Verantwortung statt „Weiter so“

Gefahren aus der Software-Supply-Chain

| Autor / Redakteur: Gunnar Braun / Stephan Augsten

Der zunehmend modulare Aufbau von Software birgt die Gefahr, schädliche Komponenten zu integrieren.
Der zunehmend modulare Aufbau von Software birgt die Gefahr, schädliche Komponenten zu integrieren. (Bild: PIRO4D - Pixabay.com / CC0)

Innerhalb einer Software-Lieferkette kann es zu bösen Überraschungen kommen. Denn Software beinhaltet immer öfter Drittanbieter-Code und Open-Source-Komponenten. Welche Probleme es gibt und worin diese begründet sind, zeigt dieser Beitrag auf.

Mit einem Software-Supply-Chain-Angriff ist im Consumer-Markt unfreiwillig mitgeladene Malware gemeint. Anwender laden Updates einer seriösen Software aus scheinbar sicheren Quellen – und plötzlich ist der Rechner mit einer Ransomware infiziert. Im industriellen Umfeld hingegen gibt es das Update-Problem ebenfalls, jedoch ist hier die Perspektive erweitert.

Man kann die Software-Supply-Chain wie die klassische Lieferkette bei physischen Gütern verstehen. In der Software-Entwicklung existiert längst ein stark arbeitsteiliges Produktions- und Liefermodell. Egal, ob das Produkt eine mobile App, ein medizinisches Gerät oder die Triebwerkssteuerung einer Boeing 787 ist: Software zu entwickeln bedeutet, sie aus diversen Komponenten zusammenzusetzen.

Software besteht heute zu wesentlichen Teilen aus Open-Source- oder Third-Party-Code. Wer seinen Code nicht genau kennt, kann böse Überraschungen erleben. Es gilt die alte Regel: Eine Lieferkette ist nur so stark wie das schwächste Glied. Das fatale an Lieferketten ist, dass sie schwieriger abzusichern sind, als interne Produktionsvorgänge.

Open-Source-Code ist auf den ersten Blick sehr praktisch: Man erhält die benötigte Funktionalität und spart gegenüber der eigenen Entwicklung Zeit und Geld. Allerdings kann Open-Source-Code Sicherheitsrisiken enthalten. Das liegt nicht an der Qualität des Codes, sondern an der Missachtung einfacher Prinzipien und einem anderen Handling von Sicherheitslücken bei Open Source.

Ein Beispiel der Kategorie „sträflicher Leichtsinn“ aus Zürich: Yourtaxi, ein Unternehmen, das dem US-Fahrtenvermittler Uber nacheifern wollte, hatte seine App Offshore in Indien programmieren lassen. Offenbar ohne jegliche Kontrolle oder Prüfung. Fahrtrouten, Namen, Telefonnummern, E-Mail-Adressen und Profilfotos – diverse Kundendaten waren übers Web suchbar.

Sicher ein kleines Datenleck im Vergleich zum großen Vorbild Uber und dessen über 57 Millionen via ungesicherter Datenbank-Schnittstelle abhandengekommenen Nutzerdaten. Doch es zeigt auf, wie gefährlich Auftragssoftware werden kann, wenn ihre Sicherheit nicht ausreichend überprüft wird.

Datenlecks liegen im Trend

An Datenlecks ist die Öffentlichkeit inzwischen offenbar zu sehr gewöhnt. Die Liste reicht von Adobe über eBay, Equifax, LinkedIn, MySpace, den Einzelhändler Target – bis hin zum derzeitigen Rekordhalter Yahoo. Alle diese namhaften Firmen verloren in den vergangenen Jahren Millionen Nutzerdatensätze an Hacker. Yahoo schaffte sogar 3 Milliarden.

Datenlecks sind nicht mehr die Ausnahme, sondern Trend. Die Studie „2017 Third party Data Risk“ des Ponemon Institute ergab, dass 56 % der Befragten von einem Datenverlust durch Dritte betroffen waren, gegenüber 49 % im Vorjahr. Warum ist das so? Unternehmen scheinen es Datendieben geradezu fahrlässig einfach zu machen. Sie agieren wie ein Hauseigentümer, der die Hausschlüssel an jeden Auftragnehmer (Klempner, Schornsteinfeger, oder den Jungen, der den Rasen mäht) ohne weitere Bedenken aushändigt. Selbst dann, wenn bereits die Nachbarn Opfer von Dieben geworden sind.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentieren Sie den Beitrag

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Whitepaper

Technologietrends 2018

Die Top Technologietrends für 2018 in der Industrie - Teil 1

In den schnelllebigen Zeiten der Digitalisierung ist es häufig schwer, stets auf dem aktuellen Stand zu bleiben. Lesen Sie jetzt, welche 8 Trends dieses Jahr im Fokus der Industrie stehen. lesen

Verteilt dezentrale Netzwerke

So revolutioniert Blockchain die Logistik

Bei Logistikern herrscht in Sachen Blockchains noch Unsicherheit. Hier erfahren Sie, wie die Technologie funktioniert und welche Einsatzmöglichkeiten es für sie im Supply Chain Management gibt! lesen

Absatzprognosen

Präzise Supply-Chain-Planung im Lebensmittelhandel

Promotions, etwa Preisnachlässe oder Werbeanzeigen, haben oft deutliche Auswirkungen auf den Absatz von Produkten. Hier erfahren Sie, wie Sie die Sekundäreffekte einer Kampagne effizient ermitteln! lesen

DER NEWSLETTER FÜR INDUSTRIE UND HANDEL Newsletter abonnieren.
* Ich bin mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung einverstanden.
Spamschutz:
Bitte geben Sie das Ergebnis der Rechenaufgabe (Addition) ein.
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45382971 / IT)