Die jüngsten Angriffe auf die Software-Lieferkette haben den Senat der Vereinigten Staaten dazu veranlasst, ein Gesetz zu verabschieden, das die Cybersicherheitsschulungen für Mitarbeiter im öffentlichen Beschaffungswesen stärkt. Der Supply Chain Security Training Act schreibt vor, dass Behörden die Risiken in der Lieferkette während des gesamten Beschaffungszyklus bewerten und mindern müssen. Das Heimatschutzministerium, das NIST und andere Bundesbehörden sind mit der Koordinierung und Durchsetzung dieses Programms beauftragt.
Das Management von Risiken in der Software-Lieferkette erfordert nicht nur den Schutz Ihres Unternehmens vor direkten Angriffen, sondern auch die Minderung des Risikos von Datenverletzungen durch Dritte und N-Parteien, die Ihr Geschäft stören könnten.
Was bedeutet Software Supply Chain Security für TPRM?
Ihre Software-Lieferkette bezieht sich auf die Anwendungen, die Sie zur Bereitstellung von Dienstleistungen für Ihre Kunden verwenden. Im Rahmen des Risikomanagements für Dritte umfasst die Sicherheit der Software-Lieferkette die Identifizierung möglicher Schwachstellen in den zugrunde liegenden Komponenten dieser Anwendungen und die Bewertung der Wahrscheinlichkeit, dass diese von Cyberkriminellen manipuliert werden.
Strengere Cybersicherheitsvorschriften sind für die Stärkung des Risikomanagements in der Lieferkette unerlässlich, und wir empfehlen allen Organisationen – nicht nur Bundesbehörden –, die Umsetzung der folgenden Best Practices in Betracht zu ziehen.
Best Practices für die Sicherheit der Software-Lieferkette
1. Verbesserung der Lieferanten-Due-Diligence-Prüfung durch kombinierte interne und externe Risikobewertungen
Um das Risiko von Störungen in der Lieferkette von Drittanbietersoftware zu minimieren, sollten Lösungsanbieter verpflichtet werden, Informationen über ihren Softwareentwicklungszyklus offenzulegen, darunter:
- Die Ursprünge ihres Quellcodes
- Ihre Qualitätssicherungsprozesse (QA)
- Ihre Service Level Agreements (SLAs) zur Identifizierung und Behebung von Schwachstellen
Erste Bewertungen können zwar anhand von Lieferantenfragebögen vorgenommen werden, diese liefern jedoch nur eine Momentaufnahme. Ergänzen Sie Ihre Lieferantenbewertungen durch kontinuierlich aktualisierte Daten zu Lieferantenrisiken aus Quellen wie:
- Kriminelle Foren, Onion-Seiten, Dark-Web-Foren mit speziellem Zugang, Threat Feeds und Paste-Seiten für geleakte Zugangsdaten. Die Überwachung der Kommunikation auf diesen Seiten kann einen Frühwarnindikator dafür liefern, dass ein Lieferkettenpartner angegriffen wurde oder angegriffen werden wird.
- Sicherheitsgemeinschaften, Code-Repositorys, Schwachstellendatenbanken und historische Meldungen zu Datenschutzverletzungen, um die Sicherheitshygiene der Anbieter regelmäßig zu überprüfen.
- Informationen zum Reputationsrisiko, einschließlich negativer Medienberichterstattung, Aufnahme in globale Sanktionslisten oder Eigentum eines staatlichen Unternehmens.
Indem Sie diese Informationsquellen im Auge behalten, behalten Sie einen aktuellen Überblick über die Schwachstellen Ihrer Lieferanten und wechseln von statischen zu dynamischen Lieferantenrisikobewertungen.
Vermeiden Sie jedoch den Aufbau eines übermäßig komplexen und potenziell kostspieligen Risikomonitoring-Programms. Bei Hunderten potenzieller Quellen für Cybersicherheit und Reputationsinformationen kann man schnell von unzusammenhängenden Daten aus unterschiedlichen, separat lizenzierten Quellen überwältigt werden.
Wählen Sie Plattformen, die Informationen aus mehreren Informationsquellen zentralisieren, Bewertungsergebnisse bestätigen und aussagekräftige Berichte über potenzielle Risiken von Lieferanten erstellen.
2.
Kartieren Sie Ihre erweiterte Lieferkette, um versteckte Risiken aufzudecken
Die Sichtbarkeit nimmt umso mehr ab, je weiter man in der Lieferkette nach oben geht, was Risiken wie
Ransomware-Angriffe und Sicherheitsverletzungen. Durch einen Einblick in Ihr erweitertes Lieferanten-Ökosystem können Sie Beziehungen aufdecken, in denen Ihre Daten verarbeitet werden. Die Erfassung dieser Informationen kann jedoch zeitaufwändig sein und schnell veralten.
Um diese Risiken aufzudecken, erstellen Sie mithilfe einer externen Bewertungsplattform umfassende Anbieterprofile. Diese sollten wichtige Informationen zu den Anbietern enthalten, wie Standort, vierte Parteien, eingesetzte Technologien sowie Daten aus Perimeter-Scans externer Lieferanten. Das Ergebnis ist eine Beziehungskarte, mit der sich Risiken durch Technologiekonzentration leicht identifizieren lassen, sodass Sie besser vorbereitet sind, wenn sich ein ähnlicher Vorfall wie bei SolarWinds ereignet.
3. Automatisieren Sie die Reaktion auf Vorfälle, um die Risikominderung zu beschleunigen.
Wenn es zu einer groß angelegten Verletzung der Software-Lieferkette kommt, lautet die erste Frage natürlich: „Sind wir betroffen?“ Und gleich darauf folgt: „Sind unsere Drittanbieter betroffen?“ Dieses Szenario haben wir bei Verletzungen wie SolarWinds und Kaseya mehrfach erlebt. Mit umfassenden Lieferantenprofilen, wie sie in den oben genannten Best Practices beschrieben sind, sind Sie bestens gerüstet, um diese Frage schnell zu beantworten.
Wenn es jedoch darum geht, die Risiken eines Lieferanten und die entsprechenden Risikominderungspläne zu ermitteln, sind viele Unternehmen im Nachteil, da sie Spreadsheets verwenden, um die Risiken von möglicherweise Hunderten von Lieferkettenpartnern zu bewerten und zu priorisieren.
Hier sind einige Schritte für einen intelligenteren und schnelleren Ansatz bei der Reaktion auf Vorfälle:
- Zentralisieren Sie die Verwaltung all Ihrer Lieferanten, nicht nur der hochrangigen. Risiken in der Software-Lieferkette sind weit verbreitet und können mehr als nur die als besonders kritisch eingestuften Lieferanten betreffen.
- Führen Sie incidentspezifische Bewertungen durch, verfolgen Sie diese und geben Sie Empfehlungen zur Risikominderung, um die Risikominderung zu beschleunigen. Beziehen Sie Fragen zur Geschäftskontinuität, zu Backups und zu Wiederherstellungsplänen in diese Bewertungen ein.
- Befähigen Sie Dritte dazu, Vorfälle proaktiv über ein standardisiertes Ereignismeldesystem zu melden, das Risiken bewertet und eskaliert, um eine effiziente Triage und Berichterstattung zu ermöglichen.
- Implementieren Sie Workflow-Regeln, die automatisierte Aktionen auslösen, damit Sie auf Risiken entsprechend ihrer potenziellen Auswirkungen auf das Geschäft reagieren können.
- Zentralisieren Sie die Analyse der Bewertungsergebnisse, um die Abhilfemaßnahmen mit den Partnern zu synchronisieren und den Fortschritt an das Management zu kommunizieren.
Nächste Schritte für eine bessere Sicherheit in der Software-Lieferkette
Eine manuelle, reaktive Haltung gegenüber Software-Schwachstellen reicht nicht aus. Durch die Umsetzung dieser Best Practices sind Sie besser für die nächste Herausforderung im Bereich der Lieferkettensicherheit gerüstet.
Weitere Informationen darüber, wie Prevalent dazu beitragen kann, das Risiko in der Lieferkette in jeder Phase des Lieferantenlebenszyklus zu reduzieren, finden Sie in unserem Whitepaper „Navigating the Vendor Risk Lifecycle“(Den Lebenszyklus des Lieferantenrisikos steuern) oder fordern Sie noch heute eine Demo für eine Strategiesitzung an.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
