NSA gibt Sicherheitstipps gegen Supply-Chain-Attacken

Unter anderem die National Security Agency gibt Softwareentwicklern Tipps, um Supply-Chain-Attacken vorzubeugen.

In Pocket speichern vorlesen Druckansicht 6 Kommentare lesen

(Bild: Outflow_Designs / Shutterstock.com)

Lesezeit: 2 Min.

Die Cybersecurity and Infrastructure Agency (CISA), die National Security Agency (NSA) und das Office of the Director of National Intelligence (ODNI) haben wichtige Tipps zum Entwickeln von sicherer Software veröffentlicht. Damit wollen sie Ansatzpunkte für Supply-Chain-Attacken eindämmen.

Bei solchen Attacken stehen verwundbare Komponenten im Fokus von Angreifer, die in großem Stil in anderer Software zum Einsatz kommen. Mit solchen Lieferketten-Angriffen beabsichtigen sie flächendeckenden Schaden anzurichten.

Etwa im Fall des Hacks des Anbieters von Netzwerk – und Sicherheitsprodukten SolarWinds konnten Angreifer die Update-Plattform kompromittieren und darüber Schadcode verteilen. Weltweit setzen mehr als 300.000 Kunden die Produkte ein. Über diese Attacken konnten Angreifer unter anderem in IT-Systeme der US-Regierung einsteigen.

Ein weiterer prominenter Supply-Chain-Angriff ist eine kritische Sicherheitslücke in der Java-Bibliothek Log4j. Die Bibliothek kommt in unzähliger Software zum Einsatz und macht so zahllose Systeme angreifbar.

Um solche Attacken vorzubeugen, haben die US-Institutionen das 64-seitige Dokument "Securing the software supply chain – Recommended practices guide for developers" veröffentlicht. Darin finden Entwickler viele Tipps, wie sie sicherere Software entwickeln können.

Dabei geht es unter anderem um das effektive Absichern von Code, den Einsatz von Dritt-Anbieter-Modulen und die Validierung fertiger Software. In einem Beitrag geben die Verantwortlichen an, noch zwei weitere Dokumente zum Vorbeugen von Supply-Chain-Attacken veröffentlichen zu wollen.

Diese Empfehlungen sind lobenswert, entbehren sich aber nicht einer gewissen Ironie, haben doch gerade Geheimdienste wie die NSA das Einbrechen in Systeme und Netze über derartige eingeschleuste Hintertüren quasi erfunden und populär gemacht.

(des)