Security-Umfrage

Supply-Chain-Angriffe im Aufwind

Nach Bekanntwerden der Log4j-Lücke sind die Angriffe auf Software-Lieferketten einer aktuellen Untersuchung zufolge sprunghaft angestiegen.
Von 
CSO | 15. Februar 2022 05:23 Uhr
Software-Supply-Chain-Angriffe stehen hoch im Kurs. Log4j hat diese Entwicklung noch verstärkt - glaubt man einer aktuellen Umfrage.
Software-Supply-Chain-Angriffe stehen hoch im Kurs. Log4j hat diese Entwicklung noch verstärkt - glaubt man einer aktuellen Umfrage.
Foto: Hernan E. Schmidt - shutterstock.com

Mehr als drei von fünf Unternehmen waren im Jahr 2021 von einer Attacke auf die Software-Lieferkette betroffen, so eine aktuelle Umfrage des Sicherheitsanbieters Anchore.

Die Umfrage unter 428 Entscheidern aus den Bereichen IT, Sicherheit, Entwicklung und DevOps ergab, dass die Organisationen von fast einem Drittel der Befragten (30 Prozent) im Jahr 2021 entweder erheblich oder zumindest mäßig von einem Supply-Chain-Angriff betroffen waren. Lediglich 6 Prozent geben an, die Attacke(n) hätten nur geringe Auswirkungen gehabt.

Dabei fand die Umfrage zeitgleich mit der Entdeckung der Log4j-Sicherheitslücke statt: Die Forscher führten die Umfrage vom 3. Dezember bis zum 30. Dezember 2021 durch. Log4j wurde am 9. Dezember entdeckt. Vor diesem Datum gaben 55 Prozent der Befragten an, von einem Angriff auf die Software-Lieferkette betroffen gewesen zu sein. Nach diesem Datum stieg der Wert auf 65 Prozent an.

"Das bedeutet einerseits, dass viele betroffen waren, die vor Log4j noch keinen Supply-Chain-Angriff erlebt haben. Andererseits aber auch, dass Log4j die Auswirkungen der Angriffe verstärkt hat", analysiert Kim Weins, Senior Vice President bei Anchore.

Tech-Unternehmen besonders betroffen

Eine weitere Erkenntnis der Umfrage: Die Technologiebranche war von Angriffen auf die Software-Lieferkette mehr betroffen (15 Prozent) als andere Branchen (3 Prozent). "Tech-Unternehmen schaffen potenziell einen ROI für die Angreifer. Wenn ein Angreifer ein Softwareprodukt kompromittieren kann, verschafft ihm das ein Standbein in Tausenden von anderen Unternehmen", so Weins.

Die Sicherheit der Lieferkette scheint in vielen Unternehmen hohen Stellenwert zu haben: 54 Prozent der Befragten stuften sie als einen wichtigen oder sehr wichtigen Bereich ein. Das Interesse unter den erfahrenen Container-Nutzern war sogar noch größer: 70 Prozent erklärten Supply-Chain-Sicherheit zu einem wichtigen oder sehr wichtigen Thema.

"Die Zahl der Abhängigkeiten, auf die man achten muss, steigt mit Containern und Cloud-Native-Implementierungen", weiß der Anchore-Manager. "Mit zunehmender Erfahrung im Umgang mit Containern erkennen die Unternehmen, dass all diese zusätzlichen Angriffsflächen, die durch diese Abhängigkeiten entstehen, Beachtung brauchen."

SBOM als Schlüssel zur sicheren Lieferkette

Obwohl der Schutz der Software-Lieferkette für viele der Befragten an erster Stelle zu stehen scheint, integrieren nur wenige der Befragten Software Bills of Materials (SBOMs) in ihre Sicherheitsstrategie: Weniger als ein Drittel der Umfrageteilnehmer hält sich an bewährte SBOM-Verfahren - nur 18 Prozent verfügen über eine vollständige SBOM für sämtliche Applikationen.

"SBOM ist eine wichtige Grundlage für die Absicherung der Software-Lieferkette, da es einen Einblick in die tatsächlich genutzte Software gewährt", erklärt Weins. Eine SBOM könne auch dazu beitragen, die Reaktionszeiten von Sicherheitsteams zu verkürzen, wenn Schwachstellen entdeckt werden. "Ohne SBOM kann es Monate oder Jahre dauern, diese Schwachstellen zu beheben", meint Sounil Yu, CISO beim Asset-Management-Spezialisten JupiterOne. "Ohne SBOMs investieren Kunden in Blackbox-Lösungen. Das führt dazu, dass ihnen nicht alle Komponenten eines Produkts oder eines Services bekannt sind", ergänzt Rick Holland, CISO beim Sicherheitsanbieter Digital Shadows.

Geht es nach Anchore-Manager Weins, ist SBOM im Jahr 2022 ein absolutes Muss: "Software-Sicherheit beginnt damit, zu verstehen, was man hat. Eine vollständige Liste von Komponenten kann genutzt werden, um Software in Sachen Sicherheit vor der Auslieferung zu überprüfen. Nach dem Deployment kommt es dann vor allem auf kontinuierliches Monitoring an." (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

John Mello schreibt unter anderem für unsere US-Schwesterpublikation CSO Online.