Leitfaden «Cloud Supply Chain Security» veröffentlicht
Supply-Chain-Attacken haben deutlich zugenommen. Der jetzt veröffentlichte Leitfaden des Bundesverbandes IT-Sicherheit beschreibt neben Software Bill of Materials (SBOM) weitere Schutzmassnahmen, die von Anwenderunternehmen zur Verbesserung der Cloud Supply Chain Security getroffen werden können.
In der IT ist die Supply Chain die Lieferkette aller Teilprodukte und Lieferungen, aus denen sich ein IT-Service oder eine Anwendung zusammensetzt. Für jede Art von Software, aber insbesondere für Cloud-Dienste, besteht eine solche Lieferkette aus unzähligen Lieferanten und Produkten, die entweder direkt oder indirekt genutzt werden oder zur Erstellung oder Ausführung der Teile beitragen. Dies schreibt der Bundesverband IT-Sicherheit (TeleTrust). Im besten Fall werde der Produzent oder Anbieter der Teile die direkt genutzten Komponenten selbst auf Sicherheitseigenschaften überprüfen. Der Anwender habe aber normalerweise weder die Möglichkeit, die Nutzung einer betroffenen Komponente festzustellen, noch auf eine Behebung von Schwachstellen hinzuwirken – ein inakzeptabler Zustand, so TeleTrust.
Bereitstellung von SBOM als Marktstandard
Um das Problem der mangelnden Transparenz zu lösen, führe der Weg über die Software Bill of Materials (SBOM). Eine SBOM sei eine Aufstellung aller Komponenten, die in einer Software-Anwendung enthalten seien. «Wenn neue Erkenntnisse zu Fehlern und Schwachstellen in diesen Komponenten auftauchen, können Anwender schnell ermitteln, ob sie möglicherweise betroffen sind und die von ihnen genutzten Anwendungen gefährdet sind», betont TeleTrust. Es werde erwartet, dass sich die Bereitstellung von SBOMs durch Lieferanten und Betreiber von Software und Services zum Marktstandard entwickle.
Oliver Dehning, Leiter der TeleTrust-AG «Cloud Security»: «Aktuelle Software Bill of Materials (Software-Stücklisten, SBOM) sind die Basis für mehr Transparenz in der Cloud Supply Chain und damit für mehr Sicherheit bei der Nutzung von Cloud Services. Anwender können einen erheblichen Beitrag zur Verbesserung der Sicherheit in ihrer Cloud Supply Chain leisten, wenn sie die Bereitstellung von SBOMs durch Provider in ihren Anforderungskatalog aufnehmen. Provider sollten ihrerseits ihren Anwendern diese Informationen zur Verfügung stellen und damit aktives Management von Cybersicherheit auch in der Cloud ermöglichen.»
