Regulierung vs. Realität: Berechtigungen in den Lieferketten werden zum kritischen Einfallstor.
Regulierung schützt nicht vor Angriffen mit kompromittierten Identitäten und Zugangsdaten – Identitätssicherheit hingegen schon. Exemplarische Vorfälle im Juni, wie bei der V-Bank, bei dem Hacker über einen IT-Dienstleister Zugriff auf Systeme erlangten und einen Datenabfluss verursachten, oder das Datenleck bei LastPass, das durch eine Schwachstelle bei einem Drittanbieter ausgenutzt wurde, zeigen exemplarisch eine bittere Wahrheit: Selbst in hochregulierten Märkten oder im Umfeld der IT-Sicherheit sind digitale Identitäten und Zugangsdaten das schwächste Glied der Sicherheitskette.
Zusammenfassung (TL; DR):
- Die Sicherheitsvorfälle bei der V-Bank und LastPass belegen, dass gesetzliche Regulierungen keinen Schutz in den Lieferketten bieten. Das Problem: Kompromittierung digitaler Identitäten und Zugangsdaten über unzureichend geschützte Drittanbieter.
- Um diese wachsende Angriffsfläche in der Lieferkette zu kontrollieren, müssen Unternehmen das Least-Privilege-Prinzip konsequent über den eigenen Perimeter hinaus anwenden. So schaffen sie eine lückenlose Transparenz über alle externen Berechtigungen.
- Im Ernstfall entscheidet dann ein flexibles IAM-System über die Schadenshöhe, indem es kompromittierte Zugänge von Dienstleistern im Idealfall vollautomatisch und systemübergreifend blockiert.
Dass die Angriffe über vermutlich zu gering geschützte Drittanbieter erfolgten, verdeutlicht, wie schnell die Angriffsfläche wächst. Es zeigt auch, wie wenig Kontrolle viele Organisationen in den Lieferketten über ihre eigenen digitalen Identitäten und Zugriffe haben.
Regulierung allein garantiert keine Sicherheit der Lieferketten
Regulierung allein garantiert keine Sicherheit, wenn mangelnde Souveränität über digitale Identitäten das eigentliche Problem darstellt. Zwei Aspekte sind entscheidend: Prävention und Schadenseingrenzung. Prävention entsteht durch ein modernes Identitäts- und Zugangsmanagement, beispielsweise mit einem Identity und Access Management (IAM). Damit erhalten Unternehmen Transparenz darüber, welche Identitäten welche Berechtigungen besitzen und wie diese genutzt werden. In diesem Zusammenhang ist die Strategie der geringstmöglichen Zugriffsrechte eine erprobte Vorgehensweise, um Angriffe – auch über die Softwarelieferkette und über Drittanbieter _– zu reduzieren. Zudem muss ein solches System Sicherheitsmechanismen wie die Passkeys oder Multi-Faktor-Authentifizierung so unterstützen, dass sie sowohl für den Administrator als auch für den Benutzer einfach und bequem um- und einzusetzen ist. Das erfordert von der Lösung einen hohen Funktionsumfang und vor allem eine hohe Flexibilität. Denn für den wirkungsvollen Einsatz, muss sich die Lösung an der Struktur des Unternehmens orientieren und nicht umgekehrt. Eine moderne IAM-Plattform auf Basis offener Standards schafft hierfür die notwendige Flexibilität.
Tritt dennoch der Ernstfall ein, ist die Schadensbegrenzung das A&O – insbesondere, wenn die Schwachstelle bei einem externen Geschäftspartner liegt. Im Falle eines Angriffs über Software-Lieferketten ist es entscheidend, wie schnell ein externer Dienst, Zugang oder Anwender – im Idealfall automatisiert – gesperrt werden kann. Auch hier bietet ein modernes Access Management den entscheidenden Schlüssel, um die Eindringlinge sofort und über alle Systeme hinweg auszusperren. Damit lassen sich Schäden geringhalten oder sogar vermeiden.
Nicht mehr Compliance-Vorgaben
Unternehmen und Organisationen brauchen nicht mehr Compliance-Vorgaben. Vielmehr benötigen sie erprobte technologische Lösungen, die Identitäten und damit Zugänge zu den Systemen von Grund auf schützen. Angriffe, wie beispielsweise auf die V-Bank, zeigen, dass die digitale Lieferkette die Angriffsfläche erheblich erweitert. Organisationen müssen die Identitätssicherheit nicht nur für die interne Infrastruktur, sondern über den eigenen Perimeter hinaus sicherstellen.



