
Ein mutiger Schritt nach vorn, um Software-Anbieter zur Entwicklung sicherer Lösungen zu motivieren
Einer der kühnsten Vorschläge der neuen Nationalen Cybersicherheitsstrategie der Biden-Administration besteht darin, die Marktkräfte so zu gestalten, dass sie die Sicherheit und Widerstandsfähigkeit vorantreiben. Dazu gehört auch das Ziel, neue Gesetze zu entwickeln, die die Haftung von den Endnutzern auf die Unternehmen verlagern, die unsichere Softwareprodukte und -dienstleistungen herstellen.
Da unser Forschungsteam bei Onapsis in den letzten zehn Jahren mehr als 1.000 Zero-Day-Schwachstellen in geschäftskritischer Anwendungssoftware entdeckt und beseitigt hat, haben wir eine einzigartige Perspektive auf Initiativen wie diese. Unser Team kennt den historischen und aktuellen Stand der Cybersicherheit in weit verbreiteter kommerzieller Software und kann daher die Vor- und Nachteile dieses strategischen Ziels einschätzen.
Durch unsere Erfahrung in der Bedrohungsforschung wissen wir aus erster Hand, dass viele führende Anbieter von Unternehmenssoftware in den letzten zehn Jahren erhebliche Investitionen getätigt haben, um ihre sicheren Entwicklungsprozesse und -funktionen zu verbessern. Dies hat dazu geführt, dass neue Lösungen auf den Markt gekommen sind, die von Haus aus sicherer sind und standardmäßig über stärkere Sicherheitskonfigurationen verfügen. Bei der Durchführung fortgeschrittener Schwachstellenanalysen für diese neuen Produkte haben wir empirisch festgestellt, dass viele der „niedrig hängenden Früchte“, die in früheren Versionen erfolgreich waren, in neueren Versionen kontrolliert oder entschärft wurden. Dies ist ein klares Indiz dafür, dass viele Softwareanbieter sich in die richtige Richtung verbessern.
Die Zahl der neuen Schwachstellen, die laufend entdeckt und von Bedrohungsakteuren ausgenutzt werden, kann jedoch nicht ignoriert werden und ist ein klarer Beweis dafür, dass wir der Lösung dieses Problems nicht näher gekommen sind. Darüber hinaus stützen die Daten auch die Behauptung der Verwaltung, dass sich die historischen und aktuellen Marktkräfte als ineffizient erwiesen haben, um diese Realität zu ändern. Es ist häufig der Fall, dass die finanziellen Verluste, die durch Sicherheitsverletzungen und Sicherheitsmängel in Produkten entstehen, für den Softwareanbieter unerheblich sind, für die Nutzer des anfälligen Produkts oder Dienstes jedoch katastrophale Folgen haben können.
Wenn wir insbesondere an ERP- und Geschäftsanwendungen denken, wird diese Herausforderung drastisch verschärft, da diese Softwareanwendungen als wesentlicher digitaler Kern für die weltweit größten Unternehmen und Organisationen in kritischen Infrastruktursektoren wie Energie- und Versorgungswirtschaft, Fertigung und Pharmazie dienen und ihre wichtigsten Prozesse und Informationen unterstützen. In diesen Szenarien ist die Sicherheit einer Softwarelösung nicht nur für den einzelnen Benutzer oder das einzelne Unternehmen von Bedeutung – aufgrund der Spezialisierung dieser Softwareprodukte gibt es einen hohen Grad an Konzentration bei den Benutzern, die sich für geschäftskritische Anwendungsfälle auf dieselben (oder wenige) kommerziellen Softwareprodukte verlassen, was zu einem systemischen Risiko auf nationaler und globaler Ebene führen kann, wenn böswillige Bedrohungsakteure Schwachstellen in diesen Produkten entdecken und ausnutzen.
Wie können wir – die Verteidiger – bei diesem ständigen Katz-und-Maus-Spiel zwischen Verteidigern und Bedrohungsakteuren gewinnen? Ich stimme mit mehreren Experten überein, dass es eine große Herausforderung sein wird, sicherzustellen, dass die Rechtsvorschriften anpassungsfähig genug sind, um diese Dynamik ganzheitlich zu erfassen, ohne die Innovation zu ersticken. Doch was ist die Alternative? Die Software- und Cybersicherheitsbranche als Ganzes muss anerkennen, dass die kommerzielle Softwaresicherheit nicht besser wird, wenn wir unseren Ansatz nicht radikal ändern und die Anreize nicht neu ausrichten. Unsere Branche hat schon vieles ausprobiert, von Konsortien über Forscher, die auf Konferenzen ungepatchte Zero-Day-Schwachstellen veröffentlichen, bis hin zu Softwareanbietern, die sich gegenseitig öffentlich unter Druck setzen, um schneller Patches zu erstellen.
Leider haben diese Versuche die eigentliche Ursache des Problems nicht beseitigt: Die Unternehmen müssen mehr dafür tun, dass ihre Software sicher ist. Vor dieser neuen Strategie gab es für die meisten Softwarehersteller nicht genug Vorteile, um proaktiv zu investieren und Fähigkeiten auf dem erforderlichen Niveau aufzubauen, um dieses Problem zu lösen, und der Nachteil, dies nicht zu tun, ist für ihre Gewinne unerheblich.
Wir sind als Gesellschaft zu sehr von kommerzieller Software abhängig, als dass wir weiterhin hoffen könnten, dass sich die Dinge auf magische Weise verbessern werden. Wie das alte Sprichwort sagt: Hoffnung ist keine Strategie.
Die Messlatte und die Erwartungen an die Sorgfaltspflicht höher zu legen und gleichzeitig die Anbieter, die dies effektiv tun, zu belohnen und vor Haftung zu schützen, ist ein willkommener Schritt, um zu diskutieren, wie wir die Anreize im Software-Ökosystem neu ausrichten und eine sicherere Zukunft für uns alle schaffen können. Wir bei Onapsis planen, uns weiterhin aktiv an dieser Strategie zu beteiligen, wenn sie umgesetzt wird, und unseren Beitrag zur Schaffung einer besseren Zukunft zu leisten.
Source: Onapsis-Blog
Fachartikel

Versteckte Verbindungen: Dutzende VPN-Apps in App Stores mit undurchsichtigen chinesischen Eigentümern

YouTube-Video-Tipp: „Cyber Gangsta’s Paradise – Prof. Merli ft. MC BlackHat“

Großflächiger Ausfall bei Google Cloud und Cloudflare legt zahlreiche Dienste lahm

EU-Vorschriften für Lieferketten zwischen Effizienz und Effektivität

Hacker geben sich als Bewerber aus – Lebenslauf enthält Ransomware
Studien

TÜV-Studie: Cyberangriffe auf 15 Prozent der Unternehmen – Phishing bleibt Hauptbedrohung

Rasante Verbreitung von GenAI bringt Chancen und Risiken – Bericht zeigt alarmierende Entwicklung im Jahr 2025

Unternehmen blockieren zunehmend GenAI-Tools – DNSFilter-Studie zeigt wachsende Sicherheitsbedenken

Weltweite Investitionen in Quantencomputing nehmen branchenübergreifend zu

Princeton-Forscher warnen vor fatalen KI-Angriffen im Web3-Umfeld
Whitepaper

NIST stellt 19 Modelle für Zero-Trust-Architekturen vor

Wirtschaft fordert deutsche Cloud-Alternativen – Abhängigkeit von US-Anbietern wächst

Internationale Behörden warnen vor Play-Ransomware: Neue Angriffsmethoden entdeckt

Zielscheibe Fertigungsindustrie: Cyberangriffe durch staatlich geförderte Gruppen und Ransomware-Banden nehmen stark zu
