TIA-CEO: Supply-Chain-Standard zeigt, dass das FBI nicht mit harter Hand vorgehen muss

Cyber Security News

Kürzlich wurde die Welt mit dem Supply-Chain-Risiko konfrontiert, als nationalstaatliche Hacker über die Server von SolarWinds und andere Angriffsvektoren sowohl in die Regierung als auch in Unternehmen eindrangen. Aber Kontroversen in der Lieferkette sind nichts Neues für die Telekommunikationsbranche, die durch die Debatten um Huawei abgehärtet ist.

Die Telecommunication Industry Association (TIA), eine Industriegruppe und ein Standardisierungsgremium, hat kürzlich ein vorläufiges Whitepaper über die Bemühungen zur Entwicklung eines Lieferkettenstandards für Informations- und Kommunikationstechnologie (ICT) veröffentlicht. SC Media sprach mit dem CEO der TIA, David Stehlin, über die Risiken und wie ein entstehender Standard diese vereiteln könnte.

Wie geht die TIA an einen Supply-Chain-Standard heran?

Stehlin: Wir erkennen, dass Sicherheit eine Teilmenge von Qualität ist. Man kann kein Qualitätsprodukt, keine Lösung und keine Dienstleistung haben, wenn man kein eingebautes Vertrauen und keine eingebaute Sicherheit hat. Aber es gab keinen ICT-spezifischen, messbaren Standard für Sicherheit.

Wir haben das Thema aus einer Qualitätsperspektive betrachtet, uns die Landschaft der verschiedenen Sicherheitsstandards angesehen und erkannt, was für ein sicherheitsorientiertes Qualitätsmanagementsystem benötigt wird, das die gesamte Lieferkette ganzheitlich betrachtet, um zu beweisen und zu verifizieren, dass die Lösung vertrauenswürdig ist. Wir nennen es “Supply Chain Security 9001”.

Mit der SolarWinds-Kampagne und den Schwachstellen in Exchange Server waren die letzten Wochen für die Lieferkette und das Risiko von Drittanbietern sehr interessant. Aber die Probleme in der Lieferkette haben sich schon früher in der Telekommunikation und ICT zugespitzt, zum Beispiel bei Huawei. Was war der Grund für die Bemühungen um Standards?

Ich habe 35 Jahre in der Telekommunikation verbracht. Ich weiß und habe gesehen, wie allgegenwärtig unsere Netzwerke werden. Die Reichweite reicht nicht mehr nur von Ihrem Mobiltelefon zu einem anderen Telefon oder von Ihrem kabelgebundenen Telefon nach innen; es ist völlig durchdringend durch das Internet mit IoT-Geräten, die Geräte in Ihrem Haus und in Unternehmen verwalten. Es ist alles miteinander verbunden. Das Risiko ist also exponentiell angestiegen. Das ist die Nummer eins.

Zweitens, die Netzwerke sind viel softwaregesteuerter geworden. Das birgt ein enormes Risiko. Zu dieser Entwicklung hin zu softwaregesteuerten Netzwerken kommt noch hinzu, dass ein Großteil der Software Open Source ist. Tatsächlich verwenden weit über 90 % aller Lösungen ein gewisses Maß an Open-Source-Software. Wie wird das verwaltet und kontrolliert, wie stellen Sie sicher, dass niemand ein Upgrade oder ein Update durchführt, das nicht im Voraus genehmigt wurde? Wenn Sie ein Käufer dieser Dienste sind, egal ob Sie ein Unternehmen oder sogar ein Verbraucher sind, müssen Sie diese Dinge wissen.

Im vierten Quartal 2019 haben wir unsere erste Landschaftsanalyse durchgeführt. Und dann haben wir das Team Anfang 2020 zusammengebracht. Und so haben wir in den letzten 15 Monaten oder so an dem Standard gearbeitet. Im ersten Quartal 2020 haben wir unser erstes Whitepaper zu diesem Thema herausgegeben, in dem wir sagten, dass ein Standard benötigt wird. Das war sozusagen ein Aufruf zum Handeln für die Branche. Seitdem ist das Team deutlich gewachsen. Damals sagten wir, dass wir etwa 18 Monate brauchen würden, um diese Sache fertigzustellen. Wir denken, dass wir bis zum Ende des dritten Quartals die erste allgemein verfügbare Version dieses Standards haben werden.

Wir wussten, dass es schnell gehen musste. Diese jüngsten Probleme haben uns nicht angespornt, noch schneller zu werden. Sie bekräftigen nur den Punkt, dass es einen Standard für die Sicherheit der Lieferkette in der ICT-Branche geben muss.

Wir sind jetzt in einem Stadium, in dem der Entwurf in den nächsten drei Monaten oder so geschrieben wird, wir werden Piloten mit einer Reihe von verschiedenen Unternehmen starten, und dann haben wir die erste allgemein verfügbare Version.

Es ist interessant, dass Sie erwähnen, wie wichtig Software ist, denn die Fragen der Lieferkette in der IKT werden oft in Bezug auf die Hardware gestellt.

Hardware, wenn sie entwickelt wird, braucht viel Zeit. Software kann schnell und viel einfacher geändert werden, wodurch viele großartige neue Dienste und Anwendungen entstehen. Da Netzwerke immer softwaregesteuerter werden – was aus Sicht der Funktionen fantastisch ist – müssen wir das Risiko angehen.

Die FCC hat zum Beispiel das so genannte Open RAN sehr unterstützt. Und die Absicht, die damit verfolgt wird, ist auf hohem Niveau gut, da sie mehr Anbieter für drahtlose Netzwerke schaffen will. Heute sind die Anbieter von drahtlosen Netzwerken nicht in den USA ansässig. Die befreundeten sind Samsung, Nokia und Ericsson und dann haben Sie natürlich Huawei am anderen Ende, die den RAN-Standard verwenden. Aber wenn man eine Open-Source-Version, OpenRAN, hat, können auch andere Anbieter einen Teil des Netzwerks bereitstellen. Es ist großartig, mehr Wettbewerb durch US-Unternehmen zu schaffen, aber nicht so gut, wenn man sich nicht um die Sicherheitsprobleme gekümmert hat.

Was können wir also vom Lieferkettenstandard erwarten, wenn er sich weiterentwickelt?

In dem neuen Whitepaper geht es um die Definition von Sicherheitsmaßnahmen und Sicherheitsdomänenkontrollen sowie um Dinge wie Zero Trust und Provenance, also die Frage, woher die Hardware kommt. Auf der Chip-Seite gibt es eine Menge Probleme mit Piraterie und gefälschten Chips. Es geht also darum, diese Dinge zu verstehen, ebenso wie die Software und das Management der Schwachstellen.

Unser wichtigster Schritt ist es, eine externe Zertifizierungsstelle einzuschalten, die Ihr Produkt oder Ihre Lösung im Vergleich zum Standard bewertet. Diese Zertifizierungsstelle kommt zu Ihnen, führt eine Analyse durch und gibt Ihnen die Note “bestanden” oder “nicht bestanden”. Es handelt sich also nicht um einen Standard mit einem Reifegradmodell. Es ist einer, bei dem man einen Standard bestehen muss. Der Grundgedanke ist, dass Vertrauen verifiziert werden muss, man kann es nicht voraussetzen. Man muss Vertrauen verifizieren, bevor man Vertrauen hat.

Und was wir dann tun, ist, dass wir die Daten anonymisiert in eine Datenbank einspeisen, so dass Sie Ihre Leistung im Vergleich zu anderen, die evaluiert wurden, bewerten und messen können. Und das machen wir schon seit 20 Jahren mit dem Qualitätsmanagementsystem für ISO 9000.

Gibt es irgendwelche Streitpunkte, die noch diskutiert werden?

Die einzigen Probleme, die im Moment diskutiert werden, sind die Sicherstellung, dass es ein praktikabler Standard ist. Eines der Probleme, die manchmal auftauchen, ist, dass ein Standard so überwältigend sein kann, dass er nicht praktikabel ist. Deshalb wollten wir ihn für unsere Branche relevant machen, so dass er wirklich an den aktuellen Gegebenheiten gemessen werden kann und kein allgemeiner Standard ist.

Sowohl bei Huawei als auch bei SolarWinds hat die Regierung häufig angedeutet, dass sie mit eigenen Regulierungsmaßnahmen in die Lieferkette eingreifen könnte. Warum ist es für die Branche wichtig zu zeigen, dass sie einen Lieferkettenstandard selbständig handhaben kann?

Es ist wirklich wichtig, dass die Industrie der Regierung in dieser Sache voraus ist. Niemand mag einen neuen Standard. Er zwingt Sie dazu, Dinge zu tun, die Sie bisher nicht getan haben, Ihr Verhalten zu ändern, und kostet Sie wahrscheinlich ein wenig Geld im Voraus. Niemand mag einen neuen Standard, aber dies ist ein Beispiel dafür, warum ein neuer Standard für diesen Bereich wirklich notwendig ist. Erstens, weil es in unserer vernetzten Gesellschaft das Richtige ist. Zweitens, weil die Industrie die Regierung anführen und ihr zeigen muss, dass wir dieses Problem angehen, und dass sie nicht mit harter Hand vorgehen muss.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com