Sign up to save your podcasts
Or
Share 36 Software Supply Chain Attacks /invite Alexandra Paulus
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
36 Software Supply Chain Attacks /invite Alexandra Paulus
Nordkorea ist dabei, die Chinesen und die Russen sowieso. Die Rede ist von Cyber-Operationen via Software Supply Chains, also Softwarelieferketten. Eine Organisation wird nicht über ihre eigene Infrastruktur angegriffen, sondern über eine Kompromittierung eines externen Dienstleisters, von dem sie abhängig ist. Eine Software Supply Chain kann zum Beispiel Managed Service Provider umfassen, die z.B. Netzwerke für Unternehmen managen oder Mobile Device Management Dienste bereitstellen. Aber auch Angriffe auf Update-Verteilungsmechanismen gehören zu Software Supply Chain Risiken. Die sind eine besondere Herausforderung, weil Verteidigung dagegen schwer ist. Zudem skalieren die Angriffe, weil Supply Chain Anbieter potenziell viele Kundinnen und Kunden haben: Hack once, penetrate thousands. Seit dem Solarwinds-Vorfall ist das leider ein Trend unter Cyber-Operationen. Wie man mit diesen Risiken umgehen kann, darüber spreche ich heute mit Dr. Alexandra Paulus von der Stiftung Neue Verantwortung, die kürzlich darüber eine Studie geschrieben hat
Shownotes
Alexandra Paulus bei der Stiftung Neue Verantwortung, https://www.stiftung-nv.de/de/person/dr-alexandra-paulus-elternzeit
Government’s Role in Increasing Software Supply Chain Security, https://www.stiftung-nv.de/sites/default/files/governments_role_in_increasing_software_supply_chain_security.pdf
NIS 2 directive, https://www.europarl.europa.eu/thinktank/de/document/EPRS_BRI(2021)689333
EU Cyber Resilience Act, https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act
Improving the Nation's Cybersecurity: NIST’s Responsibilities Under the May 2021 Executive Order, https://www.nist.gov/itl/executive-order-14028-improving-nations-cybersecurity
‘The Internet Is on Fire’, A vulnerability in the Log4j logging framework has security teams scrambling to put in a fix, https://www.wired.com/story/log4j-flaw-hacking-internet/
Conti ransomware uses Log4j bug to hack VMware vCenter servers, https://www.bleepingcomputer.com/news/security/conti-ransomware-uses-log4j-bug-to-hack-vmware-vcenter-servers/
Exploring a crypto-mining campaign which used the Log4j vulnerability, https://de.darktrace.com/blog/exploring-a-crypto-mining-campaign-which-used-the-log-4j-vulnerability
Percepticon, Folge 24 Solarwinds, https://percepticon.de/2021/01/24-solarwinds-hack-invite-sven-herpig/
Kaseya supply chain attack impacts more than 1,000 companies, https://www.techrepublic.com/article/kaseya-supply-chain-attack-impacts-more-than-1000-companies/
Supply chain cyberattack with possible links to North Korea could have thousands of victims globally, https://cyberscoop.com/3cx-hack-supply-chain-north-korea/
Percepticon, Folge 22 Security by design /invite Dennis Stolp, https://percepticon.de/2020/12/22-security-by-design-invite-dennis-stolp/
Chinese Hackers Targeted Global Firms Via Supply Chain, https://www.infosecurity-magazine.com/news/chinese-hackers-targeted-firms/
BSI IT-Sicherheitskennzeichen, https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/IT-Sicherheitskennzeichen/fuer-Hersteller/IT-SiK-fuer-hersteller_node.html
MSC Label Debatte., https://www.theguardian.com/environment/2021/jul/26/blue-ticked-off-the-controversy-over-the-msc-fish-ecolabel
XKCD Comic “Dependency”, https://xkcd.com/2347/
National Telecommunications and Information Association, https://ntia.gov/page/software-bill-materials
Verfahren gegen Lilith Wittmann eingestellt – weil CDU connect ungeschützt war, https://www.heise.de/news/Verfahren-gegen-Lilith-Wittmann-eingestellt-weil-CDU-connect-ungeschuetzt-war-6194222.html
Governance von 0-Day-Schwachstellen in der deutschen Cyber-Sicherheitspolitik
SWP-Studie 2019, https://www.swp-berlin.org/en/publication/governance-von-0-day-schwachstellen
OECD, Encouraging vulnerability treatment, https://www.oecd.org/digital/encouraging-vulnerability-treatment.pdf
Atlantic Council,
View all episodes
By Matthias SchulzeNordkorea ist dabei, die Chinesen und die Russen sowieso. Die Rede ist von Cyber-Operationen via Software Supply Chains, also Softwarelieferketten. Eine Organisation wird nicht über ihre eigene Infrastruktur angegriffen, sondern über eine Kompromittierung eines externen Dienstleisters, von dem sie abhängig ist. Eine Software Supply Chain kann zum Beispiel Managed Service Provider umfassen, die z.B. Netzwerke für Unternehmen managen oder Mobile Device Management Dienste bereitstellen. Aber auch Angriffe auf Update-Verteilungsmechanismen gehören zu Software Supply Chain Risiken. Die sind eine besondere Herausforderung, weil Verteidigung dagegen schwer ist. Zudem skalieren die Angriffe, weil Supply Chain Anbieter potenziell viele Kundinnen und Kunden haben: Hack once, penetrate thousands. Seit dem Solarwinds-Vorfall ist das leider ein Trend unter Cyber-Operationen. Wie man mit diesen Risiken umgehen kann, darüber spreche ich heute mit Dr. Alexandra Paulus von der Stiftung Neue Verantwortung, die kürzlich darüber eine Studie geschrieben hat
Shownotes
Alexandra Paulus bei der Stiftung Neue Verantwortung, https://www.stiftung-nv.de/de/person/dr-alexandra-paulus-elternzeit
Government’s Role in Increasing Software Supply Chain Security, https://www.stiftung-nv.de/sites/default/files/governments_role_in_increasing_software_supply_chain_security.pdf
NIS 2 directive, https://www.europarl.europa.eu/thinktank/de/document/EPRS_BRI(2021)689333
EU Cyber Resilience Act, https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act
Improving the Nation's Cybersecurity: NIST’s Responsibilities Under the May 2021 Executive Order, https://www.nist.gov/itl/executive-order-14028-improving-nations-cybersecurity
‘The Internet Is on Fire’, A vulnerability in the Log4j logging framework has security teams scrambling to put in a fix, https://www.wired.com/story/log4j-flaw-hacking-internet/
Conti ransomware uses Log4j bug to hack VMware vCenter servers, https://www.bleepingcomputer.com/news/security/conti-ransomware-uses-log4j-bug-to-hack-vmware-vcenter-servers/
Exploring a crypto-mining campaign which used the Log4j vulnerability, https://de.darktrace.com/blog/exploring-a-crypto-mining-campaign-which-used-the-log-4j-vulnerability
Percepticon, Folge 24 Solarwinds, https://percepticon.de/2021/01/24-solarwinds-hack-invite-sven-herpig/
Kaseya supply chain attack impacts more than 1,000 companies, https://www.techrepublic.com/article/kaseya-supply-chain-attack-impacts-more-than-1000-companies/
Supply chain cyberattack with possible links to North Korea could have thousands of victims globally, https://cyberscoop.com/3cx-hack-supply-chain-north-korea/
Percepticon, Folge 22 Security by design /invite Dennis Stolp, https://percepticon.de/2020/12/22-security-by-design-invite-dennis-stolp/
Chinese Hackers Targeted Global Firms Via Supply Chain, https://www.infosecurity-magazine.com/news/chinese-hackers-targeted-firms/
BSI IT-Sicherheitskennzeichen, https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/IT-Sicherheitskennzeichen/fuer-Hersteller/IT-SiK-fuer-hersteller_node.html
MSC Label Debatte., https://www.theguardian.com/environment/2021/jul/26/blue-ticked-off-the-controversy-over-the-msc-fish-ecolabel
XKCD Comic “Dependency”, https://xkcd.com/2347/
National Telecommunications and Information Association, https://ntia.gov/page/software-bill-materials
Verfahren gegen Lilith Wittmann eingestellt – weil CDU connect ungeschützt war, https://www.heise.de/news/Verfahren-gegen-Lilith-Wittmann-eingestellt-weil-CDU-connect-ungeschuetzt-war-6194222.html
Governance von 0-Day-Schwachstellen in der deutschen Cyber-Sicherheitspolitik
SWP-Studie 2019, https://www.swp-berlin.org/en/publication/governance-von-0-day-schwachstellen
OECD, Encouraging vulnerability treatment, https://www.oecd.org/digital/encouraging-vulnerability-treatment.pdf
Atlantic Council,
More shows like Percepticon.de
View all
Streitkräfte und Strategien
47 Listeners
Alternativlos
15 Listeners
Logbuch:Netzpolitik
6 Listeners
Lage der Nation - der Politik-Podcast aus Berlin
271 Listeners
Der Tag
60 Listeners
KI-Update – ein heise-Podcast
3 Listeners