Schon in mehreren Fällen wurde über einen kompromittierten Software-Anbieter Malware per Update an die Kunden geliefert. Was KMUs gegen solche «Supply Chain Attacks» tun können, verrät uns IT-Security-Experte Mark Semmler im Interview.

.

Interview mit Mark Semmler

Mark Semmler

Herr Semmler, mit einer «Supply Chain Attack» wie mit SolarWinds oder 3CX wurde Malware per Software-Update geliefert. Entwickelt sich das als Trend?

Mark Semmler: Klare Aussage: Nein. Derartige Vorfälle sind bis heute Einzelfälle. Zum Glück.

Würden Sie jedem Update blind vertrauen? Oder wie ist zu beurteilen, welches Update eingespielt werden soll?

In letzter Konsequenz muss man Updates blind vertrauen, weil man weder das Know-how noch die Ressourcen besitzt, sie zu analysieren. Damit steht und fällt die Sicherheit des Anwenders mit der Vertrauenswürdigkeit der Hersteller und den Mechanismen, mit denen sichergestellt wird, dass ein Update aus der angegebenen Quelle stammt und auf dem Transportweg nicht verändert wurde.

Welche Vorkehrungen kann ein KMU treffen, um solchen «Supply Chain Attacks» entgegenzuwirken?

Eine ganze Menge der aktuellen Bedrohungen kann man nicht zuverlässig abwehren. Darunter fallen auch bösartige Updates. Deshalb ist es enorm wichtig, die IT-Infrastruktur robust zu gestalten – das Eintreten einer einzigen Bedrohung darf nicht dazu führen, dass die Sicherheit komplett kompromittiert wird. Dazu ist es unter anderem notwendig, dass bestehende Sicherheitsprobleme erkannt werden können (Logging, Analyse und Beschränkung des ausgehenden Netzwerkverkehrs durch restriktive Paketfiltereinstellungen, Contentfilter und Intrusion Detection) und dass wichtige Teile der IT-Infrastruktur (wie z. B. zentrale Server und die Datensicherung) vom restlichen Netz abgekapselt sind.

.

.

Mark Semmler arbeitet seit mehr als 28 Jahren weltweit für die Absicherung von Informationen und IT-Infrastrukturen. Er ist ausgewiesener Experte der Informationssicherheit und auf Sicherheitsuntersuchungen, High-Level-Consulting und organisatorische Sicherheit spezialisiert. Er ist durch seine auch im Fernsehen übertragenen Live-Hacking-Präsentationen einem breiten Publikum bekannt und versteht es, komplexe Thematiken verständlich und spannend zu vermitteln.

.

Am 16. November 2023 wird Mark Semmler am Technology Forum ein Referat zum Thema «Malware per Software-Update» halten. Möchten Sie mehr darüber erfahren? Dann sichern Sie sich jetzt Ihr TEFO-Ticket.

.

Autor

Claudio Cola, Communication Manager, Studerus AG

Mehr zum Thema