Risiken beim Einsatz von Drittanbietersoftware erkennen und reduzieren
Software Security
Unternehmen verlassen sich heute selbstverständlich auf die Softwarelösungen und -module von Drittanbietern. Zu Recht, steigern diese doch die Produktivität der eigenen Entwicklungsarbeit und bieten sinnvolle, vorgefertigte Funktionen, auf denen sich aufbauen lässt. Doch gleichzeitig wirft dies neue IT-Security-Risiken für die eigene Infrastruktur auf. Mit einer Risikomanagement-Strategie für die Software-Supply-Chain können Unternehmen diesem Risiko begegnen.
Der Einsatz von Drittanbietersoftware in Industrieunternehmen ist üblich: Der Markt bietet leistungsfähige Systeme wie beispielsweise Standardsoftware für die Produktionssteuerung, Office-Anwendungen, Device-Management-Software, Webserver oder Browser. Der Aufwand, diese selbst zu entwickeln, wäre in den meisten Fällen unverhältnismäßig höher. Auch bei Spezialanwendungen, wie etwa im Bereich des Industrial IoT und der Industrie 4.0 kommen zumeist vorgefertigte Fremdmodule zum Einsatz oder es werden Codebibliotheken genutzt. Doch jede Software hat potenziell Schwachstellen - diese können sich auf die Sicherheit der Infrastruktur insgesamt auswirken. Besonders Unternehmen in den Branchen der kritischen Infrastrukturen werden so noch anfälliger gegenüber Cyberangriffen.
Die Softwarelieferkette und ihre Schwachstellen
Obwohl Drittanbietersoftware die eigene Entwicklung beschleunigt, birgt deren Einsatz auch Risiken. Zunächst werden solche Anwendungen eher generös, etwa als Branchenlösung, entwickelt und können spezielle Security-Anforderungen des Einzelfalls nur teilweise berücksichtigen. Entscheidet sich ein Unternehmen für den Einsatz einer Standardlösung, begibt es sich zudem in eine gewisse Abhängigkeit vom Hersteller. Werden Schwachstellen bekannt, so sind Unternehmen darauf angewiesen, dass diese vom Hersteller schnell beseitigt werden Dabei ist es schwer genug, den Softwaremarkt im Überblick zu behalten. Die Zahl der Anbieter von Lösungen, Modulen und Entwicklungsbibliotheken wächst stetig. Anbieter nutzen dabei wiederum Module von Fremdherstellern, so dass Anwendungen keineswegs mehr aus einem nachvollziehbaren Guss sind. Bricht ein Anbieter weg, kann möglicherweise der Support für die gesamte Lösung nicht mehr sichergestellt werden. Darüber hinaus sind nie alle Schwachstellen einer Software bekannt, immer wieder finden sich neue Lücken und Inkompatibilitäten. Nichts Ungewöhnliches zwar, doch je mehr Drittanbietersoftware im Einsatz ist, umso höher kann das Cyberrisiko ausfallen. Dass immer mehr Unternehmen kritische IT-Systeme in die Cloud (Software-as-a-Service, SaaS) verlagern und über Programmierschnittstellen darauf zugreifen, macht die Security-Situation noch komplexer. In der Praxis zeigt sich immer wieder, dass die Qualitätssicherung bei den verschiedenen Anbietern einen ganz unterschiedlichen Stellenwert genießt. Standardisierte Metriken für die Messung der Qualität gibt es nicht, die Unternehmen müssen sich auf die Anbieter verlassen oder eine eigene unabhängige Bewertung durchführen. Erfahrungsgemäß ist dies für viele Unternehmen eine echte Herausforderung, denn hierfür sind robuste, flexible Prozesse für das Lieferanten- und Risikomanagement notwendig.
Risikomanagement: Best Practises
Für die Beurteilung und Kontrolle von Softwareprodukten, die über die Drittanbieter bezogen werden, benötigen Unternehmen eine interne Vorgabe, an welchen Kriterien sich die Anschaffung ausrichten soll. Eine Hilfe bei der Messung und Bewertung der Sicherheitsmerkmale von Produkten und Technologien ist beispielsweise die Normenreihe UL2900 des auf Produktsicherheit und Zertifizierung spezialisierten Unternehmens UL. Die Norm bietet einen Rahmen für die Beurteilung des Gesamtkonzepts eines Unternehmens für die Softwaresicherheit sowie der spezifischen Schwachstellen einzelner Softwareprodukte und -Komponenten von Drittanbietern und listet folgende Kriterien auf:
Formale Sicherheitsvorgaben für die gesamte Anwendungslandschaft: Solche Vorgaben sind stark vom individuellen Geschäft und dem daraus resultierenden Sicherheitsanspruch eines Unternehmens geprägt. Betreiber kritischer Infrastrukturen werden hier höhere Maßstäbe anzusetzen haben als andere Unternehmen. Die Sicherheitsvorgaben gelten dann für alle Softwareprodukte und -Komponenten von Drittanbietern und gehören in jede Ausschreibung oder Lieferantenvereinbarung.
Beschaffungsrichtlinien sowie Due-Diligence-Prüfungen und Richtlinien für die Lieferanten: Je nach erforderlichem Sicherheitsniveau sollten Unternehmen Kriterien festlegen, die ein Lieferant oder ein Produkt erfüllen muss. So kann es beispielsweise Voraussetzung sein, dass die Software vor der Anschaffung von einem unabhängigen Berater validiert wurde. Oder aber, dass Lieferanten eine Due-Diligence-Prüfung bestehen müssen, bevor sie in das Lieferantenverzeichnis aufgenommen werden. Richtlinien mit eindeutig festgelegten Konsequenzen bei Nichteinhaltung der Vorgaben oder der Verwendung gefälschter Software sind ebenfalls hilfreich.
Automatisierte Software-Validierungstest und regelmäßige Aktualisierungen: Regelmäßige Validierungstests stellen sicher, dass die Sicherheitsregeln des Unternehmens dauerhaft eingehalten werden. Mit automatisierten Tests wird die zyklische Durchführung sichergestellt und das Fehlerrisiko gesenkt. Regelmäßige Aktualisierungen der Anwendungen sind essentiell, um sicherheitstechnisch auf dem neuesten Stand zu bleiben - formale Prozesse sind hier hilfreich.
Implementierung von Track-and-Trace-Programmen: Nicht nur bei großen Infrastrukturen verliert man schnell den Überblick über die Softwareversionen und den Update-Stand. Unternehmen sollten deshalb die Quellen (Herausgeber) aller Anwendungen, Komponenten und Codebibliotheken erfassen und überwachen - für einen effizienten Zugriff auf Updates und Patches sowie den Support älterer Produkte.
Awareness für Security durch Mitarbeiterschulungen: Regelmäßige Mitarbeiterschulungen schaffen Awareness für effektive Sicherheitspraktiken im Rahmen der Software-Lieferkette, die Auswahl von Drittanbieterprodukten sowie die Überwachung von Softwaresystemen auf potentielle Schwachstellen.
Um den Sicherheitsrisiken durch Drittanbietersoftware zu begegnen, benötigen Unternehmen eine robuste Strategie für das Risikomanagement der Softwarelieferkette. Diese sieht für jedes Unternehmen individuell verschieden aus, kann aber auf einigen in der Praxis bewährten Grundprinzipien beruhen. Mit einer solchen Strategie lassen sich die Cyberrisiken deutlich senken.
Unternehmen verlassen sich heute selbstverständlich auf die Softwarelösungen und -module von Drittanbietern. Zu Recht, steigern diese doch die Produktivität der eigenen Entwicklungsarbeit und bieten sinnvolle, vorgefertigte Funktionen, auf denen sich aufbauen lässt. Doch gleichzeitig wirft dies neue IT-Security-Risiken für die eigene Infrastruktur auf. Mit einer Risikomanagement-Strategie für die Software-Supply-Chain können Unternehmen diesem Risiko begegnen.
Der Einsatz von Drittanbietersoftware in Industrieunternehmen ist üblich: Der Markt bietet leistungsfähige Systeme wie beispielsweise Standardsoftware für die Produktionssteuerung, Office-Anwendungen, Device-Management-Software, Webserver oder Browser. Der Aufwand, diese selbst zu entwickeln, wäre in den meisten Fällen unverhältnismäßig höher. Auch bei Spezialanwendungen, wie etwa im Bereich des Industrial IoT und der Industrie 4.0 kommen zumeist vorgefertigte Fremdmodule zum Einsatz oder es werden Codebibliotheken genutzt. Doch jede Software hat potenziell Schwachstellen - diese können sich auf die Sicherheit der Infrastruktur insgesamt auswirken. Besonders Unternehmen in den Branchen der kritischen Infrastrukturen werden so noch anfälliger gegenüber Cyberangriffen.
UL International Germany GmbH
Dieser Artikel erschien in Industrie 4.0 Magazin (I40) 18 2018 - 30.08.18.Für weitere Artikel besuchen Sie www.i40-magazin.de