Angriffe auf die Software Supply Chain steigen: Das sollten Sie jetzt tun
von Tina Siering
Die aktuelle Studie „Software Supply Chain Security Review“ von Argon Security belegt: Hacker zielen vermehrt auf die Software Supply Chain ab. Im Jahr 2021 haben Cyberkriminelle dreimal so viele Attacken auf die Software-Lieferkette gestartet, wie im Jahr davor. Die Angreifer nutzen unter anderem Schwachstellen in Open-Source-Lösungen und in der CI/CD-Pipeline aus, um bösartige Software einzuschleusen und Anwendungen zu manipulieren. Dabei sind längst nicht nur große Konzerne, sondern auch kleine und mittelständische Unternehmen gefährdet.
Was die Studie ebenfalls zeigt: Angriffe auf die Software Supply Chain sind nur deshalb so erfolgreich, weil die Sicherheitsmaßnahmen im Bereich der Software-Entwicklung immer noch deutliche Mängel aufweisen. Sollten Sie jetzt weiche Knie bekommen, können wir Sie beruhigen: Auch Ihre Supply Chain Security lässt sich mit neuen zuverlässigen Lösungen aufrüsten.
Was ist eigentlich eine Software Supply Chain?
Kaum ein Technologie-Unternehmen entwickelt heute noch alle Software-Komponenten für seine Produkte selbst. Genauso wie Automobilhersteller ihre Teile von Zulieferern fertigen und liefern lassen, kaufen auch Software-Unternehmen vermehrt Bauteile von Drittanbietern zu und verarbeiten sie in ihren eigenen Lösungen. Bei den zugekauften Komponenten kann es sich beispielsweise um vorgefertigte Bezahlsysteme, Verwaltungsplattformen oder Code-Bestandteile handeln, die von mehreren Entwicklern erstellt werden.
Der Vorteil einer solch arbeitsteiligen Software Supply Chain liegt auf der Hand: Sie können die Entwicklung Ihrer Produkte beschleunigen und diese schneller und kostengünstiger auf den Markt bringen. Der große Nachteil besteht allerdings darin, dass Sie externe Produktionsvorgänge nur schwer überwachen können. Das Risiko, dass bereits infizierte Software-Komponenten unbemerkt in Ihr Unternehmen und Ihre Produkte gelangen, ist relativ hoch. Dabei gilt: Je komplexer eine Supply Chain, desto geringer ihre Resilienz.
Die Gefahr lauert im Update
Bei einem Angriff auf die Software Supply Chain manipulieren Cyberkriminelle den Produktionszyklus einer Auftragssoftware und verursachen mit bösartigem Code weitreichende Schäden. Die Attacken führen nicht nur zur Kompromittierung Ihres Unternehmensnetzwerks, sondern treffen auch Ihre Kunden.
Besonders geläufig sind Update-Dateien, die mit Malware verseucht sind. Werden diese von unzähligen Endverbrauchern eines Dienstes oder einer zentralen Plattform installiert, erhalten die Angreifer im schlimmsten Fall Zugang zu Daten von tausenden Nutzern. Genau diese profitable Streuung ist der Grund dafür, wieso Lieferketten-Angriffe bei Hackern so hoch im Kurs stehen.
Das Perfide an Attacken auf die Software Supply Chain ist, dass sie nur schwer rückverfolgbar sind und lange unentdeckt bleiben. Mit gestohlenen Code-Signatur-Zertifikaten verschleiern Hacker ihre Manipulationen und erlangen das Vertrauen der Anwender. Zu den prominentesten Fällen der letzten Jahre zählen der SolarWinds-Hack sowie die Lieferketten-Attacke auf den Passwort-Manager Passwordstate von Click Studios.
Mit diesen Angriffen müssen Sie rechnen
Laut der Studie von Argon Security führen Cyberkriminelle ihre Attacken überwiegend in drei Bereichen der Lieferkette aus. Zu den häufigsten Angriffsszenarien zählen:
1. Angriffe auf Open-Source-Lösungen
Um Zeit und Geld zu sparen, ist die Nutzung von Open-Source-Code in der Software-Entwicklung heutzutage gang und gäbe. Doch häufig weist offener Quellcode Sicherheitslücken auf, die Cyberkriminelle gerne dafür nutzen, um bösartigen Code einzuschleusen und Daten auszuspionieren.
Dabei lassen sich vor allem zwei Methoden beobachten: Zum einen verschaffen sich Hacker über bereits existierende Schwachstellen in Paketen Zugang zu Applikationen und starten dort ihre Attacke. Zum anderen schleusen sie schadhaften Code in Open-Source-Lösungen oder selbst entwickelte Software ein, der dann über Pipeline-Tools oder Programmierer in den Build-Prozess gelangt.
2. Angriffe auf Pipeline-Tools
CI/CD-Pipeline-Tools sind für eine effiziente Software-Entwicklung unverzichtbar – allerdings können auch sie zur Zielscheibe von Supply-Chain-Angriffen werden. Hacker nutzen beispielsweise fehlerhafte Konfigurationen und Sicherheitslücken in Build-Agents oder Code-Verwaltungssystemen aus, um sich Zugriff auf Applikationen, Quellcode und Herstellungsprozesse zu verschaffen. Nicht selten haben es die Angreifer darüber hinaus auf die Manipulation von Paketregistrierungen abgesehen, um kompromittierten Quellcode einzuschleusen.
3. Angriffe auf Quellcode-Repositories
Eine weitere große Gefahr geht der Studie zufolge von Quellcode-Repositories aus. Laden Entwickler fehlerhaften Code in das Projektarchiv hoch, stellt dies ein unmittelbares Risiko für die Sicherheit und eine Steilvorlage für Angreifer dar. Eine verminderte Codequalität, allgemeine Fehlkonfigurationen und Sicherheitslücken sowie sensible Daten im Code sind nur einige Probleme, die in Kundenumgebungen vermehrt auftreten. Um die Vielzahl an Komplikationen beseitigen zu können, bedarf es häufig langwieriger und kostspieliger Bereinigungsprojekte.
So schützen Sie sich vor Angriffen auf die Software Supply Chain
Sie sehen: Angriffe auf die Software Supply Chain sind besonders tückisch und können über viele Monate hinweg unbemerkt bleiben. In dieser Zeit richten sie massive Schäden an, die Sie nicht nur finanziell in die Bredouille bringen, sondern auch den Ruf Ihres Unternehmens nachhaltig ruinieren. Da herkömmliche reaktive Sicherheitslösungen für eine zuverlässige Supply Chain Security längst nicht mehr ausreichen, sind neue Ansätze gefragt. Anstatt erst dann zu reagieren, wenn es zu spät ist, sollten Sie sich aktiv schützen.
Als äußerst effektive Maßnahme zur Abwehr von Lieferketten-Angriffen hat sich das 24/7-Sicherheitsmonitoring erwiesen. Hiermit lässt sich das Netzwerk Ihres Unternehmens – inklusive Drucker, Smartphones und IoT-Geräte – rund um die Uhr nach verdächtigen Aktivitäten scannen, sodass eine Kompromittierung sofort sichtbar wird und Ihr IT-Team umgehend gegensteuern kann.
Genau eine solche proaktive Threat-Hunting- und Incident-Response-Lösung bietet Allgeier secion mit dem Active Cyber Defense (ACD) Service an – mit ihm wird aktiv nach auffälligen Verhaltensmustern gesucht. Auf diese Weise ist es möglich, Aktivitäten von kompromittierter Software, die von Drittanbietern stammt, frühzeitig aufzudecken. Das präventiv arbeitende System ermöglicht es Ihnen also, Gegenmaßnahmen schnell und gezielt einzuleiten – und bietet damit Ihrem Unternehmen und Ihren Kunden einen sicheren Schutz vor Supply-Chain-Attacken.
Fazit
Dass Angriffe auf die Software Supply Chain jetzt und in Zukunft eine der größten Bedrohungen für Ihre IT-Sicherheit darstellen, hat die Studie von Argon Security eindrucksvoll unter Beweis gestellt. Doch schon zuvor war der Trend zu steigenden Attacken auf die Software-Lieferkette deutlich erkennbar, als immer wieder Meldungen über erfolgreiche Hacks durch die Medien geisterten. Obwohl entsprechende Präventivmaßnahmen also wichtiger denn je wären, scheint die Notwendigkeit zum aktiven Handeln in den IT-Abteilungen vieler Unternehmen immer noch nicht angekommen zu sein. Ein fataler Fehler: Wer sich jetzt nicht ernsthaft mit dem Thema Supply Chain Security auseinandersetzt, riskiert fahrlässig die Schädigung seiner Geschäftsprozesse und Kunden – und das, obwohl die effektive Abwehr von Lieferketten-Angriffen längst zum Standard gehören sollte. Mit proaktivem Sicherheitsmonitoring können Sie ohne großen Aufwand und relativ kostengünstig dafür Sorge tragen, dass Kompromittierungen von Quellcode oder ganzen Anwendungen zeitnah aufgedeckt werden.