Nationale Cybersicherheitsstrategie und Sicherheit kommerzieller Software

Von:

3. März 2023

 

Ein mutiger Schritt, um Softwareanbieter dazu zu motivieren, sicherere Lösungen zu entwickeln

Einer der mutigsten Vorschläge der neuen nationalen Cybersicherheitsstrategie der Biden-Regierung lautet: „Marktkräfte so gestalten, dass sie Sicherheit und Widerstandsfähigkeit fördern.“ Dazu gehört das Ziel, neue Rechtsvorschriften zu erarbeiten, die die Haftung von den Endnutzern auf die Unternehmen verlagern, die unsichere Softwareprodukte und -dienste herstellen. 

Da unser Forschungsteam bei Onapsis in den letzten zehn Jahren mehr als 1.000 Zero-Day-Sicherheitslücken in geschäftskritischer Anwendungssoftware aufgedeckt und zu deren Behebung beigetragen hat, verfügen wir über eine einzigartige Perspektive auf Initiativen wie diese. Dank unserer Kenntnis der historischen Entwicklung und des aktuellen Stands der Cybersicherheit in weit verbreiteter kommerzieller Software kann unser Team Einblicke in die Vor- und Nachteile dieses strategischen Ziels bieten. 

Aus unserer threat research wissen wir aus erster Hand, dass viele führende Anbieter von Unternehmenssoftware in den letzten zehn Jahren erhebliche Investitionen getätigt haben, um ihre sicheren Entwicklungsprozesse und -kapazitäten zu verbessern. Dies hat zur Veröffentlichung neuer Lösungen geführt, die von Grund auf sicherer sind und standardmäßig über strengere Sicherheitskonfigurationen verfügen. Bei der Durchführung fortgeschrittener Schwachstellenanalysen an diesen neuen Produkten haben wir empirisch festgestellt, wie viele der „leicht zu findenden“ Schwachstellen, die in früheren Versionen erfolgreich ausgenutzt werden konnten, in neueren Versionen unter Kontrolle gebracht oder gemindert wurden. Dies ist ein klares Indiz dafür, dass viele Softwareanbieter sich in die richtige Richtung verbessern. 

Die Zahl der neuen Sicherheitslücken, die ständig entdeckt und von Angreifern ausgenutzt werden, darf jedoch nicht ignoriert werden und ist ein klarer Beweis dafür, dass wir der Lösung dieses Problems kein Stück näher gekommen sind. Darüber hinaus stützen die Daten auch die Behauptung der Regierung, dass sich historische und aktuelle Marktkräfte als ineffizient erwiesen haben, um diese Realität zu ändern. Oftmals sind die durch Sicherheitsverletzungen und Sicherheitslücken in Produkten entstandenen finanziellen Verluste für den Softwareanbieter unerheblich, können jedoch für die Nutzer des anfälligen Produkts oder Dienstes katastrophal und weitreichend sein. 

Insbesondere im Zusammenhang mit ERP- und Unternehmensanwendungen verschärft sich diese Herausforderung erheblich, da diese Softwareanwendungen als unverzichtbarer digitaler Kern für die weltweit größten Unternehmen und Organisationen in kritischen Infrastruktursektoren wie Energie und Versorgung, Fertigung und Pharmazie dienen und deren geschäftskritischste Prozesse und Informationen unterstützen. In diesen Szenarien ist die Sicherheit einer Softwarelösung nicht nur für einzelne Nutzer oder Organisationen relevant – angesichts des spezialisierten Charakters dieser Softwareprodukte besteht eine hohe Konzentration von Anwendern, die sich für geschäftskritische Anwendungsfälle auf dieselben (oder dieselben wenigen) kommerziellen Softwareprodukte verlassen. Dies birgt das Potenzial, systemische Risiken auf nationaler und globaler Ebene zu verursachen, sollten böswillige Akteure Schwachstellen in diesen Produkten entdecken und ausnutzen.

Wie können wir – die Verteidiger – in diesem endlosen Katz-und-Maus-Spiel zwischen Verteidigern und Angreifern gewinnen? Ich stimme mehreren Experten zu, die darauf hingewiesen haben, dass es eine große Herausforderung sein wird, sicherzustellen, dass gesetzliche Regelungen flexibel genug sind, um diese Dynamik ganzheitlich zu erfassen, ohne dabei Innovationen zu behindern. Doch welche Alternative gibt es? Die Software- und Cybersicherheitsbranche als Ganzes muss anerkennen, dass sich die Sicherheit kommerzieller Software nur dann verbessern wird, wenn wir unseren Ansatz radikal ändern und die Anreize neu ausrichten. Unsere Branche hat schon vieles ausprobiert, von Konsortien über Forscher, die ungepatchte Zero-Day-Schwachstellen auf Konferenzen veröffentlichen, bis hin zu Softwareanbietern, die sich gegenseitig öffentlich unter Druck setzen, Patches schneller bereitzustellen. 

Leider haben diese Bemühungen die eigentliche Ursache des Problems offensichtlich nicht beseitigt: Für Unternehmen steht viel auf dem Spiel, wenn es darum geht, die Sicherheit ihrer Software zu gewährleisten. Vor Einführung dieser neuen Strategie gab es für die meisten Softwarehersteller nicht genügend Anreize, proaktiv zu investieren und die erforderlichen Kapazitäten aufzubauen, um dieses Problem zu lösen, und die Nachteile einer Unterlassung wirken sich kaum auf ihre Geschäftsergebnisse aus.

Als Gesellschaft sind wir zu sehr von kommerzieller Software abhängig, um weiterhin darauf zu hoffen, dass sich die Lage auf magische Weise bessert. Wie ein altes Sprichwort sagt: Hoffnung ist keine Strategie. 

Die Messlatte und die Erwartungen an die Sorgfaltspflicht höher zu legen und gleichzeitig diejenigen Anbieter, die dies tatsächlich tun, angemessen zu belohnen und vor Haftung zu schützen, ist ein willkommener Schritt, um zu erörtern, wie wir die Anreize im Software-Ökosystem neu ausrichten und eine sicherere Zukunft für uns alle gestalten können. Wir bei Onapsis beabsichtigen, uns auch weiterhin aktiv an dieser Strategie zu beteiligen, während sie in die Umsetzung geht, und unseren Beitrag zur Schaffung dieser besseren Zukunft zu leisten.

Stichworte,
Über den Autor
Mariano Núñez

Mariano Núñez

Geschäftsführer und Mitbegründer

Als CEO und Mitbegründer von Onapsis bestimmt Mariano die strategische Ausrichtung des Unternehmens. Unter seiner Führung hat sich Onapsis zu einem der am schnellsten wachsenden Technologie- und Cybersicherheitsunternehmen weltweit entwickelt. Mit über 20 Jahren Erfahrung in der Cybersicherheitsbranche, sowohl als Führungskraft als auch als Cybersicherheitsexperte, war Mariano der Erste, der auf großen Konferenzen wie RSA, Black Hat und SANS öffentlich über Cybersicherheitsrisiken für ERP-Plattformen und deren Minderung referierte. Zu Marianos Beiträgen zur Cybersicherheits-Community zählen die Entwicklung der ersten Open-Source-Frameworks für SAP- und ERP-Penetrationstests sowie die Aufdeckung kritischer Zero-Day-Schwachstellen in Anwendungen von SAP, Oracle, IBM und Microsoft. Marianos Erkenntnisse werden regelmäßig in großen Medien wie CNN, Reuters, dem Wall Street Journal, Nasdaq, Fortune und der New York Times veröffentlicht.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen