Anzeige
Anzeige
Anzeige
Beitrag drucken

Software von Drittanbietern

Risikomanagement für die Software-Lieferkette

Produzenten setzen immer mehr Anwendungen unterschiedlicher Anbieter ein. Die Wahl eines jeden Softwarelieferanten ist jedoch mit einem gewissen Risiko für die eigene IT-Sicherheit verbunden. Ein Risikomanagement für die Software-Lieferkette ist die strategische Antwort auf die steigende Zahl an Spezialanwendungen in fast allen Unternehmen.

 (Bild: UL International Germany GmbH)

(Bild: UL International Germany GmbH)

Der Einsatz von Software in Industrieunternehmen ist üblich: Der Markt bietet Standardsoftware für die Produktionssteuerung, Office-Anwendungen, Device-Management-Software, Webserver und Browser. Der Aufwand, diese selbst zu entwickeln, wäre in den meisten Fällen unverhältnismäßig hoch. Auch bei Spezial-Anwendungen in Bereichen Industrial IoT und Industrie 4.0 kommen zumeist vorgefertigte Fremd-Module zum Einsatz oder es werden Codebibliotheken genutzt. Doch jede Software hat potenziell Schwachstellen – diese können sich auf die Sicherheit der Infrastruktur insgesamt auswirken. Besonders Unternehmen in den Branchen der kritischen Infrastrukturen werden so noch anfälliger für Cyberangriffe.

Die Software-Lieferkette und ihre Schwachstellen

Obwohl Drittanbieter-Software die eigene Entwicklung beschleunigt, birgt deren Einsatz auch Risiken. Zunächst werden solche Anwendungen eher generös etwa als Branchenlösung entwickelt und können spezielle Security-Anforderungen des Einzelfalls nur teilweise berücksichtigen. Entscheidet sich ein Unternehmen für den Einsatz einer Standardlösung, begibt es sich zudem in eine gewisse Abhängigkeit vom Hersteller. Werden Schwachstellen bekannt, so sind Unternehmen darauf angewiesen, dass sie der Hersteller schnell beseitigt.

Fast nie alles aus einer Hand

Gleichzeitig nutzen Softwarefirmen selbst Module von Fremdherstellern, so dass Anwendungen keineswegs mehr aus einem Guss sind. Bricht ein Anbieter weg, kann möglicherweise der Support für die gesamte Lösung nicht mehr sichergestellt werden. Darüber hinaus sind nie alle Schwachstellen einer Software bekannt, immer wieder finden sich neue Lücken und Inkompatibilitäten. Dass immer mehr Unternehmen kritische IT-Systeme in die Cloud verlagern und über Programmierschnittstellen darauf zugreifen, macht die Security-Situation noch komplexer. In der Praxis zeigt sich immer wieder, dass die Qualitätssicherung bei den verschiedenen Anbietern einen ganz unterschiedlichen Stellenwert genießt. Standardisierte Metriken für die Messung der Qualität gibt es nicht, die Unternehmen müssen sich auf die Anbieter verlassen oder eine eigene unabhängige Bewertung durchführen. Dafür brauchen Unternehmen jedoch robuste und flexible Prozesse für das Lieferanten- und Risikomanagement.

Robuste Prozesse und Tests nach festen Kriterien im Testlabor von UL schaffen Entscheidungsgrundlagen für die Wahl eines Softwareausrüsters. (Bild: UL International Germany GmbH)

Robuste Prozesse und Tests nach festen Kriterien im Testlabor von UL schaffen Entscheidungsgrundlagen für die Wahl eines Softwareausrüsters. (Bild: UL International Germany GmbH)

Gekonntes Risikomanagement

Für die Beurteilung und Kontrolle der Programme von Drittanbietern benötigen Unternehmen eine interne Vorgabe, an welchen Kriterien sich die Anschaffung ausrichten soll. Eine Hilfe bei der Messung und Bewertung der Sicherheitsmerkmale von Produkten und Technologien ist beispielsweise die Normenreihe UL 2900 des auf Produktsicherheit und Zertifizierung spezialisierten Unternehmens UL. Die Norm bietet einen Rahmen für die Beurteilung des Gesamtkonzepts eines Unternehmens für die Softwaresicherheit sowie der spezifischen Schwachstellen einzelner Software-Produkte und -Komponenten von Drittanbietern und listet folgende Kriterien auf:

  • • Formale Sicherheitsvorgaben für die gesamte Anwendungslandschaft: Solche Vorgaben sind stark vom individuellen Geschäft und dem daraus resultierenden Sicherheitsanspruch eines Unternehmens geprägt. Betreiber kritischer Infrastrukturen werden hier höhere Maßstäbe anzusetzen haben als andere Unternehmen. Die Sicherheitsvorgaben gelten dann für alle Softwareprodukte und -Komponenten von Drittanbietern und gehören in jede Ausschreibung oder Lieferantenvereinbarung.
  • • Beschaffungsrichtlinien sowie Due-Diligence-Prüfungen und Richtlinien für die Lieferanten: Je nach erforderlichem Sicherheitsniveau sollten Unternehmen, Kriterien festlegen, die ein Lieferant oder ein Produkt erfüllen muss. So kann es beispielsweise Voraussetzung sein, dass die Software vor der Anschaffung von einem unabhängigen Berater validiert wurde. Oder aber, dass Lieferanten eine Due-Diligence-Prüfung bestehen müssen, bevor sie in das Lieferantenverzeichnis aufgenommen werden. Richtlinien mit eindeutig festgelegten Konsequenzen bei Nichteinhaltung der Vorgaben oder der Verwendung gefälschter Software sind ebenfalls hilfreich.
  • • Automatisierte Software-Validierungstest und regelmäßige Aktualisierungen: Regelmäßige Validierungstests stellen sicher, dass die Sicherheitsregeln des Unternehmens dauerhaft eingehalten werden. Mit automatisierten Tests wird die zyklische Durchführung sichergestellt und das Fehlerrisiko gesenkt. Regelmäßige Aktualisierungen der Anwendungen sind essentiell, um sicherheitstechnisch auf dem neuesten Stand zu bleiben – formale Prozesse sind hier hilfreich.
  • • Implementierung von Track&Trace-Programmen: Nicht nur bei großen Infrastrukturen verliert man schnell den Überblick über die Software-Versionen und den Update-Stand. Unternehmen sollten deshalb die Quellen (Herausgeber) aller Anwendungen, Komponenten und Codebibliotheken erfassen und überwachen – für einen effizienten Zugriff auf Updates und Patches sowie den Support älterer Produkte.
  • • Awareness für Security durch Mitarbeiterschulungen: Regelmäßige Mitarbeiterschulungen schaffen das Bewusstsein für Sicherheitspraktiken im Rahmen der Software-Lieferkette, die Auswahl von Drittanbieter-Produkten sowie die Überwachung von Softwaresystemen auf potentielle Schwachstellen.

Regeln definiern und einhalten

Um den Sicherheitsrisiken durch Drittanbieter-Software zu begegnen, benötigen Unternehmen eine robuste Strategie für das Risikomanagement der Software-Lieferkette. Diese sieht für jedes Unternehmen individuell verschieden aus, kann aber auf einigen in der Praxis bewährten Grundprinzipien beruhen. Mit einer solchen Strategie lassen sich die Cyberrisiken deutlich senken. n ist VP Central, East and South Europe Region bei UL.


Das könnte Sie auch interessieren:

Im Zuge des Wachstums der letzten Jahre wollte Stabilus das Zutrittsmanagement und die Zeitwirtschaft mit einem zukunftsfähigen System optimieren. Fündig wurde das Unternehmen bei Interflex Datensysteme. Zeitraubende Übertragungen von Buchungsdaten gehören nun ebenso der Vergangenheit an, wie die vielen Firmenschlüssel in den Hosentaschen der Mitarbeiter.‣ weiterlesen

Nextlap hat die nach eigenen Angaben weltweit erste 4G/5G-Pick-by-Light-Applikation auf den Markt gebracht. Die Plug-and-Play-Lösung für Picker kommt ohne klassische Netzwerkinfrastruktur aus.‣ weiterlesen

Beim generativen Design werden KI-Algorithmen zur treibenden Entscheidungskraft im Produktdesign. Anhand vorgegebener Parameter können sie eine Vielzahl an passenden Produktentwürfen berechnen. Dadurch ändert sich auch die Rolle von Produktdesignern und Ingenieuren. Ganz ohne sie geht es jedoch nicht.‣ weiterlesen

Der Industrie-4.0-Index, den die Unternehmensberatung Staufen bereits zum sechsten Mal aufgelegt hat, ist auch in der 2019er Auflage erneut gestiegen. Demnach setzen mehr als die Hälfte der befragten Unternehmen Industrie 4.0 operativ um. Der Sprung von der Einzellösung hin zum unternehmensübergreifenden Einsatz gelingt jedoch nur selten.‣ weiterlesen

Kunden erwarten von einem guten Service schnelle und effektive Hilfe - am besten rund um die Uhr. Mit einem KI-gestützten Self-Service-Angebot kann man diesen Anforderungen Rechnung tragen und gleichzeitig die Mitarbeiter entlasten.‣ weiterlesen

Die VDI/VDE-Gesellschaft Mess- und Automatisierungstechnik hat einen VDI-Statusreport veröffentlicht. In 'Agenten zur Realisierung von Industrie 4.0' geht es um das Konzept einer I4.0-Sprache, die zu höherer Flexibilität und mehr Effizienz in Wertschöpfungsketten führen soll. Der Ansatz ermöglicht einen interoperablen Austausch von Informationen und darauf aufbauend das flexible Aushandeln und Aktivieren von Aufgaben.‣ weiterlesen

DataProphet will Anwendern mit einem neuen Software-Paket erlauben, auf Basis von künstlicher Intelligenz die Produktionsprozesse und die Produktqualität zu verbessern.‣ weiterlesen

Bei allen Vorteilen, die Industrie-4.0-Technologien mit sich bringen, muss zunächst auch eine leistungsstarke digitale Infrastruktur vorhanden sein. Sie muss große Volumen an Sensordaten schnell, sicher und ortsunabhängig übertragen und auswerten können. Mit dem Rückgriff auf externe Partner erhalten Firmen eine solche Infrastruktur - und gleichzeitig Zugang zu einem erweiterten Ökosystem.‣ weiterlesen

Im nordrhein-westfälischen Düren findet sich die vermutlich einzige professionelle Wurmzucht Deutschlands - und die wahrscheinlich am weitesten automatisierte weltweit. Die nötigen Anlagen dafür wurden vom Unternehmer selbst in bester Daniel-Düsentrieb-Manier entwickelt und gebaut - mit einem Fokus auf kostengünstige, aber zuverlässige Automatisierungstechnik.‣ weiterlesen

Die Hoffmann Group hat auf der Emo 2019 erstmals ihr Hoffmann Group Tool Management gezeigt. Mit der Software können kleine und mittelgroße Betriebe ihre Werkzeuge verwalten und deren Einsatz planen.‣ weiterlesen

Der Autobauer Porsche hatte am Dienstag mit einem zeitweisen Stillstand in seiner Produktion zu kämpfen. Grund dafür war ein Serverausfall.‣ weiterlesen

Anzeige
Anzeige
Anzeige