{"id":11343,"date":"2024-12-10T16:33:24","date_gmt":"2024-12-10T15:33:24","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=11343"},"modified":"2024-12-12T16:33:53","modified_gmt":"2024-12-12T15:33:53","slug":"supply-chain-angriffe-erklaert","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/supply-chain-angriffe-erklaert\/","title":{"rendered":"Supply Chain Angriffe: Die Lieferkette im Visier"},"content":{"rendered":"

In einer zunehmend digitalisierten und vernetzten Welt sind Unternehmen nicht nur auf ihre eigenen Sicherheitsvorkehrungen angewiesen, sondern auch auf die ihrer Partner und Drittanbieter. Cyberkriminelle machen sich diese Abh\u00e4ngigkeit zunutze: Supply Chain Angriffe, auch Lieferkettenangriffe genannt, z\u00e4hlen mittlerweile zu den gef\u00e4hrlichsten und raffiniertesten Bedrohungen. Doch wie funktionieren sie, warum sind sie so gef\u00e4hrlich, und wie k\u00f6nnen Unternehmen sich sch\u00fctzen? Wir kl\u00e4ren auf.<\/p>\n

Was sind Supply Chain Angriffe?<\/h2>\n

Supply Chain Angriffe (Lieferkettenangriffe) sind eine ausgekl\u00fcgelte Taktik von Cyberkriminellen, bei der sie nicht das eigentliche Zielunternehmen direkt angreifen, sondern Schwachstellen in der Lieferkette nutzen, um ihr Ziel zu erreichen. Die Lieferkette umfasst alle Partner, Drittanbieter und Dienstleister, die mit einem Unternehmen vernetzt sind oder dessen Prozesse unterst\u00fctzen.<\/p>\n

Ihre indirekte Natur macht Supply Chain Angriffe damit auch so gef\u00e4hrlich: Unternehmen vertrauen in der Regel darauf, dass ihre Partner und Lieferanten sicherheitsbewusst handeln \u2013 und dieses Vertrauen nutzen Cyberkriminelle schamlos aus. \u00dcber scheinbar vertrauensw\u00fcrdige Verbindungen verschaffen sie sich Zugang zu sensiblen Daten oder IT-Systemen des eigentlichen Zielunternehmens. Veraltete Software, unzureichend gesch\u00fctzte Netzwerke oder mangelnde Sicherheitsprotokolle werden zur Einfallst\u00fcr f\u00fcr weitreichende Angriffe.<\/p>\n

Wie funktionieren Supply Chain Angriffe?<\/h2>\n

Identifikation eines Zielpartners<\/strong>
\nZu\u00e4chst recherchieren die Kriminellen, welche Partner, Dienstleister oder Drittanbieter ein Unternehmen nutzt. Besonders im Fokus stehen Anbieter von Software, IT-Dienstleistungen oder Cloud-Diensten, da sie oft privilegierten Zugriff auf die Systeme ihrer Kunden haben.<\/p>\n

Kompromittierung des Partners<\/strong>
\nDie Angreifenden suchen nun Schwachstellen im System des Lieferanten oder Drittanbieters, z.B. veraltete Sicherheitsprotokolle oder fehlerhafte Zugangsbeschr\u00e4nkungen. Sie k\u00f6nnen aber auch Social Engineering nutzen, um Mitarbeitende zu t\u00e4uschen und Zugangsdaten zu erlangen.<\/p>\n

Einbringen von Schadcode<\/strong>
\nIst der Zugriff erfolgreich, manipulieren sie Produkte, Software oder Dienstleistungen des Lieferanten. Ein typisches Szenario ist die Manipulation von Software-Updates. Dazu schleusen die Cyberkriminellen Schadcode in ein Update des Lieferanten ein, das sp\u00e4ter an die Kunden ausgeliefert wird.<\/p>\n

Verbreitung \u00fcber die Lieferkette<\/strong>
\nSobald das manipulierte Update oder Produkt an das Zielunternehmen geliefert wird, wird der Schadcode aktiv. Je nachdem, wie weitreichend der Zugriff ist, k\u00f6nnen die Angreifer sensible Daten stehlen, Netzwerke infiltrieren oder Systeme sabotieren.<\/p>\n

Ausweitung des Angriffs<\/strong>
\nVon einem betroffenen Unternehmen kann sich der Angriff auf weitere Partner ausdehnen, wodurch eine Kettenreaktion entsteht.<\/p>\n

Prominente Supply Chain Angriffe<\/h3>\n

SolarWinds-Hack<\/strong><\/p>\n

Der SolarWinds-Hack aus dem Jahr 2020<\/a> z\u00e4hlt zu den gr\u00f6\u00dften und ausgekl\u00fcgeltsten Cyberangriffen der letzten Jahre mit \u00fcber 18.000 betroffenen Unternehmen und Organisationen.<\/p>\n

Der Angriff nahm seinen Ursprung in der Netzwerktechnologie des Unternehmens SolarWinds, das mit seiner Orion-Software eine beliebte L\u00f6sung f\u00fcr das IT-Management von gro\u00dfen Organisationen anbot. Cyberkrminellen gelang es, die Update-Server von SolarWinds zu kompromittieren. Sie integrierten Schadcode in ein regul\u00e4res Software-Update der Orion-Software, das dann an SolarWinds-Kunden weltweit verteilt wurde. Diese Kunden, darunter einige der gr\u00f6\u00dften Unternehmen und Beh\u00f6rden, installierten das Update und infizierten so unbewusst ihre Systeme.<\/p>\n

Die manipulierte Software erm\u00f6glichte es den Angreifern, mit einer als SUNBURST bezeichneten Malware in die Netzwerke der Opfer einzudringen. Einmal installiert, gab der Schadcode den Angreifern weitreichenden Zugriff auf die betroffenen Systeme und erlaubte es ihnen, sich lateral innerhalb der Netzwerke zu bewegen und Daten zu sammeln, ohne dass die Sicherheitsma\u00dfnahmen der betroffenen Organisationen sofort Alarm schlugen. Der Angriff war so geschickt ausgef\u00fchrt, dass er \u00fcber Monate hinweg unentdeckt blieb, was den Angreifern gen\u00fcgend Zeit gab, ihre Aktivit\u00e4ten auszubauen.<\/p>\n

Unter den prominentesten Opfern befanden sich hochrangige US-Regierungsbeh\u00f6rden, wie das Department of Homeland Security (DHS), das Finanzministerium und die National Nuclear Security Administration (NNSA). Auch Unternehmen wie Microsoft, Cisco und das Sicherheitsunternehmen FireEye wurden betroffen. Das Ausma\u00df des Angriffs war global und betraf Organisationen auf der ganzen Welt. In vielen F\u00e4llen wussten die Opfer nicht, dass ihre Systeme bereits kompromittiert waren, was den Schaden erheblich vergr\u00f6\u00dferte.<\/p>\n

NotPetya-Angriff<\/strong><\/p>\n

Der NotPetya-Angrif<\/a>f aus dem Jahr 2017 gilt als einer der teuersten Cyberangriffe der Geschichte: Insgesamt wird der wirtschaftliche Schaden auf etwa 10 Milliarden US-Dollar beziffert. Obwohl die Schadsoftware zun\u00e4chst wie ein Ransomware-Angriff erschien, entpuppte sie sich als Wiper \u2013 eine Malware, die Daten irreversibel zerst\u00f6rt, anstatt L\u00f6segeld zu erpressen.<\/p>\n

Der Angriff nahm seinen Ursprung in der Ukraine, wo die Buchhaltungssoftware M.E.Doc von vielen Unternehmen genutzt wurde. Angreifer kompromittierten die Update-Server des Softwareanbieters und injizierten Schadcode in ein regul\u00e4res Software-Update. Kunden, die dieses Update installierten, infizierten unbewusst ihre Systeme. Anschlie\u00dfend nutzte NotPetya bekannte Schwachstellen in Windows-Systemen, darunter die EternalBlue-Exploit, um sich innerhalb von Netzwerken weiterzuverbreiten. Zus\u00e4tzlich setzte die Malware legitime Windows-Tools wie PsExec und WMIC ein, um lateral durch Netzwerke zu wandern. Anders als typische Ransomware-Angriffe verschl\u00fcsselte NotPetya nicht nur Daten, sondern zerst\u00f6rte die Master File Table (MFT) von Festplatten, wodurch der Zugriff auf Daten vollst\u00e4ndig verhindert wurde.<\/p>\n

Die Malware breitete sich schnell global aus. Unter den Opfern befand sich der d\u00e4nische Logistikkonzern Maersk, der massive Ausf\u00e4lle in seinem weltweiten Transportnetzwerk erlebte, mit gesch\u00e4tzten Kosten von \u00fcber 300 Millionen US-Dollar. \u00c4hnlich hart betroffen war der US-Pharmakonzern Merck, der Verluste in H\u00f6he von rund 870 Millionen US-Dollar verzeichnete. Auch die FedEx-Tochter TNT Express musste erhebliche Einbu\u00dfen hinnehmen, die auf etwa 400 Millionen US-Dollar gesch\u00e4tzt wurden.<\/p>\n

Target Hack<\/strong><\/p>\n

Der Target-Hack aus dem Jahr 2013 geh\u00f6rt zu den folgenschwersten Cyberangriffen auf den Einzelhandel. Er betraf den US-amerikanischen Einzelhandelsriesen Target, bei dem die pers\u00f6nlichen und finanziellen Daten von rund 40 Millionen Kunden kompromittiert wurden. Zus\u00e4tzlich wurden die Daten von 70 Millionen weiteren Personen gestohlen, darunter Namen, Adressen, Telefonnummern und E-Mail-Adressen.<\/p>\n

Der Angriff begann im November 2013 und dauerte bis kurz vor Weihnachten, was ihn besonders verheerend f\u00fcr das Unternehmen machte, da dies eine der umsatzst\u00e4rksten Phasen des Jahres war. Die Angreifer nutzten eine Schwachstelle im System von Fazio Mechanical Services, ein Drittanbieter, der f\u00fcr die Heizungs-, L\u00fcftungs- und Klimaanlagen (HVAC) von Target zust\u00e4ndig war. \u00dcber diese Verbindung gelang es den Hackern, Zugang zu den internen Systemen von Target zu erlangen.<\/p>\n

Einmal im Netzwerk, installierten die Angreifer eine Malware auf den Point-of-Sale (POS)-Kassen, die in den Filialen von Target verwendet wurden. Diese Malware war darauf ausgelegt, Kredit- und Debitkartendaten zu sammeln, die w\u00e4hrend des Bezahlvorgangs erfasst wurden. Zu den gestohlenen Daten geh\u00f6rten Kartenummern, G\u00fcltigkeitsdaten und Sicherheitscodes, die f\u00fcr den Diebstahl von Geld und f\u00fcr den Weiterverkauf auf dem Schwarzmarkt verwendet wurden. Da der Angriff in der umsatzstarken Vorweihnachtszeit statttfand, war die Anzahl der betroffenen Personen enorm.<\/p>\n

Die Auswirkungen des Hacks waren nicht nur finanzieller Natur, sondern auch ein massiver Schlag f\u00fcr das Vertrauen der Kunden in die F\u00e4higkeit von Unternehmen, ihre Daten zu sch\u00fctzen.
\nDie finanziellen Verluste f\u00fcr Target waren betr\u00e4chtlich; Das Unternehmen meldete Gesamtkosten von rund 162 Millionen US-Dollar als direkte Folge des Hacks, obwohl die endg\u00fcltigen Kosten aufgrund von Rechtsstreitigkeiten, Entsch\u00e4digungszahlungen und verbesserten Sicherheitsma\u00dfnahmen sp\u00e4ter noch h\u00f6her ausfielen.<\/p>\n

Deshalb sind Supply Chain Angriffe so gef\u00e4hrlich<\/h3>\n

Supply-Chain-Angriffe bringen eine Vielzahl von Risiken und Herausforderungen mit sich, die f\u00fcr Unternehmen schwer zu erkennen und zu bew\u00e4ltigen sind.<\/p>\n

Risiko: (Zu gro\u00dfes) Vertrauen in Partner<\/strong><\/p>\n

In vielen F\u00e4llen verlassen sich Unternehmen blind auf die Sicherheitsvorkehrungen und -praktiken ihrer Partner. Ein Fehler: Das Vertrauen, dass ein Lieferant oder Dienstleister seine Systeme genauso gut sch\u00fctzt wie das eigene Unternehmen, kann zum Einfallsor werden. Hacker nutzen dieses Vertrauen n\u00e4mlich geschickt aus: Sie greifen zun\u00e4chst einen Partner oder Lieferanten an, der Zugang zu den Systemen des Unternehmens hat. Da der Angriff \u00fcber einen scheinbar vertrauensw\u00fcrdigen Kanal erfolgt, wird er oft nicht sofort erkannt. Dies f\u00fchrt dazu, dass sich Angreifer ungehindert und mit weit weniger Risiko in das Netzwerk des Zielunternehmens einschleichen k\u00f6nnen. Wenn ein Unternehmen darauf vertraut, dass seine Partner die gleichen Sicherheitsstandards einhalten, kann der Angriff in der Lieferkette weitgehend unbemerkt bleiben.<\/p>\n

Risiko: Breite Angriffsfl\u00e4che<\/strong><\/p>\n

Ein weiteres erhebliches Risiko von Supply-Chain-Angriffen ist die breite Angriffsfl\u00e4che, die sie bieten. Wenn ein Angreifer erfolgreich einen Lieferanten oder Drittanbieter infiltriert, hat er potenziell Zugriff auf die Daten und Systeme aller Unternehmen, die mit diesem Partner verbunden sind. Das bedeutet, dass ein einzelner, gut platzierter Angriff auf einen Zulieferer zahlreiche Unternehmen gleichzeitig gef\u00e4hrden kann. Die obigen prominenten Beispiele zeigen eindrucksvoll, wie Angriffe auf weit vernetzte Lieferketten massive Kettenreaktionen ausl\u00f6sen k\u00f6nnen.<\/p>\n

Je mehr Partner und Drittanbieter in die Lieferkette eines Unternehmens eingebunden sind, desto gr\u00f6\u00dfer wird die Angriffsfl\u00e4che. Selbst ein kleiner Fehler oder eine unzureichende Sicherheitsma\u00dfnahme bei nur einem Drittanbieter kann massive Auswirkungen auf das gesamte Netzwerk von Partnerunternehmen haben.<\/p>\n

Risiko: Schwierige Erkennung<\/strong><\/p>\n

Supply-Chain-Angriffe sind schwierig zu erkennen. Da Angreifer \u00fcber vertrauensw\u00fcrdige Drittanbieter und Lieferanten in die Systeme eindringen, sind diese Angriffe h\u00e4ufig schwieriger zu entdecken. Sie k\u00f6nnen lange Zeit unbemerkt bleiben, da die Angreifer die Sicherheitsmechanismen des Unternehmens umgehen, indem sie vertrauensw\u00fcrdige Quellen und Kommunikationskan\u00e4le ausnutzen. Solche Angriffe k\u00f6nnen sich \u00fcber Monate hinweg entwickeln, bevor sie \u00fcberhaupt bemerkt werden. In dieser Zeit haben die Angreifer gen\u00fcgend Spielraum, um Daten zu stehlen, Systeme zu manipulieren oder sogar weitere Angriffe zu starten.<\/p>\n

So sch\u00fctzen Sie sich vor Supply Chain Angriffen<\/h2>\n

Um sich vor derartigen Angriffen zu sch\u00fctzen, sollten Sie proaktive Ma\u00dfnahmen ergreifen, darunter eine sorgf\u00e4ltige Auswahl Ihrer Partner, die Implementierung einer Zero-Trust-Architektur, regelm\u00e4\u00dfige Penetrationstests und die Sensibilisierung Ihrer Mitarbeitenden.<\/p>\n

Sorgf\u00e4ltige Partnerauswahl: Audits und Zertifizierungen<\/strong><\/p>\n

W\u00e4hlen Sie Ihre Partner und Lieferanten sorgf\u00e4ltig. Lieferantenaudits sind eine hervorragende M\u00f6glichkeit, die Sicherheitspraktiken und -protokolle von Drittanbietern zu bewerten. Dies kann durch regelm\u00e4\u00dfige Sicherheits\u00fcberpr\u00fcfungen, Penetrationstests und das Einfordern von Sicherheitszertifikaten geschehen: Audits erm\u00f6glichen es, Schwachstellen fr\u00fchzeitig zu identifizieren und sicherzustellen, dass Lieferanten und Dienstleister \u00fcber die notwendigen Sicherheitsvorkehrungen verf\u00fcgen, um Angriffe zu verhindern. Zertifizierungen wie die ISO 27001 oder SOC 2 bescheinigen hohe Standards f\u00fcr Informationssicherheit und Datenschutz und sind ein Indikator daf\u00fcr, dass der Partner ernsthafte Ma\u00dfnahmen zum Schutz seiner IT-Infrastruktur und Daten ergriffen hat.<\/p>\n

Zero Trust Architektur: Kein Vertrauen in nichts und niemanden<\/strong><\/p>\n

Implementieren Sie eine Zero Trust Architektur. Der Grundgedanke dieser Sicherheitsstrategie ist simpel: Keinem System und keinem Nutzenden sollte jemals vollst\u00e4ndig vertraut werden \u2013 auch nicht innerhalb des Unternehmensnetzwerks oder der Lieferkette. Das bedeutet, dass alle Verbindungen und Systeme kontinuierlich \u00fcberpr\u00fcft und authentifiziert werden m\u00fcssen.<\/p>\n

In einer Zero-Trust-Umgebung wird jede Anfrage, sei es von einem internen Mitarbeitenden oder einem Partner, unabh\u00e4ngig von der Quelle, gepr\u00fcft. Zugriff auf sensible Daten oder Systeme erfolgt nur nach einer gr\u00fcndlichen Authentifizierung. Dies stellt sicher, dass Angreifende, die \u00fcber einen Drittanbieter ins Unternehmen eindringen, nicht ungehindert in das Netzwerk vordringen k\u00f6nnen. Um diese Strategie umzusetzen, investieren Sie in moderne Identit\u00e4ts- und Zugriffsmanagementl\u00f6sungen und \u00fcberpr\u00fcfen Sie auch regelm\u00e4\u00dfig die eigenen Sicherheitsrichtlinien.<\/p>\n

Regelm\u00e4\u00dfige Penetrationstests: Schwachstellen fr\u00fchzeitig identifizieren<\/strong><\/p>\n

F\u00fchren Sie regelm\u00e4\u00dfig Penetrationstests durch. Diese Tests simulieren realistische Cyberangriffe, um Schwachstellen in den IT-Systemen zu identifizieren, bevor es ein Angreifer tut. \u00dcberpr\u00fcfen Sie aber nicht nur die eigenen Systeme auf Sicherheitsl\u00fccken, sondern auch die Systeme der Partner und Dienstleister, die mit Ihren sensiblen Daten arbeiten. Denken Sie stets daran: Eine Schwachstelle im System eines Partners kann f\u00fcr das gesamte Unternehmen gef\u00e4hrlich sein, daher ist es von entscheidender Bedeutung, dass auch die Lieferanten ihre Sicherheitsma\u00dfnahmen regelm\u00e4\u00dfig testen.<\/p>\n

Sensibilisierung der Mitarbeitenden: Schulungen und Awareness-Programme<\/strong><\/p>\n

Mitarbeitende sind oft das schw\u00e4chste Glied in der Sicherheitskette, insbesondere wenn es um Social Engineering-Angriffe geht. Diese Art von Angriffen nutzt die Gutgl\u00e4ubigkeit von Menschen aus, um Zugang zu sensiblen Informationen oder Systemen zu erlangen. Phishing, Spear-Phishing und \u00e4hnliche Manipulationstechniken nutzen Angreifende gern in diesem Zusammenhang, um an ihre Ziele zu gelangen. Daher ist es entscheidend, dass Sie Ihre Besch\u00e4ftigten regelm\u00e4\u00dfig schulen und auf die Gefahren von Social Engineering aufmerksam machen. Weisen Sie Ihre Mitarbeitenden beispielsweise in den sicheren Umgang mit E-Mails, Links und Anh\u00e4ngen ein und f\u00fchren Sie regelm\u00e4\u00dfige Workshops, Tests und Simulationen von Phishing-Angriffen durch, um das Sicherheitsbewusstsein Ihrer Angestellten zu sch\u00e4rfen.<\/p>\n

Fazit: Augen auf bei der Partnerauswahl<\/h2>\n

Supply-Chain-Angriffe sind eine ernstzunehmende Bedrohung f\u00fcr Unternehmen aller Gr\u00f6\u00dfen und Branchen, die lange unentdeckt bleiben und mit massiven Kosten und Reputationsverlust einhergehen k\u00f6nnen. Seien Sie sich des Risikos bewusst und ergreifen Sie proaktive Ma\u00dfnahmen, um Ihre Lieferketten zu sichern. Dazu geh\u00f6rt die regelm\u00e4\u00dfige Pr\u00fcfung von Lieferanten und Partnern, der Einsatz moderner Sicherheitsarchitekturen und die Sensibilisierung der eigenen Belegschaft.<\/p>\n

Denn nur wer fr\u00fchzeitig handelt, kann verhindern, dass die Lieferkette zum Einfallstor f\u00fcr Cyberkriminelle wird.<\/p>\n