Von Adrian Wiesmann

Die Supply Chain gibt es auch bei Software. Anwendungen werden beispielsweise häufig aus Komponenten von verschiedenen Herstellenden zusammengebaut. Diese Komponenten enthalten manchmal Schwachstellen, die für einen Angriff ausgenutzt werden. Mit der nötigen Awareness kann dieses Risiko verringert werden.

Stellen Sie sich vor, Sie besitzen eine Firma und haben sich auf die Herstellung von geräucherten Fleischwaren spezialisiert. Mit Fleisch von einem Hof, dessen Bäuerin Sie persönlich kennen, deren Tiere sie auf dem Hof besichtigt haben und Sie wissen, wie die Tiere gehalten und gefüttert werden.

Ihre Kundschaft schätzt dieses Vertrauensverhältnis, das nicht nur zwischen Ihnen und Ihrer Lieferantin, sondern in den letzten Jahren auch zwischen Ihnen und Ihren Kundinnen und Kunden entstanden ist. Man schmeckt die Qualität beim Geniessen der Spezialitäten.

Gehen wir gedanklich einen Schritt weiter, in die Cyberwelt. Stellen Sie sich vor, Sie betreiben für Ihr Geschäft einen Webshop. Anstatt den Shop komplett selber für Ihr Geschäft gebaut zu haben, setzen Sie auf bereits bestehende Software. Auf dem Markt gibt es viele Produkte dafür. Von Open Source bis zu teuren, massgeschneiderten Lösungen. Gut möglich, dass Sie die Auswahl Ihrem Web Hoster überlassen haben und die Software einsetzen, die dieser betreibt.

Die Frage ist nun, ob Sie die Lieferantin, den Lieferanten Ihres Webshops genauso gut kennen wie die Lieferantin für Ihr feines Trockenfleisch? Wissen Sie, mit welchen Technologien Ihr Shop aufgebaut ist? Welche Komponenten verwendet werden? Von wem die Drittkomponenten stammen? Wie sicher diese Bibliotheken programmiert sind und ob es sich um aktuelle, gewartete Versionen in Ihrem Shop handelt? Wenn nein, warum eigentlich nicht?

Kennen Sie Ihren Webshop?

Es wäre gut, wenn Sie Ihren Webshop genauso gut kennen wie Ihre Fleischproduzentin. Denn die Komponenten, aus denen Ihr Webshop besteht, gehören auch zu Ihrer Supply Chain. Und damit zur Angriffsfläche, über die Sie in der Cyberwelt zu Schaden kommen könnten. Angriffe über die Supply Chain sind zwar kein neues Phänomen. Erfolgreiche, dokumentierte Angriffe gibt es seit einer Weile. Sie reichen von – im Vergleich – harmlosen Komponenten, die auf den betroffenen Webservern Bitcoins schürfen, bis zum Angriff, aufgrund dessen ein Unternehmen temporär seine Ladenlokale schliessen musste, weil der Zahlungsprovider betroffen war. Angriffe über die Supply Chain scheinen sich zu lohnen, denn sie sind aktuell recht beliebt.

Ein geflügeltes Wort besagt, dass die Frage nicht mehr ist, ob man erfolgreich angegriffen wird, sondern wann. Sich auf den Vorfall vorbereiten ist daher besonders wichtig. Vorbereitet sein bedeutet unter anderem, dass Sie Ihre Supply Chain kennen und zum Beispiel wissen, aus welchen Komponenten Ihr Webshop besteht. Denn damit wissen Sie nicht nur, welche Software von welcher Entwicklerin, welchem Entwickler bei Ihnen läuft und können so einschätzen, wie relevant eine Schwachstelle oder ein Angriff für Sie ist. Sie können sich damit auch eine Meinung zu Ihrer Softwarelieferantin, Ihrem Softwarelieferanten bilden, im Idealfall mit der Zeit einen Draht zu ihnen aufbauen und im Notfall auf diese Verbindung zurückgreifen.

Nutzen Sie ausserdem die Chance, sich in Ruhe eine Security-Partnerin, einen Security-Partner zu suchen, kennenzulernen, Vertrauen aufzubauen. Sie oder er wird Sie kompetent unterstützt, wenn mal etwas passiert.

Der Beitrag ist ebenfalls auf dem Blog der Connecta Bern, einem Anlass rund um die Digitalität, bei welchem die Hochschule Luzern Partnerin ist, erschienen.

Autor: Adrian Wiesmann

Adrian Wiesmann ist Leiter der IT Security bei der PostFinance AG.