Nach SolarWinds und Passwordstate: Haben Sie in Ihrer Supply Chain Security noch eine Hintertür offen?

von

Lesezeit: Minuten ( Wörter) | Seitenaufrufe: 439

In einer zunehmend globalisierten Welt werden auch Supply Chains immer komplexer. Und immer häufiger stellen sich Lieferketten in Unternehmen als Einfallstore für Cyberangriffe heraus. IT-Sicherheitsexperten warnen: Die IT Security fokussiert sich häufig noch zu sehr auf das eigene Unternehmen. Bei Supply Chain Attacken können die Komponenten bereits kompromittiert sein, wenn sie im Unternehmen eintreffen. ENISA, die EU-Agentur für Cybersicherheit, warnt, dass Unternehmen die Cyberbedrohungen durch Supply Chain Attacken unterschätzen und in der Regel nicht ausreichend auf solche Cyberangriffe vorbereitet sind.

Wann spricht man von Supply Chain Attacken?

Von einem Angriff auf die Lieferkette wird gesprochen, wenn Komponenten, die ein Unternehmen einkauft und die damit außerhalb des eigenen Zuständigkeitsbereichs liegen, das Ziel eines Cyberangriffes werden. Die Komponenten sind in diesen Fällen infiziert und gelangen in das Unternehmen. Dies sind beispielsweise Codes von Softwareprodukten oder komplette Anwendungen, die ein Drittanbieter entwickelt. Sie kommen dann in Produkten oder Anwendungen eines anderen Herstellers zum Einsatz, der diese Komponenten als Baustein für seine Technik nutzt. Vergleichbar ist diese Art von Angriff mit dem Trojanischen Pferd aus der griechischen Mythologie.

In der IT gibt es häufig sehr komplexe Lieferketten. Diese betreffen sowohl den Software- als auch den Hardware-Sektor. Unternehmen verarbeiten Steuerungen, Chips, Softwarekomponenten und andere IT-Produkte von Drittanbietern. Daraus entstehen wiederum eigene Erzeugnisse. In der Praxis finden sich zahlreiche Beispiele für solche Produkte. Insbesondere der IoT-Sektor kommt ohne Supply Chain Management nicht aus: Unternehmen kaufen Steuerungen, Netzwerkchips und viele andere Bauteile als fertige Komponenten ein und verbauen diese in ihren Endprodukten. Solche Komponenten finden sich dann in Smart-Meter-Gateways, Smartphones oder sogar Kühlschränken, WLAN-Access-Points und vielen anderen Geräten wieder.

Das eigentliche Ziel dieser Cyberangriffe sind die Softwarekomponenten solcher Bauteile. Immer häufiger besitzen diese eine eigene Firmware oder sogar mehr oder weniger komplexe Anwendungen und Steuerungen. Hersteller solcher Komponenten bieten fertige Bauteile an, bei denen die mitgelieferte Software die spezifische Funktion bereits bereitstellt. Auf diese Weise ist der Einsatz out of the box möglich. Durch immer komplexere Systeme in einer Vielzahl von Geräten nimmt der Einsatz solcher Komponenten weiter zu. Dies betrifft inzwischen auch Geräte wie Kaffeevollautomaten, Rasenmäher oder Überwachungskameras für Haussicherheitssysteme.

Jetzt keinen Blogbeitrag mehr verpassen!

  • 12x im Jahr aktuelle News aus der IT Security Welt
  • 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
  • 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense

Einfallstore für erfolgreiche Lieferkettenangriffe

  • Gefährdete Softwareentwicklungstools oder aktualisierte Infrastruktur
  • Gestohlene Codes: signierte Zertifikate oder signierte bösartige Apps unter Verwendung der Identität des Entwicklerunternehmens
  • Gefährdeter spezieller Code, der in Hardware- oder Firmwarekomponenten enthalten ist
  • Vorinstallierte Schadsoftware auf Geräten (Kameras, USB, Telefone usw.) Quelle: Microsoft

Warum wird Supply Chain Security häufig außer Acht gelassen?

Die Gründe, warum Cyberbedrohungen durch Supply Chain Attacken fahrlässig unterschätzt sind, sind vielfältig. Zum einen sind mangelndes Wissen sowie fehlende Ressourcen eine Ursache. Unternehmen, die Komponenten über eine Lieferkette beziehen, sind zunächst häufig gutgläubig und vermuten nicht, dass von diesen eine Gefahr ausgeht. Noch immer wird bei der Entwicklung der IT-Sicherheitsstrategie dieser Bereich oft außer Acht gelassen und sich ausschließlich auf das eigene Firmennetzwerk und die verschiedenen Cyberbedrohungen in diesem Bereich konzentriert.

Hinzu kommt, dass nicht immer ersichtlich ist, von welchen Komponenten Cyberbedrohungen ausgehen. Die globale Wirtschaft sorgt für immer längere Lieferketten. So kommt es vor, dass ein Unternehmen ein Bauteil verbaut, das nicht nur Komponenten eines Herstellers besitzt, sondern das wiederum aus einer Zusammenstellung unterschiedlicher Elemente besteht. Befinden sich hier Steuerungen oder Chips mit Firmware und Softwarekomponenten, sind auch diese von Supply Chain Attacken bedroht. Das Gefahrenpotenzial multipliziert sich also und wird zu einem unüberschaubaren Risiko. Damit einhergehen umfangreiche organisatorische Herausforderungen, was die Supply Chain Security betrifft.

Ein weiterer Punkt ist, dass Unternehmen noch die passenden Tools für die Supply Chain Security fehlen bzw. mangelndes Wissen, welche Schutzmaßnahmen zum Einsatz kommen müssten. Die Kontrolle solcher Komponenten ist durchaus möglich, jedoch kommen die notwendigen Lösungen noch zu selten zum Einsatz.

Gefahren für Unternehmen und Endverbraucher durch Supply Chain Attacken

Wie wichtig die Supply Chain Security tatsächlich ist, zeigt sich an den möglichen Auswirkungen solcher Cyberangriffe. Tatsächlich gibt es aus der Praxis immer mehr Beispiele, an denen deutlich wird, welche eklatanten IT-Sicherheitslücken vorhanden sind und wie Cyberkriminelle diese gezielt ausnutzen.

Einer der größeren Cyberangriffe der jüngeren Vergangenheit, der weltweit Aufsehen erregt hat, zählt ebenfalls zu einer Supply Chain Attacke.

Einer der größeren Cyberangriffe der jüngeren Vergangenheit, der weltweit Aufsehen erregt hat, ist ebenfalls auf Schwachpunkte in der Supply Chain Security zurückzuführen. Der als SolarWinds-Hack bekannt gewordene Angriff auf das US-amerikanische IT-Sicherheitsunternehmen lief nach diesem Schema ab. Eine Softwarekomponente, die SolarWinds in ihrer Sicherheitssoftware Orion nutzt, wurde von Cyberkriminellen kompromittiert. Somit gelangte ein Schadcode in die Software, die dann von SolarWinds über die eigenen, offiziellen Kanäle als Update ausgerollt wurde. Zahlreiche Kunden von SolarWinds installierten dieses Update und infizierten somit ihr eigenes Netzwerk.

Das Angriffsmuster dieser Supply Chain Attacke scheint sich weiter erfolgreich fortzusetzen: Immer häufiger versuchen Cyberkriminelle, über das Einschleusen von Code in legitime Software zunächst auf die Rechner und damit an die Daten ihrer Opfer zu gelangen. So kam es jüngst zu einem Lieferkettenangriff auf den Softwarehersteller Click Studios und dessen Passwort-Manager Passwordstate. In diesem Fall gelang es den Angreifern, schadhaften Code über ein Update einzuschleusen, um so Kennwörter und andere vertrauliche Daten zu stehlen.

An diesen Beispielen zeigt sich eine der zentralen Gefahren von Supply Chain Attacken. Nutzer und Unternehmen vertrauen den Produkten, die sie von ihren Lieferanten über deren offizielle Kanäle erhalten. Vielfach wird kein Gedanke darauf verwendet, dass es sich hierbei um Software handelt, die ungeprüft von außen in das Unternehmensnetzwerk eingebracht wird.  

Cyberangriffe auf Lieferketten haben ganz unterschiedliche Ziele

Häufig haben es Cyberkriminelle ganz gezielt darauf abgesehen, die vorhandene Schwachstelle auszunutzen. Von erfolgreich kompromittierten Lieferketten gehen zahlreiche Bedrohungen aus. Zunächst ist natürlich das Unternehmen, das diese infizierten Komponenten einsetzt, betroffen. Abhängig davon, welche Art von Schadsoftware zum Einsatz kommt, droht eine Kompromittierung des eigenen Netzwerks. Dies führt unter anderem dazu, dass die Angreifer einen Zugang zu dem Netzwerk erhalten. Darüber erfolgt dann eine Ausbreitung im Netzwerk oder die Angreifer steuern die Software über einen Command and Control (C2-)Server. Dies erlaubt die Einschleusung von Ransomware, das Abfangen von Zugangsdaten oder sogar vertraulichen Informationen aus dem Firmennetzwerk. Auch die Wirtschaftsspionage spielt bei diesen Cyberangriffen eine Rolle.

Wenn Angreifer identifizieren, in welchen Endprodukten bestimmte Komponenten zum Einsatz kommen, ist eine gezielte Infizierung des Zulieferers möglich. Auf diese Weise umgehen die Angreifer mit solchen Supply Chain Attacken die IT Security von nachfolgenden Unternehmen und konzentrieren sich auf den Weak Link, also das schwächste Glied in der Lieferkette.

Eine weitere Gefahr droht den Nutzern des Endprodukts. So ist es möglich, dass ein kompromittiertes System Informationen über die Nutzer sammelt und diese an die Cyberkriminellen sendet. Am Beispiel eines anderen, recht aktuellen Falls, zeigt sich, welche Ausmaße dies hat. Bei dem Unternehmen Verkada, das sich auf Sicherheitssysteme für die Gebäudetechnik spezialisiert hat, kam es zu einer Infiltrierung des Netzwerks. Kunden von Verkada nutzen die Dienstleistung unter anderem, um Bilder und Videoinformationen von Überwachungskameras in der Cloud zu speichern. Die Hacker verschafften sich Zugriff auf das Netzwerk von Verkada und hatten dort Zugang zu gespeicherten Videos und Bildern sowie auch zu den Live-Übertragungen der Kameras.

Welche Schutzmaßnahmen und Lösungen gibt es für diese Form von Cyberbedrohungen?

Mit gezielten Maßnahmen ist es möglich, die Supply Chain Security deutlich zu verbessern. Für alle Unternehmen, die Software über Lieferketten beziehen, sollten entsprechende Schutzmaßnahmen in der Supply Chain Security im Rahmen einer ganzheitlichen IT-Sicherheitsstrategie dazugehören.

Zunächst ist es wichtig, mit einem Cyber Supply Chain Riskmanagement die eigene Situation zu erfassen. Hierbei wird die Gefahrenlage kartografiert, so dass alle bedrohten Komponenten identifiziert sind. Basierend auf dieser Analyse erfolgt dann die Entwicklung der Supply Chain Security.

Zu den konkreten IT-Sicherheitsmaßnahmen für die Supply Chain gehören beispielsweise Firmware-Scans. Diese kommen bei Hardwarekomponenten in Betracht, die Unternehmen out of the box kaufen und in die eigene Produktion integrieren, beispielsweise im Bereich IoT. Dienstleister bieten hier umfassende Prüfungen an, so dass die IT Security der Softwarekomponenten gewährleistet wird.

Eine weitere Methode in der Supply Chain Security sind Zertifikate und Signaturen. Über diese wird die IT-Sicherheit der einzelnen Komponenten über den Verlauf der Lieferkette berücksichtigt. Hier haben sich Dienstleister mit praktischen Lösungen für die Sicherheitskontrolle, Zertifizierung und Nachverfolgung etabliert. Dies ist insbesondere sinnvoll, wenn mehrere Komponenten und Unternehmen Teil einer komplexen Lieferkette sind.

Zu der Supply Chain Security gehören weiterhin Applikationssicherheitstests. Speziell für diese Aufgabe ausgelegte Tools überprüfen Anwendungen, Programmcode und andere Software auf die Sicherheit. Bei diesen Applikationssicherheitstests wird nach versteckten Schadprogrammen gesucht, die Angreifer im Laufe der Lieferkette bei einem Drittanbieter eingeschleust haben.

Last but noch least ist ein 24/7 Sicherheitsmonitoring im eigenen Netzwerk ein elementarer Bestandteil der Supply Chain Security. Hier wird aktiv nach auffälligen Verhaltensmustern gesucht. Diese deuten auf kompromittierte Systeme hin, beispielsweise, wenn eine Schadsoftware Kontakt zu einem C&C Server aufbaut. Auf diese Weise ist es möglich, Aktivitäten von kompromittierter Software, die von Drittanbietern stammt, schnell aufzudecken. secion bietet einen solchen Incident Response- und Threat Hunting Service an: Im Rahmen des Active Cyber Defense Service erfolgt ein vollständiger Scan des Netzwerks in Echtzeit. Diese aktive Form der Suche nach illegalen Aktivitäten gewährleistet die schnelle Entdeckung von unbemerkt eingeschleuster Schadsoftware, wie dies bei Supply Chain Attacken der Fall ist.

Sinnvoll ist es weiterhin, ausschließlich mit vertrauenswürdigen Partnern zusammenzuarbeiten. Auch eine möglichst kleine Lieferkette mit einer geringen Anzahl an Drittanbietern hilft, die Risiken zu minimieren. Auf diese Weise sinkt die Anzahl an möglichen IT-Sicherheitslücken innerhalb der Lieferkette. Eine enge Zusammenarbeit mit diesen Lieferanten ist eine weitere Möglichkeit, IT-Sicherheitsrisiken in der Supply Chain zu reduzieren. Ein Austausch über das Thema Supply Chain Security und die Einigung auf bestimmte IT-Sicherheitsstandards sind in diesem Rahmen empfehlenswert. Bei der Auswahl von Lieferanten ist es im Rahmen des Qualitätsmanagements außerdem sinnvoll, ein Cybersecurity Assessment als wichtigen Punkt bei der Bewertung mit einfließen zu lassen. In einigen Branchen haben sich bereits Standards für die Informationssicherheit etabliert. Ein Beispiel ist TISAX im Automobilsektor. Hier fordern Hersteller von ihren Zulieferern, dass sie über das entsprechende TISAX-Sicherheitszertifiakt verfügen, was die Supply Chain Security auf ein hohes Niveau hebt.

Fazit

Angesichts der zunehmenden Angriffe auf und über Zulieferer und Drittanbieter-Firmen sollten Unternehmen mehr denn je darauf achten, wie ihre Lieferketten - von der Softwareentwicklung bis zu den tatsächlichen Lieferprozessen selbst - in Bezug auf IT-Sicherheit aufgestellt sind.

Die Vorkommnisse in der jüngeren Vergangenheit zeigen deutlich, dass Supply Chain Attacken nicht nur eine reale Bedrohung sind, sondern auch welche Reichweite und Auswirkungen ein solch erfolgreicher Angriff hat. Supply Chain-Angriffe sind äußerst komplex und in der Regel zielgerichtet. Da diese immer häufiger in Anwendungen beobachtet werden, müssen IT-Sicherheitsexperten am Ball bleiben: Die Angreifer sind sehr raffiniert und professionell. Sie verschleiern ihre Spuren so geschickt, dass sich kaum nachvollziehen lässt, woher der Angriff kam oder wer die eigentlichen Ziele waren. Wichtig ist, dass Unternehmen diese Art der Cyberbedrohung als relevant wahrnehmen und aktive wirkungsvolle Schutzmaßnahmen in die eigene IT-Sicherheitsstrategie integrieren.

Wie gut ist Ihre Supply Chain Security?

Kontaktieren Sie unsere Experten - wir beraten Sie gerne!

Durch Klicken auf die Schaltfläche "Absenden" bestätigen Sie, unsere Richtlinien zum Datenschutz gelesen zu haben. Sie geben Ihr Einverständnis zur Verwendung Ihrer personenbezogenen Daten zu dem von Ihnen angegebenen Zweck der Kontaktaufnahme durch die secion GmbH.

Zurück