Software-Security-Trends 2024

Angreifer setzen für den Einbau subtiler Schwachstellen in Open Source Software auf GenAI.
Angreifer, die es auf die Software-Lieferkette abgesehen haben, werden GenAI nutzen, um subtile Schwachstellen in Open Source Software-Projekte (OSS) einzubauen. Die Schwachstellen sind dabei so konzipiert, dass sie durch eine menschliche Codeüberprüfung nicht aufgedeckt werden können. Das könnte zu weitreichenden Angriffen auf Software-Lieferketten führen, wenn Unternehmen die kompromittierten OSS-Pakete in ihrer eigenen Software verwenden.

Von generativer KI geschriebener Code führt zu höherer Anfälligkeit.
Im Jahr 2024 ist damit zu rechnen, dass ein von generativer KI geschriebener Code anfälliger ist und von Angreifern in hohem Maße ausgenutzt wird. Insbesondere große Unternehmen dürften dafür ins Visier der Angreifer geraten. Dabei werden Hacker vor allem auf die Offenlegung von Kundendaten abzielen. Die Schwachstelle wird wahrscheinlich eine OS Command Injection oder eine andere Schwachstelle aus den CWE Top 25 sein.

Ransomware-Angreifer setzen börsennotierte Unternehmen zusätzlich mit Meldepflichten unter Druck, um Lösegeld zu erhalten.
Ransomware-Angreifer, die immer auf der Suche nach neuen Erpressungsmustern sind, werden vor allem bei börsennotierten Unternehmen neue Strategien anwenden können und sich die gesetzliche Meldepflicht von Sicherheitsverletzungen zu Nutze machen, um noch mehr Druck auszuüben. Sie könnten die Daten also nicht nur entwenden und dafür Lösegeld verlangen, sondern zusätzlich gestohlene Daten nach außen dringen lassen und damit drohen, die SEC oder andere Aufsichtsbehörden zu benachrichtigen, wenn nicht bezahlt wird. Diese neue Erpressungstaktik setzt vor allem darauf, dass das Opfer gegen behördliche Vorschriften zur Meldung von Sicherheitsverletzungen verstoßen hat. Je nach Wirksamkeit könnte sich diese Strategie in den nächsten Monaten auch andere Arten von gesetzlichen Meldepflichten zu Nutze machen.

DORA (Digital Operational Resilience Act) bringt bestimmte Branchen in Zugzwang.
Die DORA-Verordnung der Europäischen Kommission verpflichtet Finanzunternehmen, Versicherer und Betreiber von kritischen Infrastrukturen sowie IKT-Dienstleister (Informations- und Kommunikations-Technologien) bis Januar 2025 ihre Widerstandsfähigkeit in der IT zu erhöhen. Dementsprechend werden sich ab 2024 viele Unternehmen bemühen, die Vorschriften umzusetzen. DORA schafft im europäischen Raum einen einheitlichen Rahmen zur Minimierung von IT-Risiken und Cyberangriffen. Betroffene Unternehmen sind verpflichtet, kritische IKT-Systeme und -Anwendungen jährlich durch unabhängige Prüfer auf Mängel und Sicherheitslücken überprüfen zu lassen. Schwerwiegende Mängel und Sicherheitsvorfälle müssen künftig umgehend an die zuständigen Aufsichtsbehörden gemeldet werden.

Die Vermeidung von Schwachstellen im Code wird wichtiger als das Finden und Beheben von Schwachstellen im Software-Code.
Vor allem wird der Fokus künftig darauf liegen, dass Schwachstellen nicht in die Code-Basis oder in Quell-Code Repositories gelangen. Dazu wird sich das Cybersecurity-Umfeld in folgenden Bereichen weiterentwickeln:

Prävention: Ziel ist es, zu verhindern, dass Libraries oder vorübergehende Abhängigkeiten, die bekannte Schwachstellen haben, in Open Source Libraries importiert werden. So können Security-Verantwortliche darauf vertrauen, dass durch den Einsatz von Open Source Software nicht neue Schwachstellen entstehen.
Infrastructure-as-Code: Die intelligente Interpretation von Code-Fragmenten und ihrer möglichen negativen Auswirkung auf die Sicherheit ist entscheidend, damit Entwickler Code-Fragmente sicher verwenden können.
Container Images: Ein umfassender und intelligenter Detection-Mechanismus wird entscheidend sein, um den Einsatz von unsicheren Container Images zu verhindern, die zu potenziellen ‚All Access Exploits‘ führen könnten, wenn sie produktiv gehen. Nur künftige Weiterentwicklungen in diese Richtung ermöglichen es Entwicklern, schnell und sicher zu coden.