Auf dem Weg zu "kontrollierter und garantierter Herkunft"-Software. Werden sie ausreichen, um uns sicherer zu machen?

21/08/21

Präsident Biden ordnet die Sicherheitskennzeichnung der Software und die Mitteilung der Zutatenliste, aus der sie besteht, an den Verbraucher an. Ziel ist es, die Herkunft, Echtheit und Sicherheit des Produkts zu bescheinigen. Die Durchführungsverordnung "Verbesserung der Cybersicherheit der Nation" wurde im vergangenen Mai erlassen und in den letzten Wochen sind die ersten technisch-organisatorischen Antworten von Bundesbehörden und der akademischen und industriellen Welt eingegangen.

Endlich scheint es. 

Zu viele Sicherheitslücken, zu viele böswillige Schauspieler, die es über die Jahre leicht hatten. Tatsächlich ist es von nun an notwendig, bewährte Rückverfolgungsverfahren einzurichten, um nachzuweisen, dass die Software in einer sicheren Umgebung gemäß guter Entwicklungs- und Testpraktiken erstellt wurde; und die Provenienz der Quellcodes muss nachgewiesen und mit standardisierten Artefakten bestätigt werden. Und schließlich muss der Anwender die Nutzungsbedingungen nicht mehr quittieren, sondern muss eine Sicherheitskennzeichnung und eine SBOM (Software Bill Of Materials) hinzufügen: die Stückliste, die die Komponenten und ihre Herkunft auflistet.

Kurz gesagt, der Kauf von Software wird am Ende sehr ähnlich sein, wenn wir eine neue Waschmaschine kaufen müssen. Achten Sie darauf, die Energiekennzeichnung zu überprüfen, um den Stromverbrauch oder die Lärmbelästigung zu überprüfen. oder ähnlich wie wenn wir durch die Gänge von Supermärkten schlendern, um die Zutatenliste der Kekse auf der Suche nach den gesündesten, unverfälschtesten, null Kilometern, mit weniger Kalorien und ohne Allergene zu überprüfen. Oder wieder, wenn wir im Restaurant nach der Qualitätsflasche Wein suchen und die DOC-Flasche anstelle der mit eins gekennzeichneten anfordern Herkunftsbezeichnung und Garantie.

Aber gehen wir der Reihe nach vor und versuchen zu verstehen, was passiert. Und vor allem, wenn es wirklich reicht.

In den letzten Monaten wurden von der amerikanischen Regierung zwei strukturelle Initiativen gestartet: die erste zielt auf die Sicherung der Softwarelieferkette ab; die zweite, die darauf abzielte, das technologische Umfeld industrieller Steuerungssysteme auf ein Cybersicherheitsniveau zu bringen, das mindestens dem der heutigen IT-Systeme entspricht.

Die Software-Lieferkette ist mittlerweile sehr entwickelt und weit verbreitet, so dass man heute sagen kann „jeder, der Software macht“. Und im Begriff "jeder" gibt es das - verwandte - von "unbestimmt", das heute die Hauptanfälligkeit der meisten Computervorfälle darstellt: Wir wissen nicht nur nicht, wer genau die Urheberschaft der von uns verwendeten Software ist, auf die eine zivil-, straf- und verwaltungsrechtliche Haftung für verursachte Schäden oder die tatsächliche Gefährdung zurückzuführen ist; wir wissen jedoch nicht einmal, ob dieser jemand, auch wenn er in gutem Glauben gehandelt hat, sich mit den Ressourcen, Strukturen und Betriebstechniken ausgestattet hat, um das Produkt sicher zu entwickeln und zu testen, sowie angemessene Kontrollen zur Verhinderung von Manipulationen.

Und all dies, wenn es allgemein für alle Software gilt, nimmt einen entscheidenden Stellenwert für die Kategorie der sogenannten kritischen Software ein, d. h. solche, die Garantie- und Sicherheitsfunktionen erfüllen, wie sie beispielsweise zur Verwaltung und Überprüfung der Rechte von Systemadministratoren erforderlich sind. oder die direkten Zugriff auf Maschinen- oder Netzwerkressourcen ermöglichen.

Die eingeführte Strategie wird daher versuchen, mit wiederholbaren und überprüfbaren Prozessen diese drei Dimensionen zu gewährleisten: Urheberschaft, Sicherheit und Echtheit. Mal sehen wie.

Es wird erwartet, dass Software in Entwicklungsumgebungen erstellt wird, die in Bezug auf diejenigen, in denen sie später getestet werden, sowie solche, in denen sie - wenn sie voll funktionsfähig sind - verwendet werden, unterteilt sind; und die Informationen an den Verbraucher müssen die Sicherheitsverfahren belegen, die verwendet werden, um diese Umwelttrennung zu gewährleisten. Dann müssen Automatismen eingesetzt werden, die sowohl die Überprüfung der Herkunft und Integrität der Quellcodes, die zur Entwicklung der Software verwendet wurden, als auch eine ständige Suche nach Schwachstellen und entsprechenden Abhilfemaßnahmen ermöglichen. Auch dies muss in den Informationen an die Benutzer berücksichtigt werden, wobei eine kurze Beschreibung der bewerteten und verringerten Risiken nicht fehlen darf.

Es ist auch erforderlich, eine zeitnahe Bestandsaufnahme der Daten zur Herkunft der nicht selbst entwickelten Quellcodes oder Softwarekomponenten sowie der implementierten Kontrollen und durchgeführten Audits der Softwarekomponenten, Dienstleistungen und Entwicklungstools zu führen, sowohl intern und Dritte. Soweit möglich, ist es obligatorisch, die Integrität und Herkunft von Open-Source-Software, die in einem Teil eines Produkts verwendet wird, zu zertifizieren. Schließlich muss nachgewiesen werden, dass ein internes Kontrollsystem vorhanden ist, das in der Lage ist, die in den Softwareprodukten festgestellten Schwachstellen rechtzeitig offenzulegen.

Nach Abschluss oder Abschluss der oben genannten Maßnahmen müssen Sicherheitsetiketten und Stücklisten für Verbraucher erstellt werden.

Es ist zu erwarten, dass all dies die Nachverfolgung der Herkunft, Integrität und Sicherheit der Software deutlich verbessert, aber auch zu einer deutlichen Erhöhung der Implementierungskosten und damit der Preise für die Öffentlichkeit führen wird.

Aber wird der gemeine Mann mit der digitalen Kluft, die die gegenwärtige Massenkultur kennzeichnet und daran gewöhnt ist, "gecrackte" Software kostenlos aus dem Internet herunterzuladen, bereit sein, deutlich andere Beträge auszugeben, um diese Art von sicherer Software zu kaufen? Wir müssen parallel handeln, um Hand in Hand mit der Sicherheit der Software-Lieferkette ein neues Bewusstsein für digitale Hygiene bei denjenigen zu schaffen, die das Bedürfnis nach dieser Software verspüren.

Orazio Danilo Russo, Carlo Mauceli

Um mehr zu erfahren:

https://www.federalregister.gov/documents/2021/05/17/2021-10460/improvin...

https://www.whitehouse.gov/briefing-room/statements-releases/2021/07/28/...

https://www.nist.gov/itl/executive-order-improving-nations-cybersecurity...