Supply-Chain-Attacken haben in letzter Zeit deutlich zugenommen und betreffen auch bekannte Unternehmen. Die Attacken erfolgen über vertrauenswürdig eingestufte Komponenten und IT Services Dritter und sind daher von Anwendern schwer zu verhindern. Der jetzt veröffentlichte TeleTrusT-Leitfaden beschreibt neben Software Bill of Materials (SBOM) weitere Schutzmaßnahmen, die von Anwenderunternehmen zur Verbesserung der Cloud Supply Chain Security getroffen werden können.
In der IT ist die Supply Chain die Lieferkette aller Teilprodukte und Lieferungen, aus denen sich ein IT Service oder eine Anwendung zusammensetzt. Für jede Art von Software, aber insbesondere für Cloud-Dienste, besteht eine solche Lieferkette aus unzähligen Lieferanten und Produkten, die entweder direkt oder indirekt genutzt werden oder zur Erstellung oder Ausführung der Teile beitragen. Im besten Fall wird der Produzent oder Anbieter der Teile die direkt genutzten Komponenten selbst auf Sicherheitseigenschaften überprüfen. Der Anwender hat aber normalerweise weder die Möglichkeit, die Nutzung einer betroffenen Komponente festzustellen, noch auf eine Behebung von Schwachstellen hinzuwirken - ein inakzeptabler Zustand.
Um das Problem der mangelnden Transparenz zu lösen, führt der Weg über die Software Bill of Materials (SBOM). Eine SBOM ist eine Aufstellung aller Komponenten, die in einer Software-Anwendung enthalten sind. Wenn neue Erkenntnisse zu Fehlern und Schwachstellen in diesen Komponenten auftauchen, können Anwender schnell ermitteln, ob sie möglicherweise betroffen sind und die von ihnen genutzten Anwendungen gefährdet sind. Es wird erwartet, dass sich die Bereitstellung von SBOMs durch Lieferanten und Betreiber von Software und Services zum Marktstandard entwickelt.
Oliver Dehning, Leiter der TeleTrusT-AG "Cloud Security": "Aktuelle Software Bill of Materials (Software-Stücklisten, SBOM) sind die Basis für mehr Transparenz in der Cloud Supply Chain und damit für mehr Sicherheit bei der Nutzung von Cloud Services. Anwender können einen erheblichen Beitrag zur Verbesserung der Sicherheit in ihrer Cloud Supply Chain leisten, wenn sie die Bereitstellung von SBOMs durch Provider in ihren Anforderungskatalog aufnehmen. Provider sollten ihrerseits ihren Anwendern diese Informationen zur Verfügung stellen und damit aktives Management von Cybersicherheit auch in der Cloud ermöglichen."