Plant Insights

Whitepaper: Angriffe auf Softwarelieferketten

24. Mai 2022

Sicherheitstechnische Herausforderungen in der Softwareentwicklung mit DevOps und deren Bewältigung. Lieferkettenangriffe gewinnen zunehmend an Relevanz und um gegen diese gewappnet zu sein, sind etablierte Sicherheitsmaßnahmen über den gesamten Software-Produktlebenszyklus erforderlich.

Whitepaper: Angriffe auf Softwarelieferketten
Whitepaper: Angriffe auf Softwarelieferketten

Die eschbach GmbH entwickelt Software für das Prozessmanagement von chemischen und pharmazeutischen Produktionsbetrieben. Die Standardsoftware Shiftconnector wird weltweit von führenden Unternehmen wie Bayer, DuPont, BASF und Roche eingesetzt und stellt einen Teil der Software-Lieferketten dieser Unternehmen dar. Lieferkettenangriffe gewinnen zunehmend an Relevanz und um gegen diese gewappnet zu sein, sind etablierte Sicherheitsmaßnahmen über den gesamten Software-Produktlebenszyklus erforderlich. Bekannte Angriffe, wie „NotPetya“, der „SolarWinds-Hack“ oder die übernommenen NPMPakete „ua-parser-js “, „coa“ und „rc“ haben gezeigt, wie fatal die Auswirkungen eines Lieferkettenangriffs sein können. Die Implementierung entsprechender Gegenmaßnahmen ist jedoch keine Trivialität.

Die eschbach GmbH hat umfassende Sicherheitsanalysen durchgeführt, um Angriffsmöglichkeiten für Lieferkettenangriffe in DevOps und modernen Entwicklungsumgebungen zu finden. Basierend darauf wurde unter der Verwendung einer Vielzahl an etablierten und anerkannten Standards ein sicherer Software-Produktlebenszyklus (SSPLZ) entwickelt. Dieser berücksichtigt Lieferkettenangriffe und ermöglicht anhand der Integration von DevSecOps-Prinzipien die Transformation von einem DevOps-Ansatz zu einem DevSecOps-Ansatz.

Dieses Paper ist dafür in vier Kapitel unterteilt. Zuerst wird die Relevanz der Auseinandersetzung mit Lieferkettenangriffen aufgezeigt und historische Beispiele solcher Angriffe erklärt.

Darauf folgt die Auseinandersetzung mit DevOps und DevSecOps. Es werden die Risiken und Angriffsszenarien auf DevOps-Umgebungen behandelt und die Chancen von DevSecOps erläutert.

Im dritten Kapitel wird ein Einblick in den entwickelten sicheren Software-Produktlebenszyklus (SSPLZ) und dessen Anwendung gegeben. Der vollständige SSPLZ ist hier abrufbar: https://eschbach.com/de/Sicherer-Software-Produktlebenszyklus-eschbach.xlsx

Abschließend wird ein Fazit über die Ergebnisse gezogen und ein Ausblick auf das weitere Vorgehen gegeben.

Ein grundlegendes Wissen über Softwareentwicklung und -bereitstellung ist für diese Arbeit vorausgesetzt.

Über den Author

Als IT Security Specialist, welcher seit 2018 für die eschbach GmbH tätig ist, verfügt Herr Günter über tiefgreifendes Fachwissen in Bereichen wie Lieferkettenangriffe, Angriffsanalysen und der Software-Sicherheit. Im Jahr 2021 hat er mit seinen Arbeiten über DevSecOps und Software-Lieferkettenangriffe den Förderpreis des Vereins Deutscher Ingenieure gewonnen und bereits mehrfach Expertenvorträge über diese Themen gehalten.


Interessiert? Füllen Sie einfach das Kontaktformular aus, um das vollständige Paper per E-Mail zu erhalten - kostenlos!

Ja, ich möchte ...

Herzlichen Dank für Ihr Interesse.

Ihre Anfrage wurde erfolgreich übermittelt.

Ihr persönliches Beratungsteam

Felix Michler
Felix Michler

Felix Michler
Sales Lead Europe

Charles Douthwaite
Charles Douthwaite

Charles Douthwaite
Sales Development

Gerne beantworten wir Ihre Fragen unter

+49 (0)7761 55959-0

Diese Website speichert Cookies auf Ihrem Computer. Diese Cookies werden verwendet, um Informationen darüber zu sammeln, wie Sie mit unserer Website interagieren, und ermöglichen es uns, sich an Sie zu erinnern. Wir verwenden diese Informationen, um Ihr Browsing-Erlebnis zu verbessern und anzupassen sowie für Analysen und Metriken über unsere Besucher sowohl auf dieser Website als auch in anderen Medien. Weitere Informationen über die von uns verwendeten Cookies finden Sie in unserer Datenschutzrichtlinie.

Wenn Sie dies ablehnen, werden Ihre Daten beim Besuch dieser Website nicht nachverfolgt. Ein einziges Cookie wird in Ihrem Browser verwendet, um Ihre Einstellung zu speichern, nicht um getrackt zu werden.