{"id":25147,"date":"2023-07-31T12:44:18","date_gmt":"2023-07-31T10:44:18","guid":{"rendered":"https:\/\/blog.mi.hdm-stuttgart.de\/?p=25147"},"modified":"2023-07-31T12:46:17","modified_gmt":"2023-07-31T10:46:17","slug":"supply-chain-cybersecurity-wie-schutzt-die-industrie-ihre-digitalen-lieferketten","status":"publish","type":"post","link":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/2023\/07\/31\/supply-chain-cybersecurity-wie-schutzt-die-industrie-ihre-digitalen-lieferketten\/","title":{"rendered":"Supply Chain Cybersecurity – Wie sch\u00fctzt die Industrie ihre digitalen Lieferketten?"},"content":{"rendered":"\n

Lieferketten sind \u00fcber Jahrzehnte hinweg das traditionelle Modell f\u00fcr Angebot und Nachfrage. Sie reichen von der Herstellung von Rohstoffen \u00fcber die Verarbeitung und Produktion bis hin zu Verkauf und Nutzung der Endprodukte. Dieses Lieferkettensystem kann Dienstleistungen f\u00fcr Menschen, Unternehmen und Institutionen in einem relativ sicheren Rahmen erbringen. Durch die Einbindung von technischen Methoden und Software-Komponenten in traditionelle Lieferketten
und den Bedarf, innerhalb einer Kette gro\u00dfe Mengen an Daten zu sammeln, verarbeiten, und zu
analysieren, ist die Informationstechnologie zu einem gro\u00dfen Bestandteil geworden. Allerdings
birgt die Digitalisierung auch neue Herausforderungen, insbesondere im Bereich der Cybersecurity.
Angreifer entwickeln fortlaufend Techniken, um Schwachstellen in Lieferketten auszunutzen, ver-
trauliche Daten zu stehlen und den Ablauf der gesamten Lieferkette und damit allen beteiligten
Akteuren zu st\u00f6ren. Die Sicherheit der digitalen Lieferketten ist daher zu einem entscheidenden
Anliegen f\u00fcr Unternehmen und Organisationen geworden, die ihre Gesch\u00e4ftsprozesse vor Bedro-
hungen sch\u00fctzen m\u00f6chten.<\/p>\n\n\n\n

Die Konsequenzen eines erfolgreichen Cyberangriffs auf ein einzelnes Glied einer Lieferkette
k\u00f6nnen verheerend sein. Unternehmen k\u00f6nnen nicht nur finanzielle Verluste erleiden, sondern
auch ihren Ruf, das Vertrauen ihrer Kunden und letztendlich ihren Marktwert gef\u00e4hrden. Die Liefer-
ketten k\u00f6nnen zusammenbrechen, was zu Produktionsausf\u00e4llen und Lieferverz\u00f6gerungen f\u00fchrt,
die wiederum Auswirkungen auf ganze Branchen haben k\u00f6nnen. Gerade f\u00fcr fortschrittliche und ef-
fiziente Produktionsprozesse ist der st\u00f6rungsfreie Datenaustausch von entscheidender Bedeutung,
Cybersecurity wird damit zunehmend zentraler Faktor f\u00fcr sichere digitale Lieferketten und somit
nachhaltigen Gesch\u00e4ftserfolg.<\/p>\n\n\n\n

In diesem Artiel erl\u00e4utere ich anhand von aktuellen Beispielen aus der IT-Sicherheit, welche
Methoden Angreifer nutzen, um digitale Lieferketten zu manipulieren, welche Technologien essen-
tiell f\u00fcr sichere und effiziente Lieferkettensystems sind, und welche Methoden und Architekturen
implementiert werden k\u00f6nnen, um diese Komponenten effektiv vor Angriffen zu sch\u00fctzen.<\/p>\n\n\n\n

Wie k\u00f6nnen digitale Lieferketten angegriffen werden?<\/h2>\n\n\n\n

Als aktuellstes Beispiel dient der Angriff auf den Cloud-basierten IT-Verwaltungsdiesnt JumpCloud.
Dieser bemerkte am 27. Juni dieses Jahres ungew\u00f6hnliche Aktivit\u00e4ten in einem internen System
und verfolgte diese zu einem Angriff zur\u00fcck, der f\u00fcnf Tage zuvor am 22. Juni stattfand. Weitere
Analysen deckten eine Dateninjektion in das Befehls-Framework des Unternehmens auf. Sie best\u00e4-
tigten zudem den Verdacht, dass der Angriff gezielt auf einzelne Kunden beschr\u00e4nkt war[5]. Der
Angriff wurde von JumpCloud in Verbindung mit einer staatlich unterst\u00fctzten nordkoreanischen
Hacker-Gruppe gebracht. Weitere Untersuchungen bei einer nachgelagerten Opferorganisation,
die infolge des JumpCloud-Eindringens kompromittiert wurde, best\u00e4tigte dies. Die Angreifer hatten
es auf Unternehmen mit Hintergrund in Kryptow\u00e4hrungen abgesehen, um Anmeldeinformationen
und Aufkl\u00e4rungsdaten zu erhalten[8].<\/p>\n\n\n\n

Die Injizierung von b\u00f6sartigen Code in einen Software-Komponenten einer digitalen Lieferkette
ist die g\u00e4ngigste Angriffsart. Laut der European Union Agency for Cybersecurity (ENISA) besteht ein
Angriff auf eine Lieferkette immer aus zwei Teilen. Ein Angriff auf ein m\u00f6glichst schwaches Glied
der Lieferkette (z.B. einen Lieferanten oder Dienstleister) in Kombination mit einem nachfolgenden
Angriff auf das eigentliche Ziel der Operation[14]. Okafor, Schorlemmer, Torres-Arias und Davis
weiten dies auf ein Szenario bestehend aus vier Schritten aus[11]:<\/p>\n\n\n\n

    \n
  1. Kompromittierung<\/strong>: Der Angreifer identifiziert eine Schwachstelle innerhalb der Lieferkette<\/li>\n\n\n\n
  2. Ab\u00e4nderung<\/strong>: Der Angreifer nutzt die gefundene Schwachstelle, um die jeweilige Software zu seinen Gunsten abzu\u00e4ndern<\/li>\n\n\n\n
  3. Ausbreitung<\/strong>: Die vom Angreifer injizierte Ver\u00e4nderung wird auf andere Komponenten und Verbindungen gestreut<\/li>\n\n\n\n
  4. Ausbeutung<\/strong>: Der Angreifer nutzt nun die \u00c4nderungen aus, um an sensible Daten wie z.B. Informationen und Kommunikationen zu gelangen<\/li>\n<\/ol>\n\n\n\n

    Dieses Modell l\u00e4sst sich beispielhaft an der SolarWinds-Kompromittierung veranschaulichen.
    Dort injizierten Angreifer b\u00f6sartigen Code w\u00e4hrend des Build-Prozesses und kompromittierten so
    die bestehende Software des Unternehmens. Wird dieser Angriff auf das 4-stufige Modell abgebildet,
    ist der erste Schritt die Identifikation der Schwachstelle durch den Angreifer, der zweite Schritt die
    Einf\u00fchrung des b\u00f6sartigen Codes durch den Compiler, der dritte Schritt die Ausbreitung \u00fcber das
    komplette Produkt von SolarWinds, das von hochrangigen US-Beh\u00f6rden wie IRS und NASA genutzt wurde, und der vierte und letzte Schritt das Ausnutzen der Sicherheitsl\u00fccke, um die volle Kontrolle
    \u00fcber die betroffenen Rechner zu \u00fcbernehmen[4].<\/p>\n\n\n\n

    \"\"<\/a>
    Veranschaulichung des SolarWinds-Hacks \u00fcber die infizierten SolarWinds Applikationen[10].<\/figcaption><\/figure>\n\n\n\n

    Diese Art von Angriffen ist aber nicht die Einzige. In der heutigen Zeit nutzen digitale Lieferket-
    ten vermehrt Strukturen und Technologien wie das Internet of Things (IoT), Cloud Computing und
    Blockchain-Technologien, um Effizienz und Transparenz zu steigern. Allerdings birgt der Einsatz
    jeder dieser Technologien auch ein potenzielles Risiko, Ziel eines Angriffes zu werden.<\/p>\n\n\n\n

    IoT erm\u00f6glicht die Vernetzung physischer Ger\u00e4te und Sensoren \u00fcber das Internet. Diese Ger\u00e4te
    k\u00f6nnen Informationen in Echtzeit liefern und so die \u00dcberwachung und Steuerung von Prozessen
    in der Lieferkette optimieren. Doch die erh\u00f6hte Anzahl vernetzter Ger\u00e4te erweitert auch die po-
    tenziellen Eintrittspunkte f\u00fcr Angreifer. Nicht vollst\u00e4ndig abgesicherte IoT-Ger\u00e4te innerhalb eines
    Netzwerks sind anf\u00e4llig f\u00fcr Hacking-Angriffe, die die Integrit\u00e4t und Vertraulichkeit des gesamten
    Netzweks untergraben k\u00f6nnen[9].<\/p>\n\n\n\n

    Cloud Computing erm\u00f6glicht den Zugriff auf gemeinsam genutzte Ressourcen \u00fcber das Internet
    und erleichtert die Verarbeitung und Speicherung von Daten in Lieferketten. Allerdings kann eine
    unsachgem\u00e4\u00dfe Konfiguration von Cloud-Diensten zu Datenlecks f\u00fchren, die wiederum die Ver-
    traulichkeit von sensiblen Lieferketteninformationen gef\u00e4hrden. Zudem k\u00f6nnten Angriffe auf die
    Cloud-Infrastruktur eines Unternehmens die Verf\u00fcgbarkeit der Daten beeintr\u00e4chtigen und damit
    die Lieferkettenprozesse beeinflussen[7].<\/p>\n\n\n\n

    \"\"<\/a>
    Einzelnes Glied einer digitalen Lieferkette. Komponenten und Verbindungen werden von
    Akteuren verwaltet und damit auch deren Sicherheit[11].<\/figcaption><\/figure>\n\n\n\n

    Blockchain-Technologien gelten oft als vertrauensw\u00fcrdig und manipulationssicher, da sie auf
    dezentralisierten Konsensmechanismen basieren. Dadurch k\u00f6nnen Lieferketten transparenter
    gestaltet werden. Dennoch kann die vermeintlich sicherste Technologie m\u00f6gliche Schwachstellen
    in der Implementierung aufweisen. Wenn Angreifer z.B. die Mehrheit der Netzwerkknoten einer
    Blockchain kontrollieren, besteht die Gefahr einer sogenannten “51%-Attacke”, bei der die Integrit\u00e4t
    der Blockchain beeintr\u00e4chtigt werden kann und somit die Echtheit von Lieferketteninformationen
    gef\u00e4hrdet ist[15].<\/p>\n\n\n\n

    Sicherheitsanforderungen an digitale Lieferketten<\/h2>\n\n\n\n

    Damit eine digitale Lieferkette als sicher eingestuft werden kann, m\u00fcssen alle Teilkomponenten der
    Kette durch durch Sicherheitsprotokolle oder Frameworks gesch\u00fctzt sein. Angreifer d\u00fcrfen nicht in
    der Lage sein, einzelne Schritte zu kompromittieren, die Lieferkette zu ver\u00e4ndern oder b\u00f6sartigen
    Code in die Lieferkette zu injizieren. Die Anforderungen an eine digitale Lieferkette werden nach
    Zhang, Nakamura und Sakurai wiefolgt zusammengefasst[17]:<\/p>\n\n\n\n

      \n
    1. Damit eine digitale Lieferkette so wirtschaftlich wie m\u00f6glich<\/strong> ist, sollten die Kosten hierf\u00fcr auf ein Minimum gesenkt werden. Das Sammeln und Speichern von Daten durch IoT-Ger\u00e4te oder Kommunikation \u00fcber Cloud-Computing-Server sind zwei Optionen, um Informationen nicht \u00fcber Umwege oder zu vielen Zwischenknoten senden zu m\u00fcssen und somit die Leistung und die Geschwindigkeit des Lieferkettensystems zu optimieren.<\/li>\n\n\n\n
    2. Die R\u00fcckverfolgbarkeit <\/strong>ist ein zentrales Sicherheitselement einer jeden Lieferkette. Produkt-
      und Informationsstatus sollten in Echtzeit verfolgt werden k\u00f6nnen. Eine effektive R\u00fcckver-
      folgbarkeit erm\u00f6glicht es allen Beteiligten der Lieferkette, schnell und flexibel zu koordinieren
      und Entscheidungen vorausschauend zu treffen. Unternehmen und Organisationen k\u00f6nnen
      so ihr gesamtes Transportnetz sowohl kosteng\u00fcnstig als auch effizient verwalten.<\/li>\n\n\n\n
    3. Transparenz<\/strong>: Informationen dar\u00fcber, welche Aktionen zu welchem Zeitpunkt an welchen Orten stattfinden, sollten \u00fcber den gesamten Lebenszyklus der digitalen Lieferkette ermittelt werden k\u00f6nnen. Es erm\u00f6glicht eine Analyse und Verifikation der Datens\u00e4tze und macht den jeweiligen Schritt der Lieferkette f\u00fcr jeden Teilnehmer sichtbar[13].<\/li>\n\n\n\n
    4. Sollten unerwartete Vorf\u00e4lle innerhalb der Lieferkette auftreten, ist es essentiell, die daf\u00fcr
      verantwortlichen Akteure so genau wie m\u00f6glich ausfindig zu machen. Gerade wenn die
      Vermutung aufkommen sollte, dass ein Teil des Systems kompromittiert worden ist, sollte
      erst ausgeschlossen werden k\u00f6nnen, dass einem Teilnehmer der Kette Fehler unterlaufen
      sind, bevor man Ma\u00dfnahmen gegen einen m\u00f6glichen Angriff einleitet. Das komplette Lie-
      ferkettensystem muss mit dieser Rechenschaftspflicht <\/strong>arbeiten, sollte ein Vorfall dieser Art
      geschehen<\/li>\n<\/ol>\n\n\n\n

      Die oben genannten Anforderungen sind Grundbausteine einer Lieferkette, ob digital oder analog.
      In digitalen Lieferketten sind Software-Komponenten der Dreh- und Angelpunkt der Erfassung,
      Weitergabe und Analyse von Daten. Aufgrund der Sensibilit\u00e4t dieser Daten sollten hier zwei weitere
      Anforderungen eingef\u00fchrt werden, um die Sicherheit und Integrit\u00e4t zu gew\u00e4hrleisten.<\/p>\n\n\n\n

        \n
      1. G\u00fcltigkeit<\/strong>: Software-Lieferketten sollten zu jedem Zeitpunkt korrekt sein und verifiziert werden k\u00f6nnen. \u00c4nderungen an Abl\u00e4ufen oder Akteuren innerhalb einer Lieferkette gef\u00e4hrdet die Integrit\u00e4t des gesamten Systems. Vorg\u00e4nge und Artefakte sollten auf G\u00fcltigkeit \u00fcberpr\u00fcft werden k\u00f6nnen und Akteure m\u00fcssen authentifiziert werden, bevor sie einzelne Schritte der Lieferkette beeinflussen. Jeder Akteur hat Zugang zu einer Reihe von Vorg\u00e4ngen, die mit anderen Glieder der Lieferkette interagieren. Diese Vorg\u00e4nge d\u00fcrfen von Angreifen nicht ver\u00e4ndert werden. Deswegen sollten nur autorisierte Akteure Zugang haben und \u00c4nderungen an Verbindungen und Software-Komponenten vornehmen d\u00fcrfen. Eine Erlaubnis zur Ab\u00e4nderungen eines Schrittes sollte zudem immer eingeholt werden[6, 16].<\/li>\n\n\n\n
      2. Trennung<\/strong>: Sichere digitale Lieferketten zeichnen sich durch durch Verbindungen zwischen Software-Komponenten aus, die nur dann bestehen, wenn sie unbedingt notwendig sind. Verbindungen, bei denen dies nicht der Fall ist, sollten so abgeschottet wie m\u00f6glich arbeiten und keinen Einfluss auf benachbarte Verbindungen haben. Dies reduziert die Angriffsfl\u00e4che des Systems auf ein Minimum. Generell gilt: Logisch getrennte Vorg\u00e4nge sollten auch in der praktischen Anwendung getrennt bleiben, sonst entstehen unbeabsichtigte Verbindungen[11]. Eine Trennung kann durch viele Konzepte implementiert werden. Beispiele hierf\u00fcr sind:<\/li>\n<\/ol>\n\n\n\n
          \n
        • Unabh\u00e4ngige Builds<\/li>\n\n\n\n
        • Versionssperren<\/li>\n\n\n\n
        • Containerizing<\/li>\n\n\n\n
        • Klare Schnittstellendefinition<\/li>\n\n\n\n
        • Modulares Design<\/li>\n<\/ul>\n\n\n\n

          Wie k\u00f6nnen die Sicherheitsanforderungen implementiert werden?<\/h2>\n\n\n\n

          Neben den herk\u00f6mmlichen Sicherheitsmechanismen f\u00fcr digitale Produkte und Software sind drei
          Komponenten in digitalen Lieferketten f\u00fcr den schnellen und effektiven Austausch von Daten
          essentiell. Das Internet of Things (IoT), Cloud Computing und Blockchain Technologie. Mit der
          Nutzung dieser Technologien vergr\u00f6\u00dfert sich auch die Angriffsfl\u00e4che und damit das Risiko, dass An-
          greifer sensible Daten rauben oder das komplette System manipulieren. Um sich gegen den Verlust
          von Daten durch Cyberangriffe oder technische Probleme abzusichern, sollten generell regelm\u00e4\u00dfige
          Backups durchgef\u00fchrt werden. Eine gut durchdachte Notfallwiederherstellung und ein Backup-
          Plan stellen sicher, dass die Integrit\u00e4t der digitalen Lieferkette und der darin enthaltenen Daten
          gewahrt bleibt[3]. Im Folgenden werden f\u00fcr die oben genannten Technologien Sicherheitsl\u00f6sungen
          erl\u00e4utert, um das Risiko eines Angriffes auf das System zu minimieren.<\/p>\n\n\n\n

          Internet of Things<\/h3>\n\n\n\n

          Mithilfe einer IoT Technologie wie Radio Frequency Identification (RFID) kann heutzutage eine
          vollst\u00e4ndige R\u00fcckverfolgbarkeit innerhalb einer Lieferkette erreicht werden. Viele Unternehmen
          haben bereits begonnen, die RFID Technologie zur Erhebung von Bestandsinformation und Aktivi-
          t\u00e4tsdaten in Echtzeit zu nutzen[18]. Um den sicheren Einsatz dieser Technologien zu gew\u00e4hrleisten,
          k\u00f6nnen folgende Mechanismen implementiert werden[1]:<\/p>\n\n\n\n

            \n
          • Authentifizierung und Autorisierung<\/strong>: Jedes Ger\u00e4t und jeder Teilnehmer in der Lieferkette
            sollte einen starken Identifikationsmechanismus und Berechtigungen nach dem “least privi-
            lege” Konzept haben, um sicherzustellen, dass nur vertrauensw\u00fcrdige Ger\u00e4te und Benutzer
            auf die Daten zugreifen k\u00f6nnen.<\/li>\n\n\n\n
          • Verschl\u00fcsselung<\/strong>: Daten, die zwischen den IoT-Ger\u00e4ten \u00fcbertragen werden, sollten verschl\u00fcs-
            selt werden, um eine Abh\u00f6rung und Manipulation zu verhindern.<\/li>\n\n\n\n
          • Sicherheits-Updates<\/strong>: Regelm\u00e4\u00dfige und m\u00f6glichst automatisierte Updates der IoT-Ger\u00e4te
            sind entscheidend, um bekannte Schwachstellen zu beheben und die Widerstandsf\u00e4higkeit
            gegen Angriffe zu erh\u00f6hen.<\/li>\n<\/ul>\n\n\n\n

            Cloud Computing<\/h3>\n\n\n\n

            Effiziente und sichere Built-Systeme in einer Cloud sind hochgradig automatisiert und bestehen
            aus Akteuren, die nur spezifisch in ihrem Aufgabenbereich agieren und Informationen austauschen.
            Dies minimiert unn\u00f6tige \u00dcberschneidungen zwischen logisch getrennten Vorg\u00e4ngen und damit auch die internen Verbindungen innerhalb einer Cloud-Umgebung. Eine strikte Netzwerksegmen-
            tierung in der Cloud-Umgebung sorgt daf\u00fcr, dass verschiedene Anwendungen und Dienste vonein-
            ander isoliert sind. Dadurch wird verhindert, dass ein erfolgreicher Angriff auf eine Komponente
            die gesamte Cloud-Umgebung gef\u00e4hrdet. Notwendige Verbindungen au\u00dferhalb der Cloud m\u00fcssen
            gesichert sein und kontinuierlich auf verd\u00e4chtige Aktivit\u00e4ten \u00fcberwacht werden. Die Implementie-
            rung von Multi-Faktor-Authentifizierung erh\u00f6ht die Sicherheit erheblich, da sie eine zus\u00e4tzliche
            Sicherheitsebene f\u00fcr den Zugriff auf Cloud-Ressourcen bietet. Regelm\u00e4\u00dfige Sicherheitsaudits und
            Penetrationstests helfen dabei, potenzielle Schwachstellen in der Cloud-Umgebung aufzudecken
            und zu beheben. Dadurch k\u00f6nnen Sicherheitsl\u00fccken geschlossen und die Widerstandsf\u00e4higkeit ge-
            gen\u00fcber Angriffen gest\u00e4rkt werden. Eine umfassende Sicherheits\u00fcberwachung und Protokollierung
            sind entscheidend, um potenzielle Sicherheitsvorf\u00e4lle oder verd\u00e4chtige Aktivit\u00e4ten fr\u00fchzeitig zu
            erkennen und umgehend von herk\u00f6mmlichen Aktivit\u00e4ten trennen zu k\u00f6nnen. Durch die Analyse
            dieser Protokolldaten k\u00f6nnen zudem Anomalien und fr\u00fchzeitig erkannt und abgewehrt werden.
            Vergleichbar mit dem Einsatz der IoT Technologie ist das Identit\u00e4ts- und Zugriffsmanagement (IAM)
            ist ein grundlegender Sicherheitsmechanismus, der sicherstellt, dass nur autorisierte Benutzer
            Zugriff auf Cloud-Ressourcen haben. Es beinhaltet die Verwaltung von Benutzeridentit\u00e4ten, Rollen
            und Berechtigungen. Eine sorgf\u00e4ltige Konfiguration von IAM ist unerl\u00e4sslich, um sicherzustellen,
            dass Unbefugte keinen Zugriff auf sensible Daten oder Ressourcen erlangen k\u00f6nnen[12].<\/p>\n\n\n\n

            Blockchain<\/h3>\n\n\n\n

            Die Blockchain-Technologie kann dazu beitragen, die digitale Lieferkette sicherer zu gestalten,
            indem sie Transparenz, Integrit\u00e4t und Vertrauensw\u00fcrdigkeit f\u00f6rdert. Die Wahl des richtigen Kon-
            sensmechanismus ist hierbei entscheidend f\u00fcr die Sicherheit einer Blockchain. Mechanismen wie
            Proof-of-Work (PoW) oder Proof-of-Stake (PoS) stellen sicher, dass eine Mehrheit der Teilnehmer
            eine Transaktion validieren muss, bevor sie in die Blockchain aufgenommen wird. Dadurch wird das
            Risiko von Manipulationen und Angriffen durch eine kleine Gruppe von Angreifern verringert. Die
            Daten, die in der Blockchain gespeichert werden, sollten verschl\u00fcsselt sein, um sie vor unbefugtem
            Zugriff zu sch\u00fctzen. Sowohl die Transaktionsdaten als auch die Identit\u00e4ten der Teilnehmer des
            Lieferkettensystems k\u00f6nnen verschl\u00fcsselt werden. Wie auch bei den oben genannten Technolo-
            gien sind Identit\u00e4tsmanagement, Zugriffsrechte und Netzwerksicherheit f\u00fcr die Sicherheit der
            Blockchain von entscheidender Bedeutung[2].<\/p>\n\n\n\n

            Fazit und Ausblick<\/h2>\n\n\n\n

            Sowohl der j\u00fcngste Angriff auf JumpCloud sowie SolarWinds und \u00e4hnliche Vorf\u00e4lle geben uns
            wertvolle Lehren f\u00fcr die Zukunft. Unternehmen m\u00fcssen ihre digitalen Lieferketten stetig weiterent-
            wickeln und auf potenzielle Sicherheitsl\u00fccken hin untersuchen. Die Zusammenarbeit zwischen
            den verschiedenen Akteuren in einer Lieferkette wird zunehmend wichtiger, da ein starker Fokus
            auf die Sicherheit aller Mitglieder der Lieferkette gelegt werden muss.<\/p>\n\n\n\n

            Die Implementierung von Technologien wie maschinellem Lernen und k\u00fcnstlicher Intelligenz
            in Sicherheitsl\u00f6sungen kann in zuk\u00fcnftig vermehrt dazu beitragen, Angriffe fr\u00fchzeitig zu erkennen
            und besser auf Bedrohungen zu reagieren. Proaktive Sicherheitsma\u00dfnahmen, regelm\u00e4\u00dfige Sicher-
            heitsaudits und ein Bewusstsein f\u00fcr aktuelle Cyberbedrohungen sind unerl\u00e4sslich, um digitale
            Lieferketten widerstandsf\u00e4higer und sicherer zu machen.<\/p>\n\n\n\n

            Zusammenfassend ist es von entscheidender Bedeutung, dass Unternehmen und Organisatio-
            nen die Sicherheit ihrer digitalen Lieferketten ernst nehmen und kontinuierlich in fortschrittliche
            Sicherheitstechnologien und -praktiken investieren. Nur durch ein ganzheitliches Sicherheitskon-
            zept und eine kooperative Herangehensweise k\u00f6nnen die Herausforderungen der Cybersecurity in
            digitalen Lieferketten effektiv bew\u00e4ltigt und den Schutz der Gesch\u00e4ftsprozesse und vertraulicher
            Daten gew\u00e4hrleistet werden.<\/p>\n\n\n\n

            Literaturverzeichnis<\/h3>\n\n\n\n
            [1]<\/td>Maroua Ahmid und Okba Kazar. \u201cA Comprehensive Review of the Internet of Things Security\u201d.
            In: Journal of Applied Security Research (28. Aug. 2021). DOI: 10.1080\/19361610.2021.
            1962677.<\/td><\/tr>
            [2]<\/td>Nicola Atzei, Massimo Bartoletti und Tiziana Cimoli. A survey of attacks on Ethereum smart
            contracts. URL: https:\/\/eprint.iacr.org\/undefined\/undefined (besucht am 28. 07. 2023).<\/td><\/tr>
            [3]<\/td>Building Secure and Reliable Systems. URL: https : \/ \/ google . github . io \/ building –
            secure-and-reliable-systems\/raw\/toc.html (besucht am 28. 07. 2023).<\/td><\/tr>
            [4]<\/td>Customer Guidance on Recent Nation-State Cyber Attacks | MSRC Blog | Microsoft Security Re-
            sponse Center. URL: https:\/\/msrc.microsoft.com\/blog\/2020\/12\/customer-guidance-
            on-recent-nation-state-cyber-attacks\/ (besucht am 24. 07. 2023).<\/td><\/tr>
            [5]<\/td>Cyber-Angriff auf JumpCloud \u2013 Die Spur f\u00fchrt nach Nordkorea – Onlineportal von IT Ma-
            nagement. Section: Cybercrime. 24. Juli 2023. URL: https : \/ \/ www . it – daily . net \/ it –
            sicherheit\/cybercrime\/cyber- angriff- auf- jumpcloud- die- spur- fuehrt- nach-
            nordkorea (besucht am 24. 07. 2023).<\/td><\/tr>
            [6]<\/td>Mike Ensor und Drew Stevens. \u201cShifting left on security\u201d. In: ().<\/td><\/tr>
            [7]<\/td>Jaydip Kumar. \u201cCloud Computing Security Issues and Its Challenges: A Comprehensive
            Research\u201d. In: International Journal of Recent Technology and Engineering 8 (1. Mai 2019),
            S. 10\u201314.<\/td><\/tr>
            [8]<\/td>Helga Labus. North Korean hackers targeted tech companies through JumpCloud and GitHub.
            Help Net Security. 21. Juli 2023. URL: https:\/\/www.helpnetsecurity.com\/2023\/07\/21\/
            north-korean-hackers-github\/ (besucht am 24. 07. 2023).<\/td><\/tr>
            [9]<\/td>In Lee und Kyoochun Lee. \u201cThe Internet of Things (IoT): Applications, investments, and
            challenges for enterprises\u201d. In: Business Horizons 58.4 (Juli 2015), S. 431\u2013440. ISSN: 00076813.
            DOI: 10 . 1016 \/ j . bushor . 2015 . 03 . 008. URL: https : \/ \/ linkinghub . elsevier . com \/
            retrieve\/pii\/S0007681315000373 (besucht am 24. 07. 2023).<\/td><\/tr>
            [10]<\/td>Microsoft, FireEye confirm SolarWinds supply chain attack. ZDNET. URL: https : \/ \/ www .
            zdnet . com \/ article \/ microsoft – fireeye – confirm – solarwinds – supply – chain –
            attack\/ (besucht am 24. 07. 2023).<\/td><\/tr>
            [11]<\/td>Chinenye Okafor u. a. \u201cSoK: Analysis of Software Supply Chain Security by Establishing
            Secure Design Properties\u201d. In: Proceedings of the 2022 ACM Workshop on Software Supply
            Chain Offensive Research and Ecosystem Defenses. CCS \u201922: 2022 ACM SIGSAC Conference on
            Computer and Communications Security. Los Angeles CA USA: ACM, 11. Nov. 2022, S. 15\u201324.
            ISBN: 978-1-4503-9885-5. DOI: 10.1145\/3560835.3564556. URL: https:\/\/dl.acm.org\/
            doi\/10.1145\/3560835.3564556 (besucht am 24. 07. 2023).<\/td><\/tr>
            [12]<\/td>Thomas Ristenpart u. a. \u201cHey, you, get off of my cloud: exploring information leakage in
            third-party compute clouds\u201d. In: Proceedings of the 16th ACM conference on Computer and
            communications security. CCS \u201909. New York, NY, USA: Association for Computing Machinery,
            9. Nov. 2009, S. 199\u2013212. ISBN: 978-1-60558-894-0. DOI: 10.1145\/1653662.1653687. URL:
            https:\/\/doi.org\/10.1145\/1653662.1653687 (besucht am 28. 07. 2023).<\/td><\/tr>
            [13]<\/td>Theresa Sobb, Benjamin Turnbull und Nour Moustafa. \u201cSupply Chain 4.0: A Survey of Cyber
            Security Challenges, Solutions and Future Directions\u201d. In: Electronics 9.11 (Nov. 2020). Num-
            ber: 11 Publisher: Multidisciplinary Digital Publishing Institute, S. 1864. ISSN: 2079-9292. DOI:
            10.3390\/electronics9111864. URL: https:\/\/www.mdpi.com\/2079-9292\/9\/11\/1864
            (besucht am 24. 07. 2023).<\/td><\/tr>
            [14]<\/td>Threat Landscape for Supply Chain Attacks. ENISA. URL: https:\/\/www.enisa.europa.
            eu \/ publications \/ threat – landscape – for – supply – chain – attacks (besucht am
            24. 07. 2023).<\/td><\/tr>
            [15]<\/td>Congcong Ye u. a. \u201cAnalysis of Security in Blockchain: Case Study in 51%-Attack Detecting\u201d.
            In: 2018 5th International Conference on Dependable Systems and Their Applications (DSA).
            2018 5th International Conference on Dependable Systems and Their Applications (DSA).
            Sep. 2018, S. 15\u201324. DOI: 10.1109\/DSA.2018.00015.<\/td><\/tr>
            [16]<\/td>Nusrat Zahan u. a. \u201cWhat are Weak Links in the npm Supply Chain?\u201d In: Proceedings of the
            44th International Conference on Software Engineering: Software Engineering in Practice.
            21. Mai 2022, S. 331\u2013340. DOI: 10.1145\/3510457.3513044. arXiv: 2112.10165[cs]. URL:
            http:\/\/arxiv.org\/abs\/2112.10165 (besucht am 27. 07. 2023).<\/td><\/tr>
            [17]<\/td>Haibo Zhang, Toru Nakamura und Kouichi Sakurai. \u201cSecurity and Trust Issues on Digital
            Supply Chain\u201d. In: 2019 IEEE Intl Conf on Dependable, Autonomic and Secure Computing, Intl
            Conf on Pervasive Intelligence and Computing, Intl Conf on Cloud and Big Data Computing,
            Intl Conf on Cyber Science and Technology Congress (DASC\/PiCom\/CBDCom\/CyberSciTech).
            2019 IEEE Intl Conf on Dependable, Autonomic and Secure Computing, Intl Conf on Pervasive
            Intelligence and Computing, Intl Conf on Cloud and Big Data Computing, Intl Conf on Cyber Science and Technology Congress (DASC\/PiCom\/CBDCom\/CyberSciTech). Aug. 2019, S. 338\u2013
            343. DOI: 10.1109\/DASC\/PiCom\/CBDCom\/CyberSciTech.2019.00069.<\/td><\/tr>
            [18]<\/td>Wei Zhou und Selwyn Piramuthu. \u201cIoT and Supply Chain Traceability\u201d. In: Communications
            in Computer and Information Science. Bd. 523. 11. Juni 2015, S. 156\u2013165. ISBN: 978-3-319-
            19209-3. DOI: 10.1007\/978-3-319-19210-9_11.<\/td><\/tr><\/tbody><\/table><\/figure>\n","protected":false},"excerpt":{"rendered":"

            Lieferketten sind \u00fcber Jahrzehnte hinweg das traditionelle Modell f\u00fcr Angebot und Nachfrage. Sie reichen von der Herstellung von Rohstoffen \u00fcber die Verarbeitung und Produktion bis hin zu Verkauf und Nutzung der Endprodukte. Dieses Lieferkettensystem kann Dienstleistungen f\u00fcr Menschen, Unternehmen und Institutionen in einem relativ sicheren Rahmen erbringen. Durch die Einbindung von technischen Methoden und Software-Komponenten […]<\/p>\n","protected":false},"author":1160,"featured_media":25155,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[1,26],"tags":[58,27],"ppma_author":[947],"class_list":["post-25147","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-allgemein","category-secure-systems","tag-secure-systems","tag-security"],"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2023\/07\/supply_chain_cybersecurity_banner.jpg","jetpack-related-posts":[{"id":26850,"url":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/2025\/02\/21\/schutz-vor-staatlichen-cyberangriffen\/","url_meta":{"origin":25147,"position":0},"title":"Schutz vor staatlichen Cyberangriffen","author":"Marcel Willie","date":"21. February 2025","format":false,"excerpt":"Cyberangriffe sind heute ein zentrales Instrument staatlicher Akteure. Stuxnet, SolarWinds, Vault7 oder XZ-Utils sind nur ein paar der popul\u00e4ren F\u00e4lle, bei denen kritische Infrastrukturen, Unternehmen und Regierungsbeh\u00f6rden im Visier standen. Doch wie kann man sich vor dieser Bedrohung sch\u00fctzen? Warum klassische Schutzma\u00dfnahmen nicht ausreichen Firewalls, Antivirus-Software und regelm\u00e4\u00dfige Updates sind\u2026","rel":"","context":"In "Allgemein"","block_context":{"text":"Allgemein","link":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/category\/allgemein\/"},"img":{"alt_text":"","src":"","width":0,"height":0},"classes":[]},{"id":20446,"url":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/2021\/08\/14\/supply-chain-attacks\/","url_meta":{"origin":25147,"position":1},"title":"Supply Chain Attacks – Die Lieferkette schl\u00e4gt zur\u00fcck","author":"Verena Eichinger","date":"14. August 2021","format":false,"excerpt":"ein Artikel von Verena Eichinger, Amelie Kassner und Elisa Zeller Nach SolarWinds schafft es eine neue Schlagzeile aus der IT-Welt in den Massenmedien ihre Kreise zu ziehen. \u00dcber 500 Superm\u00e4rkte in Schweden mussten wegen eines Cyberangriffs schlie\u00dfen. Wie bereits bei SolarWinds handelt es sich auch hier um eine Supply Chain\u2026","rel":"","context":"In "Allgemein"","block_context":{"text":"Allgemein","link":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/category\/allgemein\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2021\/08\/titelbild-1.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2021\/08\/titelbild-1.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2021\/08\/titelbild-1.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2021\/08\/titelbild-1.png?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2021\/08\/titelbild-1.png?resize=1050%2C600&ssl=1 3x, https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2021\/08\/titelbild-1.png?resize=1400%2C800&ssl=1 4x"},"classes":[]},{"id":27382,"url":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/2025\/02\/27\/tools-zur-automatischen-erstellung-von-software-bill-of-materials-sbom\/","url_meta":{"origin":25147,"position":2},"title":"Tools zur automatischen Erstellung von Software Bill of Materials (SBOM)","author":"Dorina Sobiecki","date":"27. February 2025","format":false,"excerpt":"Anmerkung: Dieser Blogpost wurde f\u00fcr das Modul Enterprise IT (113601a) verfasst. 1. Einleitung Die fortschreitende Digitalisierung und die zunehmende Vernetzung von Softwaresystemen haben Cybersicherheit zu einem zentralen Thema f\u00fcr Unternehmen, Beh\u00f6rden und Endnutzer gemacht. Transparenz \u00fcber die eingesetzten Softwarekomponenten ist dabei essenziell, um Sicherheitsl\u00fccken zu identifizieren und regulatorische Anforderungen zu\u2026","rel":"","context":"In "Allgemein"","block_context":{"text":"Allgemein","link":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/category\/allgemein\/"},"img":{"alt_text":"","src":"","width":0,"height":0},"classes":[]},{"id":28501,"url":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/2026\/02\/20\/integration-von-ki-in-devops-ein-uberblick-uber-aiops-prinzipien-und-praktiken\/","url_meta":{"origin":25147,"position":3},"title":"Integration von KI in DevOps: Ein \u00dcberblick \u00fcber AIOps-Prinzipien und -Praktiken","author":"Leonard Lais\u00e9","date":"20. February 2026","format":false,"excerpt":"Abstract \u2014 Die zunehmende Komplexit\u00e4t cloud-nativer Architekturen und die exponentielle Zunahme von Telemetriedaten \u00fcbersteigen die Kapazit\u00e4t manueller Betriebsprozesse und erfordern eine intelligente Automatisierung des IT-Betriebs. Die vorliegende Arbeit bietet einen umfassenden \u00dcberblick \u00fcber AIOps (Artificial Intelligence for IT Operations) und analysiert systematisch den aktuellen Forschungsstand entlang des Incident-Lifecycles. Ausgehend von\u2026","rel":"","context":"In "Allgemein"","block_context":{"text":"Allgemein","link":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/category\/allgemein\/"},"img":{"alt_text":"","src":"","width":0,"height":0},"classes":[]},{"id":25182,"url":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/2023\/08\/01\/e-health-die-losung-fur-das-deutsche-gesundheitssystem\/","url_meta":{"origin":25147,"position":4},"title":"E-Health: Die L\u00f6sung f\u00fcr das deutsche Gesundheitssystem?","author":"Franz Schmidberger","date":"1. August 2023","format":false,"excerpt":"Willkommen im deutschen Gesundheitswesen, das f\u00fcr seine Effizienz und qualitativ hochwertige Versorgung bekannt ist. In Deutschland basiert die Krankenversicherung auf dem solidarischen Prinzip, bei dem jeder in die Versicherung einzahlt, um im Krankheitsfall abgesichert zu sein. Allerdings gibt es auch Herausforderungen, wie lange Wartezeiten f\u00fcr bestimmte Fach\u00e4rzte oder die Bew\u00e4ltigung\u2026","rel":"","context":"In "Allgemein"","block_context":{"text":"Allgemein","link":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/category\/allgemein\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2023\/08\/e_health.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2023\/08\/e_health.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2023\/08\/e_health.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2023\/08\/e_health.png?resize=700%2C400&ssl=1 2x"},"classes":[]},{"id":12835,"url":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/2021\/03\/07\/sensor-fusion\/","url_meta":{"origin":25147,"position":5},"title":"Sensor Fusion","author":"Konstantin Rosenberg","date":"7. March 2021","format":false,"excerpt":"Geschrieben von Konstantin Rosenberg Einleitung Stell dir vor du f\u00e4hrst in deinem autonom Fahrenden Auto die Stra\u00dfe entlang. Pl\u00f6tzlich erscheint, hinter einem parkenden Auto, ein Fu\u00dfg\u00e4nger und tritt direkt vor dir auf die Fahrbahn. Du erschrickst, doch das Auto kommt elegant vor dem unachtsamen Spazierg\u00e4nger zu stehen. W\u00e4hrend du dir\u2026","rel":"","context":"In "Allgemein"","block_context":{"text":"Allgemein","link":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/category\/allgemein\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2021\/03\/image-5.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2021\/03\/image-5.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2021\/03\/image-5.png?resize=525%2C300&ssl=1 1.5x"},"classes":[]}],"jetpack_sharing_enabled":true,"authors":[{"term_id":947,"user_id":1160,"is_guest":0,"slug":"japhet-noah-horst_manuschewski","display_name":"Japhet Noah Horst Manuschewski","avatar_url":"https:\/\/secure.gravatar.com\/avatar\/ae8c09673d9a4c8786dcec66fe5340c524a9a2e8115814b00977eae4a9afe958?s=96&d=mm&r=g","0":null,"1":"","2":"","3":"","4":"","5":"","6":"","7":"","8":""}],"_links":{"self":[{"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/posts\/25147","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/users\/1160"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/comments?post=25147"}],"version-history":[{"count":6,"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/posts\/25147\/revisions"}],"predecessor-version":[{"id":25159,"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/posts\/25147\/revisions\/25159"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/media\/25155"}],"wp:attachment":[{"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/media?parent=25147"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/categories?post=25147"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/tags?post=25147"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/ppma_author?post=25147"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}