Supply Chain Security: IT-Sicherheit für die Lieferkette

Supply Chain-Angriffe, also Angriffe auf die Lieferkette, sind ein Trend, der bereits seit einigen Jahren anhält – und Unternehmen wohl auch noch eine Zeitlang begleiten wird. Gerade die letzten Jahre haben gezeigt, dass Supply Chain Security unabdingbar geworden ist. Beispiele aus jüngeren Jahren erläutert Ihnen dieser Beitrag genauso wie die zum Angriff angewandten Methoden. Wir blicken auf Lösungsansätze und zeigen Ihnen, wie Sie – als Teil einer Lieferkette – Ihre Organisation schützen können und warum Sie gerade jetzt handeln sollten, um Cyberangriffe vorzubeugen.

Supply Chain Security: Angriffe mit Ansage

Schon im Jahr 2019 warnten wir vor Supply Chain-Angriffen und erklärten, was Lieferketten-Angriffe so gefährlich macht: In aller Regel sind derartige Angriffe hoch komplex und zielgerichtet. Cyberkriminelle verschleiern ihre Spuren so geschickt, dass kaum auszumachen ist, woher Angriffe kamen oder was ihr eigentliches Ziel war. Für Lieferkettenangriffe ist es nicht untypisch, dass sich Angreifende über die Zulieferer zum eigentlichen Ziel vorarbeiten. Das zeigt: Die komplette Lieferkette ist betroffen und muss sich effizient absichern. In den vergangenen Jahren wurden die Warnungen wieder lauter – angesichts ausgeklügelter Angriffe kaum verwunderlich:

Aktuelle Beispiele von Lieferkettenangriffen

Im Dezember 2020 wurde die Europäische Arzneimittelbehörde (EMA) Ziel eines Cyberangriffs. Dieser Angriff zeigte, dass Cyberkriminelle es oft auf Daten abgesehen haben. Der Weg der begehrten Daten wird von einem Unternehmen zum nächsten verfolgt – so gelingt es, das schwächste Glied in der Lieferkette herauszufiltern.

Einer der wohl schwersten Lieferkettenangriffe in der jüngeren Zeit war der SolarWinds-Hack, über den wir ebenfalls berichteten. Bei diesem Angriff wurden Update-Server mit der Schadsoftware Sunburst verseucht. Nutzende, die ihr Produkt aktualisieren wollten, holten sich die Schadsoftware direkt in die eigene IT.

Ebenfalls Auswirkungen auf die gesamte Lieferkette hatte der Angriff auf Kaseya im Juli 2021: Das US-Unternehmen Kaseya wurde von der REvil-Gang angegriffen. Man spielte verseuchte Updates ein und die Folgen waren weltweit spürbar: In Schweden konnten Verbraucher:innen nicht mehr einkaufen gehen, da die schwedische Supermarktkette Coop Kaseya-Kunde ist. Aufgrund des Angriffs funktionierten die Kassensysteme des Schweden nicht mehr, betroffen waren aber auch Firmen aus Deutschland.

Lessons learned? Das bleibt wohl abzuwarten. Angesichts des Ausmaßes der globalen Vernetzung und der Abhängigkeit von funktionierenden Lieferketten lässt sich der Begriff „Supply Chain“ durchaus erweitern: Value Chain- oder auch Third Party-Attacke fasst die Begrifflichkeit weiter und zeigt deutlicher, wie Angreifende handeln. Sie sehen sich die komplette Lieferkette an, bewerten ihre Ziele in Ruhe. Cyberkriminelle nehmen sich die notwendige Zeit, suchen nach geeigneten Schwachstellen und schlagen dann erst in voller Härte zu.

ENISA möchte mehr Supply Chain Security erreichen

Die Europäische Agentur für Cybersicherheit (ENISA) hat mehr als 20 Lieferkettenangriffe ausgewertet. Dabei zeigte sich ein interessanter Mix aus Komplexität und Bekanntem: Zwar planen die Kriminellen Lieferkettenangriffe langsam, da die Materie komplex ist. Die angewandten Methoden jedoch hält die ENISA für eher einfach, denn genutzt werden:

• Schwachstellen in Software, Firmware oder Open Source-Komponenten
• Phishing
• Malware-Einsatz
• Gestohlene oder kompromittierte Zertifikate
• Dependency Confusion (oder auch „Abhängigkeitsverwirrung“. Bei diesem Angriff tauschen die Cyberkriminellen die Dependency Packages im Zielsystem des Opfers einfach durch Malware Packages unter gleichem Namen aus.)

Dass Lieferkettenangriffe in dem Ausmaß wie bei SolarWinds oder Kaseya überhaupt passieren können, ist bereits Anlass zur Sorge, jedoch bereitet auch der Gedanke an etwaige Nachahmer Sicherheitsforschenden Kopfzerbrechen: Nachahmungen könnten dazu beitragen, dass sich die Situation weiter verschärft.

Supply Chain Security: Lösungen in Sicht?

Während Cyberkriminelle vielleicht gerade neue Opfersysteme auskundschaften, arbeiten Sicherheitsforschende nach Lösungen, die die Supply Chain Security stärken können. Einen Vorstoß in diese Richtung erlaubt sich beispielsweise GitHub: Mit einer neuen Action und dazugehöriger API möchte man verhindern, dass Sicherheitslücken in der Lieferkette ihren Weg in GitHub-Code finden. Die neue GitHub Action nennt sich „Dependency Review“: Pull Requests werden auf Änderungen gescannt. Werden Sicherheitslücken gefunden, erfolgt eine Fehlermeldung. Unterstützt wird diese Action durch die ebenfalls neue Dependency Review-API: Sie zeigt Unterschiede bezüglich der Dependencies zwischen zwei Commits, wozu auch Vulnerabilitätsdaten zählen.

Supply Chain Security: So schützen Sie sich

Supply Chain-Attacken sind eine Kombination von mindestens zwei Angriffen. Der erste gilt meist einem Zulieferer und wird in aller Regel genutzt, um in die Systeme des zweiten und eigentlichen Ziels einzusteigen. Sollen Angriffe auf die Lieferkette vermieden werden, hilft nur eines: ganzheitliches Denken und das Einbeziehen von Zuliefernden und Prozessbeteiligten. Deshalb beginnt der Schutz der eigenen Organisation beim Prüfen der Lieferkette bezüglich Software, Hardware und Update-Status. Es soll Organisationen geben, die sich überhaupt nicht bewusst darüber sind, was von wem warum bezogen wird. Ein erster Schritt ist also immer, sich einen Überblick zu verschaffen. Weiter schützen Sie Ihr Unternehmen durch:

• Investitionen in Cybersicherheit: Verschiedene Studien zeigen, dass das Budget, welches in Cybersicherheit investiert wird, von Jahr zu Jahr steigt. Schaffen auch Sie Budget und investieren Sie an den richtigen Stellen in Ihre Cyberabwehr.
• Mitarbeitende einbeziehen: Wie die oben erwähnten Untersuchungen zeigen, sind die Angriffsmethoden bei Lieferkettenangriffen keine völlig neuen. Treffen können Sie jeden im Unternehmen: Von der Assistenz bis zur Geschäftsführung ist niemand vor Angriffen gefeit. Deshalb müssen auch alle Mitarbeitenden – von der Assistenz bis zur Geschäftsführung – entsprechend vorbereitet werden. Das gelingt mit Awareness-Maßnahmen: In Schulungen lernen Mitarbeitende mögliche Angriffsszenarien kennen und erfahren, wie sie darauf reagieren können. Dieses Wissen ist oft Gold wert, denn Sie minimieren das Risiko der „Sicherheitslücke Mensch“.
• Überwachung: Sich einen einmaligen Überblick zu verschaffen, genügt leider nicht. Bleiben Sie am Ball: Überwachen Sie nicht nur Ihre eigene Systemlandschaft, sondern auch die Ihrer Lieferkette. Prüfen Sie regelmäßig alle Komponenten Ihrer Supply Chain und die von diesen Partnern verwendeten IT-Systeme.
• Unterstützen lassen: Vielleicht stammt Ihre Organisation aus dem Automotive-Bereich – und in diesem Gebiet macht Ihnen so leicht niemand etwas vor. Ihr Wissen über Informations- und IT-Sicherheit ist jedoch vielleicht nicht ganz so ausgeprägt wie das über Antriebswellen, Kolben, Zylinder und Getriebe – deshalb: Holen Sie sich die notwendige Expertise einfach ins Haus! Nehmen Sie die Unterstützung und Beratung von Cybersecurity-Expert:innen in Anspruch.

Supply Chain Security: Handeln Sie jetzt!

Nie waren wir so vernetzt wie heute – und nie so abhängig von anderen. Das haben auch Cyberkriminelle erkannt, die sich ihr großes Ziel bei Lieferkettenangriffen in viele kleine unterteilen, um so an den großen Fisch zu kommen, auf den sie es eigentlich abgesehen haben. Alle Teile einer Lieferkette haben nicht nur Verantwortung für sich selbst, sondern auch für die Partner:innen. Deshalb wird der Schutz der eigenen Organisation umso wichtiger! Mit unseren obigen Tipps gelingen Ihnen erste Schritte auf dem Weg zur Supply Chain Security. Diese und weitere gehen wir gerne mit Ihnen gemeinsam: Nehmen Sie einfach Kontakt zu uns auf, um zu erfahren, wie Sie Ihre Organisation – und damit einen wertvollen Teil der Lieferkette – effizient absichern können. Unsere zertifizierten Expert:innen beraten Sie gerne!