie mehr zum Thema

Digitale Transformation
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu ThoughtWorks

Unternehmenskultur

Grüne Cloud-Teams als Königsweg

Weitere Artikel zu Digitale Transformation

Barrierefreiheitsstärkungsgesetz (BFSG)

Was jetzt für Websites zählt – und wer handeln muss

Erkenntnisse vom Kyndryl Sommerabend

Kyndryl auf Sichtbarkeitskurs

Digitale Souveränität in Europa

Der neue Wettlauf um Kontrolle, Kompetenz und Kooperation

Stimmen von der Tutzing-Tagung

Digitale Souveränität als Gemeinschaftsaufgabe

„AWS European Sovereign Cloud“

Amazon verspricht souveräne Cloud in Europa

Matchmaker+
KONZEPTUM GmbH

KONZEPTUM GmbH
Zyxel Networks A/S

Zyxel Networks A/S
GoTo Technologies Germany GmbH

GoTo Technologies Germany GmbH
AixpertSoft GmbH

AixpertSoft GmbH
sysob IT-Distribution GmbH & Co. KG

sysob IT-Distribution GmbH & Co. KG
AfB gemeinnützige GmbH

AfB gemeinnützige GmbH