Die Software-Lieferkette war schon immer anfällig – JP Morgan hat es jetzt offen ausgesprochen

Als der Chief Information Security Officer von JP Morgan, Patrick Opet, diese Woche mit einem offenen Brief an die Branche, der Sicherheit in der Lieferkette Priorität einzuräumen, die Alarmglocken in den amerikanischen Unternehmen läutete, hörten nur wenige Menschen etwas, was sie noch nie zuvor gehört hatten. Was an der Nachricht so auffällig war, war, dass sie von der größten US-Bank (nach Assets) und der größten Bank der Welt (nach Marktkapitalisierung) kam – und Finanzinstitute sind im Allgemeinen nicht für ihre kühnen, ausdrucksstarken Aussagen bekannt.

Darüber hinaus unterstreicht der Brief von Opet das besondere Risiko für stärker regulierte und sensible Sektoren wie den Finanzsektor, wo die Kosten eines Scheiterns Billionen von Dollar erreichen können. Der IBM 2024 Cost of a Data Leak-Bericht ergab, dass die durchschnittlichen globalen Kosten eines einzelnen Datenverstoßes in der Finanzbranche 6,08 Millionen US-Dollar betrugen, nur übertroffen von den Kosten für Gesundheitsverletzungen mit 9,77 Millionen US-Dollar.

„Bequemlichkeit kann Kontrolle nicht länger überholen“, sagte Opet in seinem LinkedIn-Beitrag und rief daher Drittanbieter von Software, Sicherheitsverantwortliche und die gesamte Technologie-Community dazu auf, die „Single Points of Failure“ genauer zu untersuchen, die zu „potenziell katastrophalen systemweiten Konsequenzen“ führen können.

Diese „Annehmlichkeit“ kann wie ein nahtlos integriertes System von Daten und Prozessen aussehen, die ohne Verzögerungen oder manuelle Interaktionen aktualisiert werden, was unbestreitbar ein Ziel für Unternehmen ist. Wie jedoch Nataraj Nagaratnam, CTO for AI Security and Infrastructure bei IBM warnt: „Da KI-Agenten beispielsweise den autonomeren Einsatz von KI populär machen, ist es wichtiger denn je, sicherzustellen, dass die Sicherheitsmaßnahmen der Unternehmen dem Risiko entsprechen, das mit diesen Innovationen einhergeht.“

Nagaratnam sprach mit IBM Think von der Fläche der RSA-Veranstaltung in San Francisco, wo er von 40.000 Sicherheitsexperten bei einer der größten Cybersicherheitsveranstaltungen des Jahres begleitet wurde. Opets Brief war das Gesprächsthema des Tages und löste Debatten aus – und eine Bestätigung dafür, dass dies ein Aufruf war, Standards in den Branchen zu schaffen und die Einhaltung dieser Standards zu messen.

Wie diese Standards und Maßnahmen genau aussehen sollen, steht noch nicht fest. Doch es steht viel auf dem Spiel. Ein Beispiel: Der Ransomware-Angriff auf den Softwareanbieter CDK Global, der Softwaredienstleistungen für die Automobilindustrie erbringt, kostete Autohäuser laut einer Schätzung von der Anderson Economic Group, einem Beratungsunternehmen aus East Lansing, Michigan, insgesamt mehr als 1 Milliarde US-Dollar. Opet brachte es so auf den Punkt: „Das Streben nach Marktanteilen auf Kosten der Sicherheit setzt ganze Kundenökosysteme einem erheblichen Risiko aus und wird zu einer nicht tragbaren Situation für das Wirtschaftssystem führen.“

Was können wir daraus unmittelbar mitnehmen? Die Experten von IBM haben aus dem Brief von Opet und der damit verbundenen Debatte drei Handlungsaufforderungen vernommen:

1. Secure by Design: Sicherheit darf nicht erst im Nachhinein bedacht werden. „Die Anbieter müssen der Sicherheit dringend eine neue Priorität einräumen und sie der Markteinführung neuer Produkte gleichstellen“, schrieb Opet. Mark Hughes, IBMs Global Managing Partner für Cybersecurity-Dienste, kündigte diese Haltung in einem aktuellen Cybersicherheitsbericht an: „Unternehmen müssen sich von einer Ad-hoc-Präventionsdenkweise lösen und sich auf proaktive Maßnahmen wie die Modernisierung des Authentifizierungsmanagements, das Schließen von Lücken bei Mehrfaktor-Authentifizierung und Echtzeit-Bedrohungsjagd konzentrieren, um versteckte Bedrohungen zu entdecken, bevor sensible Daten offengelegt werden.“ In einem LinkedIn-Beitrag als Antwort auf Opet’s Brief fordert Hughes Unternehmen auf, Adresse in Technologie und Data Governance zu schließen, „bevor sie zu Einstiegspunkten für Risiken werden“.
2. Standardisierte Kontrollen: SaaS und andere Drittanbieter sollten standardisierte Kontrollen übernehmen und übernehmen, sagt Dinesh Nagarajan von IBM, Partner bei IBM Consulting für Data & AI, Quantum Safe und Application Security Services. Es reiche jedoch nicht aus, einen Standardweg zur Messung von Softwareanbietern zu entwickeln, fügt er hinzu; es sei unerlässlich zu überwachen, „ob sie die erforderlichen Vorgaben und Kontrollen einhalten“. IBM hat bei der Entwicklung branchenweiter Steuerungen für die Cloud mitgewirktund zudem mit Branchenverbänden wie der Cloud Security Alliance zusammengearbeitet, um insbesondere für Finanzinstitute Cloud-Kontrollen zu entwickeln. Aufbauend auf dieser Arbeit erweiterte IBM diesen Ansatz für den Einsatz von generativer KI durch Finanzinstitute und entwickelte ihn gemeinsam mit zehn Banken aus verschiedenen Kontinenten.
3. Governance entlang der gesamten Lieferkette: SaaS-Anbieter und Unternehmen sollten einen ganzheitlichen Ansatz verfolgen, um proaktiv ihre Sicherheit zu steuern und zu verwalten sowie ihre Einhaltung kontinuierlich zu überwachen, sagt Nagaratnam. Eine Möglichkeit dazu besteht darin, dass Organisationen eigene Playbooks für Cybersicherheit entwickeln und betreiben – mit dem Ziel, Risiken zu identifizieren, Risiken zu bewerten und die Auswirkungen von Vorfällen zu mindern. Diese Notfall-Playbooks müssen auch berücksichtigen, wer für bestimmte Maßnahmen verantwortlich ist, wie zum Beispiel, welche Partei für die Sicherung einer generativen KI-Lösung von Dritten verantwortlich ist (und potenziell haftbar). Die Abhängigkeit von Drittanbieterkomponenten erfordert strenge Aufsicht und Kontrolle sowie das Verständnis einer gemeinsamen Verantwortung, sodass Anbieter für die Sicherung des gesamten Softwarestacks verantwortlich sind – nicht nur für ihren Anteil.

Neue Branchentools erscheinen ebenfalls fast jede Woche, um Unternehmen bei Governance und Compliance zu unterstützen. Erst gestern beispielsweise haben Credo AI, eine KI-Governance-Plattform, und IBM gemeinsam den watsonx.governance Compliance Accelerator eingeführt, der Eigentümern von KI-Anwendungsfällen und Compliance-Beauftragten hilft, verschiedene Vorschriften schneller und automatisierter einzuhalten.

Die Verantwortung der einzelnen Unternehmensleiter für die von ihnen verwendete Technologie würde einen großen Beitrag zur Verbesserung der Sicherheit leisten, meint Nagarajan von IBM. „Wenn man Führungskräfte in Unternehmen für die von ihnen eingesetzte Technologie, deren Verwaltung, den Zweck und die Gewährleistung ihrer Sicherheit verantwortlich macht, verbessert sich die Sicherheit automatisch.“