Das National Institute of Standards and Technology (NIST) hat am Donnerstag einen aktualisierten Leitfaden zur Cybersicherheit für den Umgang mit Risiken in der Lieferkette veröffentlicht, die sich zunehmend als lukrativer Angriffsweg erweist.
„Der Leitfaden ermutigt Organisationen, nicht nur die Schwachstellen des Endprodukts zu berücksichtigen, sondern auch die seiner Komponenten – die möglicherweise anderswo entwickelt wurden – und den Weg, den diese Komponenten zurückgelegt haben, um ihr Ziel zu erreichen“, so das NIST in einer Erklärung.
Die neue Richtlinie umreißt die wichtigsten Sicherheitskontrollen und Praktiken, die Unternehmen anwenden sollten, um Risiken in den verschiedenen Phasen der Lieferkette zu erkennen, zu bewerten und darauf zu reagieren, einschließlich der Möglichkeit bösartiger Funktionen, Fehler in der Software von Drittanbietern, gefälschter Hardware und schlechter Herstellungs- und Entwicklungspraktiken.
Die Entwicklung folgt auf einen Erlass des US-Präsidenten zur „Verbesserung der Cybersicherheit der Nation (14028)“ vom Mai letzten Jahres, der die Regierungsbehörden auffordert, Maßnahmen zur „Verbesserung der Sicherheit und Integrität der Software-Lieferkette zu ergreifen, wobei der Schwerpunkt auf kritischer Software liegen soll.
In den letzten Jahren sind die Cybersicherheitsrisiken in der Lieferkette in den Vordergrund gerückt, unter anderem durch eine Welle von Angriffen auf weit verbreitete Software, bei denen Dutzende von nachgelagerten Anbietern auf einmal angegriffen wurden.
Laut der Threat Landscape for Supply Chain Attacks der European Union Agency for Cybersecurity (ENISA) wurden 62 % der 24 Angriffe, die von Januar 2020 bis Anfang 2021 dokumentiert wurden, mit dem Ziel durchgeführt, „das Vertrauen der Kunden in ihre Lieferanten auszunutzen“.
„Das Management der Cybersicherheit in der Lieferkette ist eine Notwendigkeit, die bleiben wird“, sagt Jon Boyens vom NIST und einer der Autoren der Publikation. „Wenn deine Behörde oder Organisation noch nicht damit angefangen hat, ist dies ein umfassendes Instrument, das dich vom Kriechen zum Laufen bringt und dir dabei helfen kann, dies sofort zu tun.“