Elementaris
Es freut uns euch über den launch des “Elementaris” Service für das Risikomanagement der Software Lieferkette zu berichten.
Die Log4J Sicherheitslücke war ein Weckruf an viele, dass durch die heutige mannigfaltige Nutzung von Open Source Komponenten, Frameworks und SW-Artefakten ein erhebliches Schadenspotential durch extern eingekaufte respektive verwendete SW Komponenten besteht. Log4j war leider kein Einzelfall, sondern nur die Spitze des Eisbergs. Die über die SW Supply Chain erfolgten Attacken sind in den letzten Jahren massiv gestiegen.
Source: ENISA
Aktuelle neue Fälle sind Software Supply Chain Attacken in 3CX, einer weitverbreiteten Desktop App und MOVEit einer Dateiübertragungssoftware. Es ist daher wenig erstaunlich, dass der anfangs 2023 vernehmlasste Digital Operations Resilience Act (DORA) der EU dieses Sicherheits-Risiko im Rahmen des 3rd Party Riskmanagements aufgreift und neue Vorschriften erlassen hat, die sowohl Finanzinstitute und Versicherer mit EU Bezug wie auch deren kritischen ICT Provider in der Schweiz betreffen. Die Finma hat in ihrem letzten Riskmonitor zu Cyberisiken die Malware Risiken (Schadsoftware vorab durch externe Dienstleister) als eine der Toprisiken identifiziert. Mit dem Cyber Resilience Act (CRA) der EU wird es zudem strengere Auflagen für Hersteller, Importeure und auch Händler von Produkten mit digitalen Elementen geben. Unter anderem wird im CRA vorgeschlagen, eine SBOM (Software Bill of Material) zu verwenden und von Lieferanten einzufordern. Ohne eine systematische Inventarisierung der SW-Einlieferung und kontinuierliche Überprüfung eingesetzter Software setzt sich eine Firma erheblichen Cyber-Risiken aus. Die IT Abteilungen verfügen oft nicht über ausreichend Ressourcen und Verfahren, um diesem Angriffsvektor adäquat begegnen zu können.
Wir haben den Managed Service “Elementaris” entwickelt, der Unternehmen ermöglicht, ihre eingesetzten SW Artefakte automatisiert und fälschungssicher mittels SBOM zu inventarisieren und kontinuierlich auf Schadsoftware zu überwachen, entdeckte Vulnerabilities zu klassifizieren und ihr Risiko zu bewerten.
Wir bieten nebst dem Aufbau und Betrieb des Software Supply Chain Riskmanagement Service auch die Etablierung der notwendigen Prozesse (z.B. Integration ins OP-Riskmanagement und Security Office der Unternehmung) sowie eine unabhängige externe Risikoeinschätzung zu den SW Komponenten. Zusätzlich zur Stärkung des operationellen Risikomanagements kann Elementaris auch bereits im SW Procurement und in der erweiterten Supply Chain (SW Suppliers und SaaS Provider) eingesetzt werden.
Sollten Sie Fragen zum Elementaris Service haben oder möchten eine unverbindliche Demo, zögern Sie nicht, uns zu kontaktieren (rufen Sie uns an , schreiben Sie uns eine ).