Sign up to save your podcasts
Or
Share 36 Software Supply Chain Attacks /invite Alexandra Paulus
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
36 Software Supply Chain Attacks /invite Alexandra Paulus
Nordkorea ist dabei, die Chinesen und die Russen sowieso. Die Rede ist von Cyber-Operationen via Software Supply Chains, also Softwarelieferketten. Eine Organisation wird nicht über ihre eigene Infrastruktur angegriffen, sondern über eine Kompromittierung eines externen Dienstleisters, von dem sie abhängig ist. Eine Software Supply Chain kann zum Beispiel Managed Service Provider umfassen, die z.B. Netzwerke für Unternehmen managen oder Mobile Device Management Dienste bereitstellen. Aber auch Angriffe auf Update-Verteilungsmechanismen gehören zu Software Supply Chain Risiken. Die sind eine besondere Herausforderung, weil Verteidigung dagegen schwer ist. Zudem skalieren die Angriffe, weil Supply Chain Anbieter potenziell viele Kundinnen und Kunden haben: Hack once, penetrate thousands. Seit dem Solarwinds-Vorfall ist das leider ein Trend unter Cyber-Operationen. Wie man mit diesen Risiken umgehen kann, darüber spreche ich heute mit Dr. Alexandra Paulus von der Stiftung Neue Verantwortung, die kürzlich darüber eine Studie geschrieben hat
Shownotes
Timecodes
00:00:13 Vorstellung
00:05:00 Relevanz des Themas Software Supply Chain Security, Policies, Log4j, Kaseya
00:13:15 Software Supply Chain Compromise, Definitionen
00:17:57 Schwierigkeiten bei Software Supply Chain Security: Software Entwicklungszyklen, Lebensdauer & Updates, Cloud
00:20:47 Kaseya Vorfall
00:23:23 Ursachen für Software Unsicherheit
00:27:00 Geringe Sicherheitspriorisierung & Ausbildung
00:28:35 Sichtbarkeit von Sicherheit in IT Produkten
00:30:23 Bedrohungsakteure
00:31:14 Politische und wirtschaftliche Lösungen
00:31:50 Softwareauswahl nach Herstellungsland?
00:35:34 BSI Produktlabel, Vor und Nachteile
00:47:00 Software Bill of materials
00:50:05 VEX Datenformat & common security advisory framework
00:52:42 Open Source & Legacy software
00:54:25 Was der Staat tun kann: Vorbild, Weiterbildungsangebote , Beschaffung, Regulierung
01:07:18 Coordinated Vulnerability Disclosure
01:23:44 Implikationen für die Cyber Diplomatie
Hinweise
Kommentare und konstruktives Feedback bitte auf percepticon.de oder via Twitter. Die Folge erscheint auf iTunes, Spotify, PocketCast, Stitcher oder via RSS Feed. Apple Podcasts unterstützt gegenwärtig kein HTML mehr, weshalb das hier alles etwas durcheinander ist.
Sound & Copyright
View all episodes
By Matthias SchulzeNordkorea ist dabei, die Chinesen und die Russen sowieso. Die Rede ist von Cyber-Operationen via Software Supply Chains, also Softwarelieferketten. Eine Organisation wird nicht über ihre eigene Infrastruktur angegriffen, sondern über eine Kompromittierung eines externen Dienstleisters, von dem sie abhängig ist. Eine Software Supply Chain kann zum Beispiel Managed Service Provider umfassen, die z.B. Netzwerke für Unternehmen managen oder Mobile Device Management Dienste bereitstellen. Aber auch Angriffe auf Update-Verteilungsmechanismen gehören zu Software Supply Chain Risiken. Die sind eine besondere Herausforderung, weil Verteidigung dagegen schwer ist. Zudem skalieren die Angriffe, weil Supply Chain Anbieter potenziell viele Kundinnen und Kunden haben: Hack once, penetrate thousands. Seit dem Solarwinds-Vorfall ist das leider ein Trend unter Cyber-Operationen. Wie man mit diesen Risiken umgehen kann, darüber spreche ich heute mit Dr. Alexandra Paulus von der Stiftung Neue Verantwortung, die kürzlich darüber eine Studie geschrieben hat
Shownotes
Timecodes
00:00:13 Vorstellung
00:05:00 Relevanz des Themas Software Supply Chain Security, Policies, Log4j, Kaseya
00:13:15 Software Supply Chain Compromise, Definitionen
00:17:57 Schwierigkeiten bei Software Supply Chain Security: Software Entwicklungszyklen, Lebensdauer & Updates, Cloud
00:20:47 Kaseya Vorfall
00:23:23 Ursachen für Software Unsicherheit
00:27:00 Geringe Sicherheitspriorisierung & Ausbildung
00:28:35 Sichtbarkeit von Sicherheit in IT Produkten
00:30:23 Bedrohungsakteure
00:31:14 Politische und wirtschaftliche Lösungen
00:31:50 Softwareauswahl nach Herstellungsland?
00:35:34 BSI Produktlabel, Vor und Nachteile
00:47:00 Software Bill of materials
00:50:05 VEX Datenformat & common security advisory framework
00:52:42 Open Source & Legacy software
00:54:25 Was der Staat tun kann: Vorbild, Weiterbildungsangebote , Beschaffung, Regulierung
01:07:18 Coordinated Vulnerability Disclosure
01:23:44 Implikationen für die Cyber Diplomatie
Hinweise
Kommentare und konstruktives Feedback bitte auf percepticon.de oder via Twitter. Die Folge erscheint auf iTunes, Spotify, PocketCast, Stitcher oder via RSS Feed. Apple Podcasts unterstützt gegenwärtig kein HTML mehr, weshalb das hier alles etwas durcheinander ist.
Sound & Copyright
More shows like Percepticon.de
View all
Sternengeschichten
45 Listeners
Methodisch inkorrekt!
16 Listeners
Lage der Nation - der Politik-Podcast aus Berlin
241 Listeners
Das Wissen | SWR
104 Listeners
Eine Stunde History - Deutschlandfunk Nova
99 Listeners
Stay Forever - Retrogames & Technik
36 Listeners
Logbuch:Netzpolitik
5 Listeners
Acht Milliarden
60 Listeners
F.A.Z. Podcast für Deutschland
74 Listeners
0630 - der News-Podcast
18 Listeners
Wild Wild Web - Geschichten aus dem Internet
6 Listeners
RONZHEIMER.
136 Listeners
Firewall: Jedes System hat eine Schwachstelle
7 Listeners
Die Peter Thiel Story
27 Listeners
CHEATS – Wer zerstört Counter-Strike?
0 Listeners