NTPY -Shutterstock.com
Es klingt wie ein Agentenkrimi: Unbekannten Drahtziehern ist es gelungen, eine Hintertür in der XZ-Kompressionsbibliothek, Teil vieler Open-Source-Plattformen, zu verstecken. Kompromittierte XZ-Bibliotheken können wiederum Secure-Shell (SSH) gefährden, das am häufigsten verwendete Tool für einen sicheren Fernzugriff. Potenziell sind sehr viele Server im Internet von der im Frühjahr 2024 entdeckten Lücke betroffen, weswegen das Bundesamt für Sicherheit in der Informationstechnik (BSI) im ersten Schritt genaue Prüfungen und die Installation der neuesten Sicherheits-Updates empfiehlt.
Auch wenn die Security-Community nun umso wachsamer ist, gibt es für eine generelle Entwarnung keinen Grund. Solche elaborierten Supply-Chain-Attacken sind keine Seltenheit mehr. Die Software-Lieferketten stehen deshalb zunehmend unter Druck und eine einzelne Schwachstelle bei einem Player kann eine ganze Reihe weiterer Beteiligter treffen. Vor allem kleine Softwarehäuser können ins Visier der Angreifer geraten – nicht etwa, weil sie selbst interessant sind, sondern weil sie namhafte Unternehmen als Kunden haben.
Auch deutsche Unternehmen sehen mittlerweile die drohende Gefahr: Laut der aktuellen GenAI-Studie von Elastic nehmen 97 Prozent aller befragten Unternehmen eine deutliche Gefährdung wahr und sehen sich Herausforderungen bezüglich ihrer IT-Sicherheit gegenüber. Doch wie können Unternehmen ihren Schutz vor solchen Angriffen verbessern?
Der Schlüssel zu mehr Sicherheit: verhaltensbasierte Erkennung
Maschinelles Lernen (ML) spielt in der Cybersecurity eine zunehmend größere Rolle. Wird hier zum Beispiel verhaltensbasierte Erkennung eingesetzt, kann das Verhalten aller im System laufenden Prozesse untersucht werden. Im Fokus steht dabei etwa, mit welchen anderen Prozessen sie Verbindungen herstellen oder welche Dateien sie öffnen. Schließlich können sie auch als gut- oder bösartig beurteilt werden. So werden die Daten aus verschiedenen verdächtigen Einzelaktivitäten zusammengefügt, verbunden mit der Feststellung, dass sie alle zu einem einzigen Angriff gehören.
Hier kommt auch künstliche Intelligenz (KI) ins Spiel: Denn mit der Hilfe von maschinellem Lernen und Generative AI (GenAI) erhöht sich die Chance weiter, einzelne schwache Signale zu erkennen und zu sammeln. Jedes für sich genommen ist nicht bösartig genug, um einen Alarm auszulösen, aber kollektiv sind sie es – genau das definiert die Angriffserkennung als Muster. GenAI kann also in diesem Umfeld ein sehr nützliches Werkzeug sein.
Das sehen auch die Teilnehmer der Elastic-Studie so: 100 Prozent der befragten deutschen Unternehmen geben an, dass sie generative KI innerhalb ihrer Security-Teams einsetzen wollen. Gerade in Verbindung mit ML kann generative KI bei einer Vielzahl von Aufgaben unterstützen – von der Untersuchung von Alerts über das Reagieren auf Sicherheitsvorfälle bis hin zum Generieren und Konvertieren von Suchanfragen mit Hilfe natürlicher Sprache. Je nach Tool unterstützen einfache integrierte Prompts bei der Anwendung ebenso wie selbst formulierte Prompts, die über das hinausgehen, was die integrierten Funktionen bieten.
Vorbereitung ist das A und O
Eine wichtige Abwehrlinie gegen Supply-Chain-Angriffe sind die Unternehmen selbst. Eine wirksame firmeninterne Cybersecurity setzt sich dabei aus vier Komponenten zusammen: Organisation, Prozesse, Menschen und Technologie.
Zuerst braucht es einen ganzheitlichen Sicherheitsansatz im Unternehmen, der alle diese Aspekte von Anfang an berücksichtigt. Die primäre Aufgabe eines CISO ist es deshalb, die Cybersecurity umfassend im Auge zu behalten. Es müssen nicht nur konkrete Sicherheits-Prozesse aufgebaut, sondern auch Mitarbeiter geschult sowie für aktuelle Cyber-Bedrohungen sensibilisiert werden. So wurde etwa in dem Angriff auf XZ auch mit Social-Engineering-Methoden gearbeitet, um zum Beispiel den Maintainer der Bibliothek unter Druck zu setzen. In technischer Hinsicht sind eine einheitliche Datenplattform und der kombinierte Einsatz von maschinellem Lernen und generativer KI von zentraler Bedeutung.
Lesetipp: Wie GenAI das Threat Hunting beschleunigt
Regelmäßige Sicherheitsaudits und Tests von Netzwerken und Systemen helfen, Schwachstellen frühzeitig zu erkennen und zu beheben. Die Kommunikation zwischen den verschiedenen Abteilungen und ihren Mitarbeitern sollte ebenfalls gestärkt werden, damit das Unternehmen im Krisenfall schnell handlungsfähig ist.
Nicht zuletzt muss natürlich die Lieferkette ständig überwacht werden. Keine Software ist perfekt – wenn Supply-Chain-Angriffe wie Solarwinds oder XZ öffentlich werden, gilt es sofort zu handeln und die betroffenen Programme sowie Bibliotheken auf Schwachstellen zu untersuchen und diese zu beheben. Ein entscheidendes Kriterium bei der Auswahl eines Software-Lieferanten muss daher sein: ein Informationssicherheitsteam mit soliden Prozessen, die exakt evaluiert und bewertet werden können. Wie schnell reagiert das Team auf die Meldung von Schwachstellen? Wie schnell werden sie behoben? Und wie offen und transparent wird kommuniziert? Je transparenter Software-Anbieter hier handeln und kommunizieren, desto eher werden sie zu einem zuverlässigen und unverzichtbaren Bestandteil der Lieferkette.
Zusammenarbeit schützt Lieferketten
Um Software-Lieferketten zu schützen, muss jeder Teil der Supply Chain etwas beitragen, damit es Cyberkriminellen nicht gelingt, durch die Infizierung einer einzelnen Stelle die ganze Kette zu gefährden. Für Unternehmen heißt dies, einen ganzheitlichen Sicherheitsansatz zu verfolgen und moderne Technologien wie maschinelles Lernen und generative KI einzusetzen und kontinuierlich weiterzuentwickeln. Hersteller sollten Informationssicherheit sehr ernst nehmen und schnell sowie transparent handeln – so werden Software-Lieferketten und darauf aufbauende Wirtschaftsbereiche bestmöglich geschützt. (jm)