Was passiert in der Cloud?
Open-Source ist die IT-Achillesferse der Software-Lieferkette
Vom SolarWinds-Angriff auf die Software-Lieferkette bis hin zur aufgedeckten Apache-Log4j-Schwachstelle: Bedrohungsakteure zielen vermehrt auf kritische Schwachstellen sowohl bei Cloud-Anbietern als auch in der Lieferkette. Unternehmen sind jedoch zunehmend auf Cloud-Computing-Plattformen angewiesen: 35 Prozent aller Firmen lassen mehr als 50 Prozent ihrer Workloads auf Microsoft Azure, AWS und Google Cloud laufen. Das Problem: Viele von ihnen haben Schwierigkeiten, ihre Infrastrukturen über mehrere Cloud-Plattformen hinweg abzusichern. Gleichzeitig müssen sie den Fachkräftemangel bewältigen und obendrein ist die Zahl der Cloud-Sicherheitsvorfälle im Vergleich zum Vorjahr um zehn Prozent gestiegen. Denn auch Cyberkriminelle haben ihre Lieferketten-Angriffe in die Cloud verlagert.
NotPetya
Derzeit geht das größte Risiko für die Lieferkette von Unternehmen von Open-Source-Software aus. Die Open-Source-Gemeinschaft stellt viele Module und Pakete zur Verfügung, die auf der ganzen Welt eingesetzt werden, auch von Unternehmen innerhalb der Lieferkette. Das Problem mit einer Open-Source-Software ist jedoch, dass sie von Natur aus unsicher ist. Das liegt daran, dass sie von Einzelpersonen geschrieben wird, denen teils das Fachwissen oder das Budget fehlt, um sie abzusichern.
Dadurch entsteht eine Lücke in der Sicherheitsarchitektur, denn importierte Open-Source-Pakete können Abhängigkeiten aufweisen, die der IT schlicht nicht bekannt sind. Genau das ist mit NotPetya passiert: NotPetya ist eine Weiterentwicklung einer Malware-Kette, die es geschafft hat, Systeme auf der ganzen Welt zu infiltrieren, indem sie sich auf weitverbreitete Open-Source-Buchhaltungssoftware stützte. Dadurch verbreitete sie sich wie ein Lauffeuer und verursachte Chaos in der Ukraine sowie in mehreren großen Ländern, darunter Großbritannien, Frankreich, Deutschland, Russland und die USA. Die Allgegenwärtigkeit von Open-Source-Software und -Code bedeutet, dass es für Unternehmen schwierig sein kann, herauszufinden, ob sie oder ihre Lieferanten für Angriffe anfällig sind. Dies macht Lieferketten zu einem attraktiven Ziel für Cyberkriminelle, weil sie wissen, dass sie durch das Eindringen in ein System schnell auf viele weitere zugreifen können.
DevSecOps
Alle Cloud-Plattformen weisen Schwachstellen auf, egal für welchen Anbieter man sich entscheidet. IT-Verantwortliche können Nachforschungen anstellen und auf die besten Experten der Branche zurückgreifen, aber sie können die vollumfängliche Sicherheit der Plattform des gewählten Anbieters nicht kontrollieren. Unternehmen können dennoch folgende Aspekte beherzigen, um sich zu schützen: Unternehmen neigen dazu, Sicherheitsvorkehrungen als einen einzigen Schutz-Kontrollpunkt aufzubauen, und Angreifer werden versuchen, diesen zu umgehen. Eine Sicherheitsimplementierung, die davon ausgeht, dass die erste Ebene versagen könnte, und mehrere Ebenen durchsetzt, hat eine größere Chance, einen ausgeklügelten Cyberangriff zu überstehen. Damit die virtuellen Türen zu ihrem Netzwerk fest verschlossen bleiben, sollten Unternehmen DevSecOps automatisieren. Das stellt sicher, dass Sicherheitsmaßnahmen in Echtzeit und in Übereinstimmung mit anderen Geschäftszielen durchgeführt werden können.