Lieferkette unter Beschuss

00:00:00: Ja, herzlich willkommen zum Podcast Sicherheitsfragen, dem Ödefinformationssicherheitspodcast für Entscheidungsträger.

00:00:07: Ja, hallo Jean.

00:00:08: Du sag mal, hast du dir mal überlegt, was eigentlich passiert, wenn dein Kühlschrank auf eine Pizza bestellt und nicht du, sondern jemand anders ist die?

00:00:20: Also erstens, wenn jemand meine Pizza ist, dann werde ich fuchsig, das geht schon mal gar nicht.

00:00:25: Ja, nicht.

00:00:26: Aber nein, ehrlich gesagt habe ich mir noch keine Gedanken gemacht, weil mein Kuschern glaube ich noch nicht in der Lage ist selbstständig Pizza zu bestellen.

00:00:33: Sag mal, du kommst immer auf diese Frage.

00:00:37: Ja, worauf ich hinaus will, ist seit mal wieder neuer Trend, in dem einen Angreifer mit logischerweise nicht ganz unentgeltlichen Absichten statt Debatt zu hacken, lieber denjenigen hacken, der Schloss herstellt.

00:01:00: Du meinst also Lieferkettenangriffe, wie wir sie schon ein paar Mal erlebt haben?

00:01:05: Genau.

00:01:06: Also im Endeffekt die Multiplikation oder die Skalierung der eigenen Arbeit, in dem statt irgendwie auf eine bestimmte Software zu versuchen in der Bank zu schießen und hoffen, dass die Löcher hat, einfach die Pakete.

00:01:22: die sowieso standardmäßig in der Software verwendet werden, und davon gibt es ja eine ganze Menge, dass man die hackt.

00:01:29: Und dann dafür sorgt das die Entwickler, die die Software schreiben, fleißig für mich arbeiten, aus ganzes zu multiplizieren.

00:01:36: Jetzt könnte man natürlich als erstes fragen, warum gibt es überhaupt Pakete, die in der Software verwendet werden, ne?

00:01:43: Ja, die Pakete, die ich jetzt quasi anspiele, sind ja mehr oder weniger Bibliotheken.

00:01:49: Wenn jeder Softwareentwickler seine eigenen Code zu einhundert Prozent schreiben müsste, dann würde niemals fertig werden.

00:02:01: Entsprechend gibt es halt so Standardbibliotheken, so nennt man die, die man in seinen Code mit einbinden kann, die bestimmte Funktion für einen ausführen und ja, die schlaue Menschen schon in der Vergangenheit gemacht haben, also eine produktive Faultheit.

00:02:14: Ich nehme das, was der andere gemacht hat und es funktioniert offensichtlich gut.

00:02:18: Und ja, bin dich ein und dann kriege ich die Funktionalität.

00:02:22: So wird ja heutzutage sehr, sehr oft programmiert.

00:02:26: In der Tat, ja.

00:02:26: Vor allen Dingen, wenn man das dann noch mit Open Source kombiniert, also wenn Entwickler solche Bibliotheken entwickeln und sie dann eben auch wieder der Allgemeinheit zur Verfügung stellen.

00:02:38: Ich glaube, das hat wirklich die, wie du sagst, die Softwareentwicklung wahnsinnig beschleunigt.

00:02:42: In den letzten Jahrzehnten an der Stelle wäre er verrückt, wenn jeder seine Bibliothek für die einfachsten Operationen immer wieder von vorne schreiben müsste.

00:02:52: Und ich gehende mich sogar noch an Zeiten, wo die Oberflächen, die Programmoberflächen alle ein bisschen anders aussahen, weil es eben noch keine solchen Frameworks gab, noch nicht so eine Standards.

00:03:05: Das hat sich heute alles geändert.

00:03:07: Heute kann man auf sehr, sehr große Bibliotheken zurückgreifen.

00:03:13: Ja, gleichzeitig hat man natürlich auch ein erhöhtes Risiko, weil Standardbibliotheken, je nachdem wo sie herkommen, sind sie entweder ums Haus, also öffentlich, wo man den Gesamtgrund einsehen kann, oder halt von einem Unternehmen geschältzt, also beides gibt es.

00:03:31: Und wir hatten ja jetzt gerade den Fall aktuell, dass NPM das Repository vergiftet wurde von der Magen Greifer, wenn man so möchte.

00:03:43: Also, man schätzt über fünfhundert Pakete, über fünfhundert von diesen Bibliotheken wurden eben mit Chartcode verseucht.

00:03:51: Und da stellt sich natürlich die Frage, wie kann das überhaupt passieren?

00:03:54: Also, weil wie du sagst, wenn eine Firma so ein Desk betreut oder so eine Bibliothek zur Verfügung stellt, dann, wie kommt der Angreifer dahin?

00:04:03: Und da sind eben diese großen Repositories, an denen man sich zentral bedienen kann, natürlich eine riesige Schwachstelle eigentlich.

00:04:10: Ich sag mal, es ist Fluch und Sehen zugleich.

00:04:13: Zum einen, jeder darf sich daran beteiligen, man kann den Code jederzeit einsehen, man kann dementsprechend auch, man vertraut darauf, dass irgendwer schon diesen Schadcode identifizieren wird.

00:04:28: Wo funktioniert es halt bei den meisten?

00:04:30: Wie es eigentlich funktionieren soll, ist natürlich, dass sich auch jeder daran beteiligt.

00:04:36: Um die Serientifikation herzustellen und nicht einfach nur darauf zu vertrauen, dass es ein anderer macht.

00:04:41: Teamwork, super, ein anderer macht es.

00:04:44: In D-Verk funktioniert es nicht.

00:04:46: Ja, genau.

00:04:48: Deswegen wurden jetzt im Rahmen dieses Angriffs auch teilweise Stimmen laut, die gesagt haben, na ja, vielleicht muss man dieses Thema Open Source noch mal kritischer betrachten.

00:04:55: Ich höre gerade viele in den Medien, dass in Richtung... digitale Souveränität wieder mehr Open Source gefordert wird, dass gerade auf staatlichen oder in staatlichen Stellen mehr auf Open Source setzen sollte.

00:05:12: Aber gleichzeitig müsste dann ja zumindest die die Plattform, auf der das gehostet wird, vielleicht für sowas verantwortlich gemacht werden, fordern einige.

00:05:21: Also diese NPM zum Beispiel wird jetzt über als Plattform bereitgestellt.

00:05:27: Also müssen diejenigen, die die Plattform betreiben, nicht dafür sorgen, dass das sicher ist?

00:05:32: Ja, das mit der Haftung ist natürlich eine ganz schwierige Geschichte, weil jeder, der freiwillig mitmacht, hat natürlich auch freiwilligerweise eine riesige Verantwortung.

00:05:43: Wie gesagt, viele vertrauen darauf, dass da schon niemand darauf guckt und schaut, ob da irgendwie was eingebaut wurde oder nicht eingebaut wurde.

00:05:50: Und in dem Fall, den du jetzt gerade beschrieben hast, da wird ja schon ein sehr ausgeklügeltes Szenario eingebaut.

00:05:59: Also tatsächlich ein Schadkote, der sich auch noch selbst multipliziert, also ein Wurm.

00:06:05: Und der ist jetzt hostim unbemerkt durchgerutscht.

00:06:09: Wenn man jetzt viele, viele Menschen hat, die freiwillig ihre Zeit darauf verwenden oder aufwenden, um diese Software zu programmieren, es ist schwierig da jemand in die Haftung zu ziehen.

00:06:23: Die Plattform, die das so ist, stellt quasi die Drehscheibe bereit, werden sich ja die Haftung nicht akzeptieren wollen, sonst schmeißen sie den Kram einfach raus.

00:06:35: Diejenigen, die das System weiterentwickeln sollen, wenn man jetzt jeden einzelnen davon in die Haftung stellen möchte, dann ist ja die Todesansage für Open Source.

00:06:45: Ja, dann würde es keiner wahrscheinlich mehr machen, würde keiner mehr Open Source entwickeln.

00:06:50: Gleichzeitig muss man ja natürlich die Frage stellen als verantwortlicher in einem Unternehmen.

00:06:55: der vielleicht eigene Software entwickelt, darf ich überhaupt so eine Open-Source-Pakete verwenden?

00:07:00: oder wie stelle ich denn sicher, dass die safe sind, dass die clean sind?

00:07:06: Ja, ist einmal die gute alte Vergangenheit sah immer so aus, dass wenn möglichst viele Leute diese Pakete runterladen, dann ist es wahrscheinlich sicher und egal, ich nehme.

00:07:17: Was natürlich auch dazu führt, wir haben jetzt in der Vergangenheit schon Lock for Jay kennengelernt SolarWinds.

00:07:24: Das ist nicht immer so sicher, wie man das glauben mag, nur weil sehr viele Leute es auch benutzen.

00:07:32: Stimmt.

00:07:32: Und hier finde ich jetzt das noch ein spannender Punkt.

00:07:34: Also Lock for Draper, zum Beispiel als Bibliothek in ganz vielen anderen Softwaren integriert.

00:07:42: Software, die auch zum Teil kommerziell vertrieben wurde.

00:07:44: Das ist ja bei Open Source schon durchaus zulässig.

00:07:46: Also man kann eine kommerzielle Software erstellen, die aber Open Source Pakete enthält.

00:07:54: Und da ist es natürlich dann umso schwieriger, sozusagen dann nochmal das rauszufinden.

00:07:58: Aber wenn ich jetzt selber Software entwickle, um jetzt bei dem Beispiel von NPN aktuellen zu bleiben, dann muss ich doch eigentlich schon ganz stark auf dieses Thema Security bei Design setzen.

00:08:11: Also eigentlich sowas wie statische Security Scanners.

00:08:15: Es gibt ja Tools, die können Code analysieren, um zu schauen, ob da potenzielle Gefahren drin sind.

00:08:23: Maschinen sind ja mittlerweile sehr gut darin, Code zu verstehen.

00:08:28: Da muss ich doch eigentlich sowas auf jeden Fall haben, wenn ich Open Source einsetze, also nicht nur eigene Software.

00:08:35: Ja und wenn man dann gleichzeitig auch schaut, dass die EU ja jetzt den Cyber Resilience Act mit einführt, dass man im Endeffekt als Softwarehersteller in der Pflicht wirklich alle Pakete zu prüfen, bevor ich den ja tatsächlich in den Einsatz bringe.

00:08:53: Und wie so oft ist es jetzt wieder so ein Abwägen, ne?

00:08:56: Also Softwarehersteller, ich denke jetzt gerade so ein paar unsere Kunden, die würden sich wahrscheinlich nicht als Softwarehersteller sehen, aber in Wirklichkeit haben die schon eben ein paar Entwickler, die filmen spezifische Applikationen entwickeln oder manchmal auch nur Schnittstellen oder APIs oder dergleichen.

00:09:13: Also im Grunde doch wieder als Softwareherstellen am Ende des Tages.

00:09:20: Und da abzuwägen, okay, was ist mir wichtiger?

00:09:23: schnell zu sein und ein gewisses Risiko in Kauf zu nehmen oder das wirklich eben durchzuziehen und das von Anfang an diesen DevOps Zyklus mit einzubauen, dass ich eben auch einen DevSecOps habe, also auch eine Security Prüfung, so wie man das auch macht, ja bei der Softwareentwicklung, bevor man es auf ein Live-System veröffentlicht, das mal in einer Testumgebung zu testen und zu verifizieren, dass das auch alles funktioniert.

00:09:50: Ja, und das ist halt auch im Endeffekt das Schwere daran, weil viele haben in der Vergangenheit bei der Softwareentwicklung hauptsächlich darauf geachtet, dass es möglichst schnell läuft.

00:09:59: So hat es geführt, hart verdratete Passwörter, Hintertüren, sonstige Themen, man hat ja eine ganze Menge davon kennengelernt, die ist aber immer noch bei vielen Unternehmen logischerweise im Einsatz sind, weil wir haben heute nicht nur die beste, neueste, fancy Software im Einsatz in den Unternehmen.

00:10:17: Das sind teilweise auch Pakete dabei, die sind uralt.

00:10:21: Wunderbar, die sind schon mal von den neuen Angriffen weniger betroffen.

00:10:25: Aber die bringen auch ihre Altlasten mit.

00:10:29: Und wenn man sich jetzt natürlich als Security verantwortlicher um beides kümmert muss und sei mir mal ehrlich, was nahezu jedes Unternehmen hat, immer noch einen Korn-Service für den

00:10:42: Uren-Bus.

00:10:45: Der hat schon mal Kopfschmerzen, aber wenn man als Geschäftsführer dieses Unternehmens agiert, dann steht man auch in einer gewissen Haftung für bestimmte Themen.

00:10:57: Und dann darf man natürlich auch nicht ganz ausblenden, dass es solche Themen gibt.

00:11:00: Ja klar, also nicht jeder muss jetzt IT Security Experte werden oder was auch immer, wenn er tatsächlich eher, weiß ich nicht, sich auf die Herstellung von Gütern konzentriert und auf den Vertrieb.

00:11:12: Aber man sollte zumindest ein gewisses Verständnis dafür haben, wie eigentlich Themen bei mir aufkommen können und warum mein Security verantwortlicher mich ständig damit dreht, dass ich da auch auch auch Geld demistieren muss.

00:11:27: Ja sicher.

00:11:32: Man trifft jeden Tag in dieser Position seine Entscheidungen und davon eine ganze ganze Menge.

00:11:40: Und man muss auch ganz klar immer wieder schauen, in welche Richtung Pflicht das Geld ist.

00:11:44: Ist es das Marketing?

00:11:45: Ist es das Personal?

00:11:46: Ist es die Sicherheit im Unternehmen?

00:11:48: Beziehungsweise, wenn die Security tatsächlich irgendwie auf der Agenda liegt, welche Maßnahme hat eigentlich den größten Effekt?

00:11:59: Und ja, das ist ein Thema, mit dem ich mich ja auch vor kurzem befasst habe.

00:12:04: Man glaubt das nicht, aber das ist eine nahezu Gleichverteilung.

00:12:08: Gleichverteilung?

00:12:09: Nahezu.

00:12:10: Sicher, man hat so ungefähr fünf Prozentpunkte, würde ich sagen, mehr, wenn man sich auf die Netzwerks-Security erst mal drauf stützt, weil ohne Firewall, ja, schwierig, da kann ja auch gleich die Tür ausbauen.

00:12:23: Auf der anderen Seite, ohne vernünftiges EDR, ohne vernünftige Editenbehandlung, ohne vernünftiges Monitoring und Überprüfung, funktioniert das auch alles nicht wirklich.

00:12:37: Ja, du kennst glaube ich meinen meinen standen spruch schon gar no user no cry.

00:12:42: also ich glaube immer die identität sogar noch wichtiger Am ende des tages weil sonst kommt ein angreifer auch nicht weit an der stelle.

00:12:51: deswegen fand ich es jetzt auch so spannend dass dieses tool oder dass diese angriffe immer wieder darauf abzielen eigentlich dann ja doch zugriff zugriffstoken oder password oder credentials eben abzufischen an irgendeiner Stelle, damit die Angreifer da weiterkommen.

00:13:12: Was kann man denn eigentlich machen, um sich, um das abzusichern, damit man eigentlich da möglichst wenig eigentlich überhaupt rumliegen hat?

00:13:19: Wenn ich da denke, was ich alleine schon an Kunden habe, an verschiedenen Zugriffskonfen, sei es im Unternehmen oder privat, dann ist das so eine riesen Menge.

00:13:32: Ja, also zum einen hat ja dieser Fall von einem Paid-Bowsening und auch andere Fälle schon mal, dass nur User nur Cry entwertet.

00:13:41: Findest du?

00:13:42: Naja, wenn der Angrafer sich jetzt nicht mal mit dem Mühe macht, irgendwelche Fishings E-Mails zu verschicken, sondern sich direkt die maschinellen Zugänge besorgt.

00:13:53: Aber er hat die Zugänge, ne?

00:13:54: Also er hat einen User.

00:13:55: Also das ist, finde ich, spannend, dass du das sagst.

00:13:57: Für mich ist ein User genauso auch natürlich eine Maschinenidentität, die der Mitarbeiter verwenden kann.

00:14:03: Da wäre aber natürlich die logische Schlussfolgerung, no user, no company.

00:14:09: Denn wenn du jeder maschinelle Notmensch, nicht die Anmender hast, dann gibt es nichts, was du irgendwie gemacht werden musst.

00:14:15: Ja, aber weißt du was mich so wundert in dieser ganzen Diskussion?

00:14:18: Wir haben jetzt schon seit mehreren Jahren zum Beispiel dieses Thema Fido II Keys.

00:14:23: Also Fido Keys als Anmeldemethode, die im Grunde Fishing resistent ist.

00:14:31: Dieses ganze Thema Fishing könnte man eigentlich mit zwanzig bis dreißig Euro pro User, die man in der Firma hat, erledigen als Risiko.

00:14:41: Und trotzdem tun sich die Firmen unglaublich schwer, damit das wirklich auszurollen, das zu implementieren an der Stelle.

00:14:50: Ich höre ganz oft das Thema ja unsere User, die können damit nicht umgehen und wieder was Neues und oh mein Gott, dann vergisst er seinen Schlüssel zu Hause und dann kommt er nicht ins System.

00:14:58: Was mache ich denn dann?

00:15:02: Wo es mir echt schwer fällt, das nachzuvollziehen, weil so ein LNPM, der käme da auch nicht weit, wenn das alles aufweide wäre.

00:15:11: Ja, da wir ja eine Identity und Access Management Beratung sind, unterhalten wir es tatsächlich sehr regelmäßig über solche Themen.

00:15:20: Und ja, sehr, sehr viele Unternehmen, die haben da ein bisschen Bauchschmerzen, damit die Anwender mit, ich sag mal, neuen Themen zu belasten.

00:15:30: Dabei ist es eigentlich weniger eine B, sondern eine Entlastung.

00:15:34: Denn wenn man von den klassischen Attributen wie jetzt username und password vollständig weggeht, dann würde man zumindest malen, dass die meisten Anwender da sehr, sehr glücklich wären.

00:15:48: Auf jeden Fall.

00:15:48: Ich muss mir nur noch eine Pin merken, die kann ich mir vielleicht noch von meiner Kreditkarte oder von meiner EC-Karte merken und muss einmal mit dem Finger auf ein Stick legen, wie ein Schlüssel in ein Schlüsselloch stecken.

00:15:59: Also im Grunde einfacher, als sich ein Passwort mit sechzehn Zeichen, zwei Sonderzeichen, Großkleinschreibung und Zahlen zu merken.

00:16:08: Ja, und die üblichen verdächtigen Papenheimer, die so ein gutes Stück mal vergessen sollten.

00:16:13: Irgendwie für die Bezeichnung.

00:16:18: Die gehen einmal in die IT, damit für sie ein Neuer registriert, für den einen Tag, danach ist er nicht mehr valide und ist zurückzubringt.

00:16:25: Und dann müssen sie ihn wieder mitbringen.

00:16:27: Oder es gibt auch andere Wege, wie man das Ganze dann einstellen kann.

00:16:31: Hat er seine Fido Kie vergessen, dann gibt es erst mal die Gesichtserkennung.

00:16:35: Möchte er auch von sehr vertrauenswürdigen Daten zugreifen, dann muss er halt nochmal sein Ausweis in die Kamera halten.

00:16:42: Man kann es halt tatsächlich auf verschiedensten Wegen einbetten.

00:16:45: Und auch beim Fingerprint, also es gibt kaum noch einen Unternehmensnotebook, was heute kein Fingerprint

00:16:52: mitbringt.

00:16:54: Und das ist wirklich echt einfach an der Stelle.

00:16:59: Wenn wir es also so zusammenfassen, was ich jetzt verstanden habe, dieser Angriff zeigt mal wieder dieses Thema auf die Lieferkette, wie du schon gesagt hast SolarWinds, Lock for Jays, das waren alle schon große Angriffe die wir kannten.

00:17:09: Das erste Mal, dass jetzt so ein Lieferkettenangriff so ein Wurmcharakter hat, also dass sich die Angreifer von Paket zu Paket selbstständig eigentlich weiter vergiftet.

00:17:24: an der Stelle und das ist natürlich etwas wo man, weil es eben an so vielen Stellen eingebunden ist, weil es Open Source ist, sich die Entwickler Gedanken drüber machen müssen, wie gehe ich in Zukunft damit um?

00:17:40: Habe ich eigentlich genügend Security-Maßnahmen in meinem Entwicklungszyklus auch drin, um sowas überhaupt erkennen zu können in Zukunft?

00:17:48: Ja, und am Ende betrifft es ja dann wirklich alle von uns, weil in jedem Unternehmen kann es halt passieren, dass es über verschiedenste Wege halt Schadsoftware irgendwie reinkommt.

00:17:59: Man kann sich davor nicht absichern, auch nicht dadurch, dass man ja sagt, ich kaufe nie wieder Software, weil dann hat man wieder den Server in den Jahr two-thausend drei, den man vor dreißig Jahren gekauft hat.

00:18:08: und was nun.

00:18:11: Die Angriffe entwickeln sich weiter.

00:18:13: Ein Wurm wird irgendwann auch KI gesteuert.

00:18:16: Absolut, wahrscheinlich ja.

00:18:18: Und deswegen ist es halt wirklich, wirklich wichtig, seine Security regelmäßig zu prüfen auf ihre Wirksamkeit.

00:18:24: Permanent zu überwachen.

00:18:26: ob da vielleicht irgendwas ist, was man bekannterweise schon mal sehen kann und dafür zu sorgen, dass ja, zumindest solche Basics wie eine gut gefliegte Firewall, Identitätenverwaltung und alles, was halt dazu gehört, in irgendeiner Weise schon da ist.

00:18:46: Gut.

00:18:49: Falls Sie sich mit dem Thema hier beschäftigen wollen, dann verlinkt man natürlich gerne einen Artikel aus den deutschen Medien dazu in den Show Notes.

00:19:01: Eine einfache Übergangslösung, um jetzt erst mal in dem Problem vorläufig herzuwerden, wo es so langs noch akut ist, falls ihr noch den wann sie diese Folge hören, ist eine Version des Paketes.

00:19:12: von dem Sie wissen, dass es nicht kompromittiert ist, fest zu pinnen, also keine automatische Aktualisierung im Hintergrund.

00:19:20: Und wenn Sie uns Feedback zu dieser Folge geben wollen, dann schreiben Sie gerne an sichheizfragen.atölf.de.

00:19:28: Vielen, vielen Dank.

00:19:29: Das war die beste Zusammenfassung seit Jahren.

00:19:34: Bis zum nächsten Mal.