Supply-Chain Angriffe

Es ist das “Modewort”, welches in letzter Zeit häufig verwendet wird. Der “Supply-Chain” Angriff.

Supply-Chain-Angriffe sind ein neuer Trend und äußerst gefährlich für Unternehmen: Hacker injizieren schädlichen Code in Software, sodass eigentlich legitime Apps zum Verteilen von Malware genutzt werden können. Einmal ins System eingedrungen, lässt sich das Ausmaß des entstehenden Schadens oft erst im Nachhinein bewerten. Wir klären auf über Supply-Chain-Angriffe und zeigen Ihnen Schritte zur Prävention auf. (Quelle: psw-group)

Wenn ich darüber nachdenke, wird hier die Verantwortung vom Hersteller auf die Angreifer “verschoben”.

Es hört sich doch gleich viel besser an, wenn man sagen kann

wir wurden von den bösen Russen angegriffen und die haben uns nur ausgenutzt um die Schadsoftware zu verteilen“.

Eigentlich wäre die richtige Aussage:

weil wir eine Schwachstelle in unserem System hatten, war es möglich, Schadsoftware einzuschleussen“.

Dabei ist es so einfach.

Kein Programm oder Betriebssystem ist sicher!

Selbst die großen Unternehmen und deren Sicherheitslösungen sind davon betroffen:
Schadcode-Lücke in IBM Spectrum Protect gefährdet Server (Quelle: heise.de)

Schaut man sich die Komplexität heutiger Projekte an, so sitzen große, verteilte Teams in einem Projekt und nutzen Werkzeuge (also auch wieder Programme) um die Arbeit zu organisieren.

Das so etwas viel mehr Risiken mit sich bringt, als ein einfaches “Hello World” Programm, liegt auf der Hand.

Aber selbst das kann ich gar nicht “sicher” machen.

Die verwendeten Entwicklungsumgebungen können Schwachstellen haben, die unbemerkt in mein Programm einfliessen.

Und am Ende können selbst die Geräte / Prozessoren u.a. auch noch Schwachstellen haben.

Damit wir am Ende mit den Risiken besser umgehen können ist ein entsprechender, offener Umgang mit Schwachstellen eine zwingende Voraussetzung.

Man sollte als Unternehmen nicht dafür bestraft werden, dass es eine Schwachstelle gab, sondern dafür, dass man diese nicht schnell und aktiv kommuniziert und behoben hat.

Der Exchange-Hack ist dafür ein Beispiel.

Das Unternehmen (dem das Programm gehört) wusste schon lange von Schwachstellen und hat nicht darauf reagiert.

Auch hat man wohl erst einmal die eigenen “Cloud-Lösungen” sicher gemacht, bevor man an die “OnPrem”-Kunden dachte.

Und ganz schlimm – das Unternehmen muss für die entstandenen Schäden nicht haften.

Also, einmal ehrlich gesagt, ich als Selbständiger muss eine spezielle Versicherung abschliessen, weil man mich für Schäden haftbar machen kann, die durch meine Arbeit entstehen.

Warum gilt das für große Unternehmen nicht?

Solarwinds hatte nicht nur durch ein öffentliches, unsicheres Kennwort grob fahrlässig gehandelt.

Auch dort hat man Hinweise, die es schon deutlich vor dem großen Knall gab, ignoriert.

Ist das nicht auch “grob fahrlässig”?

Was geschieht wohl, wenn ich keinen Schadenersatz befürchten muss?

Werde ich mich dann bemühen, meine Kunden vor Schaden zu schützen?

Ein wenig ist das auch so, mit den großen Projekten in Deutschland.

Macht ein Politiker grobe Fehler (Maut-Thema, Flughafen Berlin, Stuttgart, …) dann bleibt das meist ohne große Folgen.

Und wenn man dann auch noch Glück hat, bekommt man selbst nach einem Rücktritt wieder einen neuen “Posten” oder behält seine “Bezüge”.

Deshalb fordere ich “gleiches Recht für alle”.

Wer Mist baut, der soll dafür auch zur Rechenschaft gezogen werden können.