Lieferkettensorgfaltspflichtengesetz in Kraft getretenAbsicherung von Supply Chains – physisch und digital

12. Januar 2023

2022 war mit seinen Krisen für die meisten Unternehmen ein sehr turbulentes Jahr. Zwischen Inflation und Energiekrise droht IT-Sicherheit oft vergessen zu werden. Das wäre ein schwerer Fehler, stattdessen sollte Cyber-Sicherheit in diesem Jahr proaktiv angegangen werden.

Lieferketten sind immer noch eines der bestimmenden Themen für verschiedenste Branchen und das Thema wird uns auch im neuen Jahr begleiten. So ist beispielsweise das Lieferkettensorgfaltspflichtengesetz zum 1. Januar in Kraft getreten. Um die Bestimmungen einhalten zu können, werden Sichtbarkeit und Überprüfbarkeit entlang der gesamten Lieferkette eine wichtige Rolle spielen.

Anzeige
cs espresso series

Gleichzeitig sind Unternehmen auch auf die Absicherung ihrer Supply Chains bedacht. Das gilt neben den physischen Lieferketten für Produkte auch für die Software Supply Chain.

In Hardware-Lieferketten kommt es beispielsweise darauf an, zu prüfen, ob es sich bei vernetzten Bauteilen um Originale handelt. Inzwischen kursieren hier große Mengen gefälschter Ware, die nicht ohne weiteres von der echten zu unterscheiden ist. Unsichere Firmware solcher Komponenten kann zu einem gefährlichen Einfallstor in vernetzte Systeme werden.

Daher braucht es Lösungen, um die Authentizität solcher Teile zu garantieren. Mit der sogenannten Key Injection ist es möglich, Teilen eine kryptografisch gesicherte Identität zu verleihen, die ganz einfach von verschiedenen Stellen geprüft werden kann.

Im Software-Bereich können sogenannte Software Bills of Material (SBOM) zum Einsatz kommen, die zeigen, welche (Open-Source-) Komponenten verwendet wurden. Außerdem werden die Beziehungen zwischen einzelnen Komponenten in der Software-Lieferkette transparent gemacht. Dadurch lässt sich der Ursprung von Schwachstellen in der Software schneller identifizieren.

US-Behörden sind seit Kurzem dazu verpflichten, eine SBOM und Prozessdokumentationen von ihren Software-Lieferanten anzufordern, um die Integrität von Codes zu garantieren. Wir können davon ausgehen, dass derartige Informationen auch in Europa in Zukunft verstärkt nachgefragt werden.

In Unternehmen erfreuen sich heute Low-Code-/No-Code-Plattformen immer größerer Beliebtheit, da sie es ermöglichen, ohne dezidierte Programmierkenntnisse schnell und günstig Anwendungen zu entwickeln. Nutzer haben allerdings in der Regel keinen Einblick, welche Komponenten genau zum Einsatz kommen und wann diese geupdatet wurden.

In Zukunft wird eine Herausforderung sein, Sicherheitsmechanismen für diese Plattformen zur Verfügung zu stellen. Ein weiterer Aspekt bei Software Supply Chain Security bezieht sich auf Continous Delivery. Hier muss sichergestellt werden, dass es Drittparteien nicht gelingt, Schad-Code in den Prozess einzuschleusen und dass alle verwendeten Open-Source-Komponenten sicher sind.

Confidential Computing

An der Cloud führt kein Weg mehr vorbei und es werden auch immer mehr kritische Workloads dorthin verlagert. Damit wächst allerdings auch der Sicherheitsbedarf. Außerdem müssen Unternehmen darauf achten, dass sie durch Geschäftsbeziehungen mit den großen amerikanischen Hyperscalern nicht in Konflikt mit der europäischen DSGVO geraten. Dazu kommen noch branchenspezifische Compliance-Vorgaben.

Confidential Computing beschreibt vor diesem Hintergrund einen Ansatz, die Datenverarbeitung in der Cloud so abzuschirmen, dass selbst der Provider keinen Einblick hat. Daten bleiben so lange wie möglich verschlüsselt und während der Ausführung befinden sie sich in einer abgeschlossen Exklave, beziehungsweise einer virtuellen Maschine oder einem Container.

Das schafft wiederum den Bedarf, die Identitäten von Nutzern für berechtigten Zugriff zu managen. Hierbei und bei der Schlüsselverwaltung für die Datenverschlüsselung können Kryptografieanbieter helfen. In Zukunft werden immer mehr Unternehmen auf Verschlüsselung in der Cloud setzen und somit wird auch die Nachfrage nach Kryptografie, Schlüsselmanagement und Hardware-Vertrauensankern steigen.

Crypto Asset Management

Unternehmen sind sich heute oft gar nicht bewusst, welche Art von Kryptografie sie eigentlich verwenden, welche Zertifikate zum Einsatz kommen und wann diese ablaufen. Es gibt große Unsicherheit und der Bedarf wächst, die eigene Infrastruktur besser zu verstehen und die verschiedensten Kommunikationskanäle abzusichern. Aus diesem Grund starten sicherheitsbewusste Unternehmen vermehrt Crypto Assessments.

Ein weiterer Schritt ist das zukunftsweisende Management der Assets, beispielsweise, wenn ein Algorithmus veraltet ist. In Zukunft kommt es darauf an, Lösungen zu finden und Prozesse zu definieren, wie die eigenen kryptografischen Assets fortlaufend modernisiert werden können. Ziel dessen ist es, sogenannte Krypto-Agilität zu erreichen, sodass Algorithmen direkt angepasst werden, sollte eine bestimmte Verschlüsselungsmethode gebrochen werden – beispielsweise durch Quantencomputer.

Nils Gerhardt ist Chief Technology Officer bei Utimaco.

Utimaco

Lesen Sie auch