Präsident Biden ordnet die Sicherheitskennzeichnung von Software und die Übermittlung der Liste der Inhaltsstoffe, aus denen sie besteht, an den Verbraucher an. Ziel ist es, die Herkunft, Echtheit und Sicherheit des Produkts zu zertifizieren. Die Durchführungsverordnung „Verbesserung der Cybersicherheit des Landes“ datiert vom letzten Mai und in den letzten Wochen sind die ersten technisch-organisatorischen Reaktionen von Bundesbehörden sowie aus der akademischen und industriellen Welt eingetroffen.
Endlich würde man sagen.
Zu viele Sicherheitslücken, zu viele böswillige Akteure, die es in den letzten Jahren leicht hatten. Tatsächlich wird es in Kürze notwendig sein, bewährte Nachverfolgungsverfahren einzuführen, um nachzuweisen, dass die Software in einer sicheren Umgebung und gemäß guten Entwicklungs- und Testpraktiken erstellt wurde; und die Herkunft der Quellcodes muss berücksichtigt und durch standardisierte Artefakte gestützt werden. Und schließlich muss der Benutzer nicht nur die Nutzungsbedingungen anerkennen, sondern auch ein Sicherheitsetikett und eine SBOM (Software Bill Of Materials) hinzufügen: die Stückliste, in der die Komponenten und ihre Herkunft aufgeführt sind.
Kurz gesagt, der Kauf einer Software wird am Ende sehr ähnlich sein wie der Kauf einer neuen Waschmaschine. Achten Sie darauf, die Energiekennzeichnung zu überprüfen, um den Stromverbrauch oder die Lärmbelästigung zu überprüfen. Oder ähnlich, wenn wir durch die Gänge von Supermärkten schlendern und auf der Tabelle der Kekszutaten nach den gesündesten, unverfälschten, null Kilometer langen Keksen mit weniger Kalorien und ohne Allergene suchen. Oder wenn wir im Restaurant nach einer Qualitätsflasche Wein suchen und nach der DOC-Flasche statt nach der mit einem gekennzeichneten Flasche fragen Herkunftsbezeichnung und Garantie.
Aber gehen wir der Reihe nach vor und versuchen zu verstehen, was passiert. Und vor allem, wenn es wirklich ausreicht.
In den letzten Monaten hat die US-Regierung zwei Strukturinitiativen gestartet: Die erste zielt auf die Sicherung der Software-Lieferkette ab; Die zweite zielte darauf ab, die technologische Umgebung industrieller Steuerungssysteme auf ein Cybersicherheitsniveau zu bringen, das mindestens dem entspricht, was heute bei IT-Systemen erreicht wurde.
Die Software-Lieferkette ist mittlerweile so weit entwickelt und weit verbreitet, dass man mittlerweile sagen kann: „Jeder macht Software“. Und im Konzept „jeder“ gibt es das – korrelierende – Konzept „unbestimmt“, das heute die größte Schwachstelle darstellt, die den meisten Computervorfällen zugrunde liegt: Wir wissen nicht nur nicht, wem genau die Urheberschaft der von uns verwendeten Software gehört eventuell kann eine zivil-, straf- und verwaltungsrechtliche Haftung für verursachte Schäden oder für die tatsächliche Gefährdung festgestellt werden; Aber wir wissen nicht einmal, ob dieser Jemand, selbst wenn er in gutem Glauben handelte, über die Ressourcen, Strukturen und Betriebstechniken verfügt, um das Produkt sicher zu entwickeln und zu testen, sowie über angemessene Kontrollen, die Manipulationen verhindern.
Und all dies erhält, wenn es allgemein für alle Software gilt, eine entscheidende Bedeutung für die Kategorie der sogenannten kritischen Software, also derjenigen, die Garantie- und Sicherheitsfunktionen erfüllen, wie sie beispielsweise für die Verwaltung und Überprüfung der Berechtigungen von Systemadministratoren erforderlich sind die den direkten Zugriff auf Maschinen- oder Netzwerkressourcen ermöglichen.
Die eingeführte Strategie wird daher versuchen, diese drei Dimensionen durch wiederholbare und überprüfbare Prozesse zu gewährleisten: Vaterschaft, Sicherheit und Authentizität. Mal sehen, wie.
Wir werden beginnen zu fordern, dass Software in abgegrenzten Entwicklungsumgebungen entwickelt wird, und zwar sowohl hinsichtlich derjenigen, in denen sie anschließend getestet wird, als auch derjenigen, in denen sie – wenn sie voll funktionsfähig sind – verwendet wird; und aus den Informationen für den Verbraucher müssen die Sicherheitsverfahren hervorgehen, die zur Gewährleistung dieser Umwelttrennung eingesetzt werden. Dann wird es notwendig sein, Automatismen einzusetzen, die sowohl die Überprüfung der Herkunft und Integrität der zur Entwicklung der Software verwendeten Quellcodes als auch eine ständige Suche nach Schwachstellen und entsprechenden Abhilfemaßnahmen ermöglichen. Und auch dies muss in den Informationen für die Nutzer berücksichtigt werden, wobei die zusammenfassende Beschreibung der bewerteten und geminderten Risiken unbedingt anzugeben ist.
Es sollte auch eine zeitnahe Bestandsaufnahme der Daten zur Herkunft von Quellcodes oder nicht selbst entwickelten Softwarekomponenten sowie der implementierten Kontrollen und durchgeführten Audits an Softwarekomponenten, Diensten und Entwicklungstools sowohl intern als auch von Dritten durchgeführt werden losfahren. Soweit möglich wird es obligatorisch sein, die Integrität und Herkunft der Open-Source-Software zu zertifizieren, die in jedem Teil eines Produkts verwendet wird. Schließlich muss nachgewiesen werden, dass ein internes Kontrollsystem vorhanden ist, das in der Lage ist, festgestellte Schwachstellen in der erstellten Software rechtzeitig aufzudecken.
Als Ergebnis oder als Ergänzung zu den oben genannten Maßnahmen wird es notwendig sein, Sicherheitsetiketten und Materiallisten für Verbraucher zu erstellen.
Es ist zu erwarten, dass all dies die Rückverfolgung der Herkunft, Integrität und Sicherheit von Software deutlich verbessern wird, aber auch zu einem deutlichen Anstieg der Produktionskosten und damit der Preise für die Öffentlichkeit führen wird.
Aber wird der Durchschnittsbürger, der es gewohnt ist, „geknackte“ Software kostenlos aus dem Internet herunterzuladen, angesichts der digitalen Kluft, die die aktuelle Massenkultur kennzeichnet, bereit sein, deutlich andere Geldbeträge für den Kauf dieser Art sicherer Software auszugeben? Wir müssen parallel handeln, um Hand in Hand mit der Sicherheit der Software-Lieferkette ein neues Bewusstsein für digitale Hygiene bei denen zu schaffen, die das Bedürfnis nach dieser Software verspüren müssen.
Orazio Danilo Russo und Carlo Mauceli
Um mehr zu erfahren:
https://www.federalregister.gov/documents/2021/05/17/2021-10460/improvin...
https://www.whitehouse.gov/briefing-room/statements-releases/2021/07/28/...
https://www.nist.gov/itl/executive-order-improving-nations-cybersecurity...
