:quality(80)/p7i.vogel.de/wcms/fb/fc/fbfc8c5ff07de8c7f79fb9a5355f2aaa/0117613147.jpeg "Die Hannover Messe will in diesem Jahr den Fokus auf Nachhaltigkeit in der Industrie legen. Dafür werden vor allem Themen rund um Brennstoffzellen in den Mittelpunkt gerückt. (Bild: Deutsche Messe)")
:quality(80)/p7i.vogel.de/wcms/40/2d/402d52a620c1a4f74a7221fa9b03342a/0117819390.jpeg "Noch letztes Jahr wurde der geplante Data Act von der Industrie angegriffen und kritisiert. Jetzt scheint sich die Stimmung umzuschlagen, wie eine Umfrage von Hewlett Packard Enterprise offenbart. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/6a/d1/6ad1cde0cf0dd69490912dcdee5e8274/0116675366.jpeg "Intelligente Automatisierung steigert die Effizienz und Genauigkeit von Prozessen innerhalb der Lieferketten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/83/dc/83dc4c853a2122b7b347b9a93c0b8cac/0117668815.jpeg "Doktorandin Sipontina Croce und Student Lukas Roth forschen an Folien, die Textilien neue Fähigkeiten verleihen. Smarte Arbeitshandschuhe werden ebenso möglich wie smarte Uhren, die virtuelle Berührungen spürbar machen. (Bild: Oliver Dietze/Universität des Saarlandes)")
:quality(80)/p7i.vogel.de/wcms/8d/b4/8db45c3b536aa9ee149d21ceb1afefb3/0117575815.jpeg "Franziska Chalupa-Gantner mit Gehirn-Phantom in der Hand und Aleksandr Ovsianikov (beide Forschungsgruppe 3D Printing and Biofabrication, TU Wien). (Bild: TU Wien)")
:quality(80)/p7i.vogel.de/wcms/8b/0e/8b0ef5d7e102fc7e77dd9fbce291aef3/0117758688.jpeg "Im neuen Future LAB am IUTA in Duisburg sind u. a. hexagonale Laborbänke (i-Hex) untergebracht. Deren LED-Leisten können z. B. den Status der dort integrierten Geräte anzeigen (Helligkeit hier im Bild stark nachbearbeitet). (Bild: VCG – Lüttmann (Bild nachbearbeitet))")
:quality(80)/p7i.vogel.de/wcms/9b/2c/9b2c8457d6a10b4d73bd27a5f24c300f/0117755429.jpeg "Komplexität und Leichtigkeit: Empa-Forschende haben ein 3D-Druckverfahren für biologisch abbaubares Cellulose-Aerogel entwickelt. (Bild: Empa)")
:quality(80)/p7i.vogel.de/wcms/6d/25/6d25e05d5d935ed54a3b68dc428f0da5/0117769965.jpeg "Diese DMG-Mori-Maschine druckt an der FH Münster Metallteile. Wie die dort forschenden Experten herausgefunden haben, kann sich das auch für Klein- und Mittelständler lohnen. Bei Bedarf unterstützen sie deshalb KMU dabei, das herauszufinden. (Bild: FH Münster)")
:quality(80)/p7i.vogel.de/wcms/5a/16/5a168874d7e58bf08ba9f070014b54fd/0116712810.jpeg "Die exemplarische Montagelinie besteht aus fünf Schweißzellen und einer Zelle für Laserschneiden. Die Zellen sind durch Handlingsroboter verkettet, außerdem gehören noch die Bereitstellung der Blechteile und die Entnahme des Endprodukts zur Anlage. (Bild: KIT)")
:quality(80)/p7i.vogel.de/wcms/be/7f/be7fc6feb15824a750fa9d156b5a32de/0117818473.jpeg "Das Design-Team von ABB und Busch-Jaeger setzt sich beim Produktdesign intensiv mit den Kundenansprüchen und -bedürfnissen auseinander (Bild: ABB)")
:quality(80)/p7i.vogel.de/wcms/62/44/6244ee9c5050050de183c39df2e77cf2/0117892431.jpeg "Eine neue Arbeitsgruppe wird unter dem Dach der Eclipse Foundation gegründet. Das Ziel sind gemeinsame Standards für die sichere Softwareentwicklung auf Basis bereits bewährter Praktiken einzelner Open-Source-Organisationen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/03/be/03be2482e76ed1abdcb9b761e81af0b8/0117774843.jpeg "Eine KI soll es Unternehmen künftig erleichtern passende Kandidaten zu finden. (Bild: kras99 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/86/22/8622e6b424edd0572cca501757ee0292/0117831264.jpeg "Seit 2018 hat die deutsche Industrie kaum deutlich an Produktivität zugelegt, sagen Forscher von IW Consult. Dabei verweisen sie gleichzeitig auf die Chancen, die sich durch den Einsatz von generativer künstlicher Intelligenz bieten. (Bild: frei lizenziert)")
Cybersicherheit bei IoT-Geräten Angriffe auf die Lieferkette und wie man sie abwehrt
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/127700/127792/65.png "MPDV_Logo_2019.png ()")
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d1371cff23/logo.jpg "Logo.jpg (NetModule)"){kind=logo}
Vernetzte IoT-Geräte sind zwar praktisch, es gibt allerdings Sicherheitslücken innerhalb der Lieferkette. In einem aktuellen Bericht hat die US-Bundesbehörde NIST die Cyberrisiken innerhalb der Lieferkette eingeschätzt. Die Empfehlungen im Überblick.
Die US-Bundesbehörde NIST (National Institute of Standards and Technology) hatte vor kurzem die endgültige Version seines Berichts 8276 unter dem Titel „Key Practices in Cyber Supply Chain Risk Management: Observations from Industry” [1] veröffentlicht. Der Report ist eine hilfreiche Zusammenfassung, wie das NIST die Cybersicherheitsrisiken innerhalb der Lieferkette einschätzt und dabei insbesondere die Rolle von Geräten des Internet of Things (IoT).
Risiken in der Lieferkette lassen sich in zwei Kategorien einteilen: Sicherheitslücken und Schwachstellen, die unbeabsichtigt entstanden sind, sowie direkte Angriffe. Zu den unbeabsichtigten Risiken zählt beispielsweise der Einbau veralteter Software in das Firmware-Image eines Geräts oder in die Software der zugehörigen Apps und Dienste. Gegen diese Risiken kann man einiges tun. Beispielsweise indem man seine Lieferanten sorgfältig auswählt, veraltete, überholte und anderweitig anfällige Software eliminiert oder ersetzt und die verbleibenden Risiken durch sichere Software-Konfigurationen, Überwachung und externe Schutzmaßnahmen (Firewalls) reduziert.
:quality(80)/images.vogel.de/vogelonline/bdb/1694200/1694259/original.jpg "Wirkungsvolle Security-Lösungen sorgen automatisch dafür, dass nur Funktionsaufrufe und -rückgaben zugelassen werden, die in den Werkseinstellungen definiert sind. (gemeinfrei)")
Cybersecurity
Embedded Systems vor Cyberattacken schützen
Will man die Risiken im Sinne einer vertrauenswürdigen Lieferkette effizient managen, sollte man unbedingt eine sogenannte SBOM (Software Bill of Materials = Software-Stückliste) erstellen. Dazu sollten die Risiken identifiziert werden, die sich aus allen extern bezogenen Software-Komponenten ergeben. Das sind zum Beispiel Open-Source- und proprietäre Komponenten sowie ihre Sub-Komponenten, die ihrerseits von unterschiedlichen Anbietern stammen können.
Der Angriff auf die Lieferketten
Voraussetzung ist, SBOMs standardisiert zu erstellen und das Werkzeug in der Industrie auszuweiten. Geht eine Standard-SBOM von den Root-Software-Anbietern aus und weitet sich in der Lieferkette nach unten aus, könnten Käufern und Verkäufern die Software-Zusammensetzung ihrer Produkte klar und einfach beurteilen. Ein bemerkenswerter Ansatz stammt etwa vom NTIA [2]. Bleibt zu hoffen, dass er bei Industrie und Regulierungsbehörden auf breite Akzeptanz stößt.
Angriffe auf Lieferketten sind eines der schwerwiegendsten Risiken, die ein Zulieferer verursachen kann. Mehrere Cybersicherheitsvorfälle fanden ihren Weg in die Öffentlichkeit. Dabei waren die Update-Produkte von SolarWinds [3] beteiligt. Unser eigenes Forschungsteam hat vor kurzem einen Blog [4] über Angriffe auf die Lieferkette veröffentlicht. Wir schauen jetzt die Risikoklasse genauer an.
Lieferketten-Angriffe sind für Hacker eine verlockende Alternative zu den herkömmlichen Perimeter-Angriffen. Zielen sie zunächst auf die Eintrittspunkte ins Netzwerk eines Unternehmens ab und breiten sich dann nach innen aus. Statt sich also an den befestigten Mauern abzuarbeiten, ähneln diese Angriffe eher einem trojanischen Pferd, das durchs Haupttor in die Stadt geschleust wird: Eine bösartige Komponente wird in eine als gutartig erscheinende Software oder Appliance eingeschleust, die dann vom Administrator selbst im Netzwerk des Unternehmens installiert wird. Lieferketten-Angriffe umgehen die Perimeter-Verteidigung und die meisten netzwerkbasierten Überwachungssysteme. Sie lassen sich nur schwer erkennen.
:quality(80)/p7i.vogel.de/wcms/93/a1/93a1f4f783efd069021ebd2431c5bc9a/95335462.jpeg "Auch wenn manche Anbieter von IoT-Geräten die Sicherheit vernachlässigen, sind Unternehmen trotzdem nicht gänzlich schutzlos. (Bild: gemeinfrei)")
Security
Tipps für die IoT-Sicherheit anhand des NIST Frameworks
Ein klassischer Lieferketten-Angriff
Ein klassischer Lieferketten-Angriff besteht darin, den Anbieter eines Software-Produkts zu kompromittieren, bösartigen Code in dessen Versionsverwaltungssystem einzuschleusen und dann geduldig abzuwarten, bis ein anvisiertes Zielunternehmen genau dieses Produkt erwirbt (oder auf die infizierte Version updated). Danach wird der eingeschleuste Code ausgeführt. Eine Alternative dazu ist es, die Build-Umgebung anzugreifen: Moderne Software wird oft auf dedizierten Maschinen und Cloud-Servern mit einer komplexen Toolchain erstellt.
Angreifer kompromittieren Build-Systeme und Compiler, um ihren Code gezielt einzuschleusen. Auch Open-Source-Projekte dienen als Angriffsfläche. Der Angreifer muss den absichtlich mit Schwachstellen behafteten Code [5] unerkannt in ein populäres Quellcode-Repository einspeisen, ihn dort akzeptieren lassen und beobachten, wie sich die Änderung in weiteren Open-Source-Projekten und proprietären Produkten verbreitet. Sogar Update-Server können als Ziel für Lieferketten-Angriffe dienen [6], wenn sie kompromittiert werden.
Die Update-Pakete haben vollkommen gültige kryptografische Signaturen, sofern vom Hersteller bereitgestellt. Die schädliche Komponente wird bereits vor dem digitalen Signieren der Softwarekomponente injiziert. Sogar Hardware kann bösartige Backdoors [7] enthalten. Und die sind unter Umständen schwer zu erkennen oder zu beseitigen.
:quality(80)/p7i.vogel.de/wcms/ad/9f/ad9f517f7ba931fd204c230b79fc56bb/98981055.jpeg "Die Geräteregistrierung ist ein sicherheitskritischer Schritt auf dem Weg ins Internet of Things. (Bild: gemeinfrei)")
Security
Mehr IoT-Sicherheit: Effektive Geräteregistrierung in einer Public-Key-Infrastruktur
Mehr Angriffsfläche durch vernetzte IoT-Geräte
Der erwähnte Bericht ist Teil des NIST C-SCRM [8], des Cyber-Supply-Chain-Risk-Management-Programms, und damit einer umfassenderen Bemühung, Verfahren und Richtlinien sowohl für staatliche Unternehmen als auch für den privaten Sektor zu erstellen. Diese Bemühungen fußen auf der wachsenden Erkenntnis über die schwerwiegenden Sicherheitsauswirkungen, die durch anfällige Software (und gelegentlich auch Hardware) verursacht werden. Software (oder auch Hardware), die Unternehmen oder Endbenutzer von Anbietern erworben haben, deren Produkte Sicherheitslücken und sogar absichtlich installierte Backdoors enthalten.
Der Bericht gibt zudem einen Überblick über Angriffe auf die Cybersicherheit in der Lieferkette und erläutert wichtige Praktiken und Empfehlungen für Sicherheitsprozesse und -verfahren. Dazu kommt eine Liste mit nützlichen Referenzen für das Management einer vertrauenswürdigen Lieferkette. Dazu gehören unter anderem NIST, ISO, IEC und NERC. Der Bericht geht dabei nicht in die technischen Details und beschreibt auch keine spezifischen Sicherheitsanforderungen.
Der Abschnitt 1 enthält eine Zusammenfassung von Lieferketten-Angriffen in den Jahren zwischen 2013 und 2018, geht aber nicht auf neuere Lieferketten-Angriffe aus dem Jahr 2020 ein, wie Sunburst [9], den vielfach diskutierten Lieferketten-Angriff, bei denen die Update-Software von SolarWinds verwendet wurde. Dieser Abschnitt weist auf das besondere Problem mit IoT- und IIoT-Geräten (Industrial IoT) hin. Unternehmen installieren zunehmend vernetzte Geräte in ihren Netzwerken, was die Angriffsfläche exponentiell vergrößert.
Keine Kontrolle über das Liefer-Ökosystem
Der Abschnitt 2 enthält eine sehr treffende Problemdefinition, die es verdient, in vollem Umfang zitiert zu werden: „Diese Trends haben zu einer Welt geführt, in der Unternehmen nicht mehr die volle Kontrolle und oftmals auch nicht die volle Transparenz über das Liefer-Ökosystem der Produkte, die sie herstellen, oder der Dienstleistungen, die sie erbringen, haben. Und ohne ausreichende Kontrolle haben Unternehmen Schwierigkeiten, die Risiken zu managen, die sich aus ihren Lieferketten und den Produkten und Dienstleistungen ergeben, die diese durchlaufen.“
Sie trifft besonders für unsere moderne Welt zu, in der jeder Computer, jede Appliance oder Softwarekomponente Millionen installierter Codezeilen in sich trägt, die aus einer Vielzahl von Open-Source-Projekten und proprietären Softwarepaketen stammen und von einer komplexen Lieferkette aus Entwicklern, Anbietern, Integratoren und Wiederverkäufern erstellt werden. Und das, bevor wir auf die Cloud- und Netzwerkdienste eingehen, die die Dateninfrastruktur und Backend-Anwendungen vorhält, die für den Betrieb des gesamten Ökosystems erforderlich sind.
Abschnitt 3 beschreibt die wichtigsten und empfohlenen Praktiken. Wie ein S-CRM-Programm etabliert wird, die Lieferkette verstehen und verwalten sowie separate Empfehlungen zur engen Zusammenarbeit mit wichtigen Lieferanten. Dazu gehören vor allem jene, die mit sensiblen Daten umgehen. Hinzu kommen Empfehlungen, um die Lieferanten zu überwachen bis hin zu einer möglichen Abkündigung. Diese Punkte werden in Abschnitt 4 unter „Empfehlungen“ noch einmal zusammengefasst.
Wie die Lieferkette die Cybersicherheit beeinflusst
Als Anbieter von Sicherheitsdienstleistungen für Unternehmen, die vernetzte Geräte erstellen oder beziehen, sehen wir nicht selten Produkte mit Schwachstellen im täglichen Einsatz. So eine Schwachstelle in der Lieferkette wird unwissentlich mit Open-Source-Komponenten oder von Software-Anbietern erworben. An dieser Stelle kann man der Problemdefinition des Berichts nur zustimmen: Den meisten Unternehmen fehlt ein ausreichender Einblick in die Art und Weise, wie ihre Lieferkette die Cybersicherheit beeinflusst. Transparenz ist der erste Schritt, um die Kontrolle zu erlangen und eine vertrauenswürdige Lieferkette zu etablieren.
Moderne Unternehmen sind praktisch nicht mehr in der Lage, ihre Lieferketten-Beziehungen mit bisweilen Hunderter verschiedener Lieferanten, ohne automatisierte Tools effizient zu verwalten. Solche Tools unterstützen Firmen bei Assessments der betreffenden Lieferanten und helfen eine präzise Software-Stückliste zu erstellen. Der Einsatz von automatisierten Tools deckt gleichzeitig viele der innerhalb des Standards empfohlenen Praktiken ab. Zum Beispiel robuste Testverfahren einzusetzen und klare, standard-basierte Sicherheitsanforderungen festzulegen, die für alle Lieferanten gleichermaßen gelten.
Das NIST ist in der Lage, das Beschaffungswesen der US-Bundesregierung und – indirekt – die gesamte Branche zu beeinflussen. Daher sollte es den nächsten logischen Schritt vollziehen und verbindliche Standards für die Beschaffer von Software und Geräten liefern. Die sollten dann nicht nur für die unmittelbaren Lieferanten gelten, sondern für die gesamte Kette. So bekommen alle Teilnehmer der Lieferkette die dringend notwendige Transparenz, um die Produktsicherheit und Produktauswahl zu verbessern.
* Harry Zorn ist Vice President EMEA bei Vdoo in Stuttgart.
(ID:47433311)
:quality(80)/p7i.vogel.de/wcms/ae/81/ae8150139c989b4eb46cae0335178241/0111424868.jpeg "Mit einer SBOM kann die Branche dafür sorgen, dass Hacker keine bösartigen Artefakte in der Software-Supply-Chain platzieren. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/89/64/896468daf058e7a9307a9e33558ed88b/0111540652.jpeg "Angreifer können Standard-Credentials nutzen, um auf Schwachstellen in der IoT-Systemsoftware und Firmware zuzugreifen. (Bild: frei lizenziert)")