Welche Folgen haben Cyber-Angriffe auf Lieferketten?

Welche Folgen haben Cyber-Angriffe auf Lieferketten?

Bei Supply-Chain-Attacken dringen Kriminelle in Unternehmens-Systeme ein. Welche Folgen hat das sowohl für das Unternehmen selbst, aber auch für seine Kunden?

Bei Supply-Chain-Attacken dringen Kriminelle über vermeintliche sichere Software oder Cloud-Anwendungen in die Systeme von Unternehmen ein. Da damit die Lieferkette des entsprechenden Programms oder der Dienstleistung nicht sicher ist, müssen IT und Einkauf eng zusammenarbeiten, um Unternehmen vor den perfiden Angriffen zu schützen.

Manchmal ist mehr drin, als drauf steht. Das weiß jeder, der schon mal Opfer einer Supply-Chain-Attacke wurde. Kriminelle Hacker greifen die IT-Systeme von Unternehmen, Behörden oder Institutionen dabei zwar nicht direkt an. Der Schaden, den sie bei dieser Form der Cyberkriminalität anrichten, ist jedoch nicht minder groß.

Im Gegenteil! Denn bei einer Supply-Chain-Attacke hacken Kriminelle die Lieferkette eines Softwareherstellers oder die Rechner, mit denen er seine Produkte entwickelt, und manipulieren so dessen Software. Bleibt dies unbemerkt, entsteht eine sogenannte Zero-Day-Schwachstelle – eine Sicherheitslücke, die Programmierer übersehen und daher nicht schließen. Übergeben sie ihr Produkt mit dem Mangel an ihre Kunden, können Angreifer auch in deren Systeme eindringen. Oft hacken Kriminelle die IT von Software-Herstellern auch, um gezielt nach bereits vorhandenen Zero-Day-Schwachstellen zu suchen. In jedem Fall schaden sie mit dem Angriff nicht nur dem Softwarehersteller, sondern auch einer großen Zahl seiner Kunden.

Ein manipuliertes Sicherheitspatch ist bei Supply-Chain-Attacken kaum zu erkennen

So war das beispielsweise beim Angriff der Hackergruppe REvil auf den US-amerikanischen IT-Management- und –Sicherheitsdienstleister Kaseya. Ihr fielen im Juli 2021 gut 1000 Unternehmen zum Opfer – darunter die schwedische Supermarktkette Coop. Sie musste ein Wochenende lang schließen, weil ihre Abrechnungssysteme nicht mehr funktionierten.

Einen anderen Angriffsweg wählen Cyberkriminelle bei Supply-Chain-Attacken, wenn sie nach dem Hack eines Softwareanbieters dessen Produkte mit bösartigem Code infizieren und diesen bei einem Sicherheitspatch oder einem Update an dessen Kunden übermitteln. „Weil die Kriminellen zuvor in die Systeme des Softwarelieferanten eingedrungen sind, können sie die Patches mit einer Mail verschicken, die der Empfänger nicht als bösartig erkennt. Schließlich wird sie von einer Adresse abgeschickt, die er im Filter seiner Firewall als vertrauenswürdig definiert hat“, erklärt die Referentin für Sicherheitspolitik beim Digitalverband Bitkom, Simran Mann.

Um die Sicherheitssysteme von Software-Anwendern zu täuschen, signieren Hacker manipulierte Patches und Updates bei Supply-Chain Angriffen bisweilen auch mit den Zertifikaten, mit denen der Hersteller des Programms die Authentizität seiner Lieferungen nachweist. Auf diese haben sie in dessen Systemen ja ebenso Zugriff wie auf sein Mailprogramm.

Auch über einen IT-Dienstleister können Kriminelle ins Unternehmen eindringen

Unternehmen können auch dann Opfer einer Supply-Chain-Attacke werden, wenn der von ihnen beauftragte Clouddienstleister infiziert wird, Software, die sie im Abo beziehen, manipuliert, oder die Systeme von Dienstleistern gehackt werden, die per Fernzugriff die IT des Betriebs oder dessen vernetzte Maschinen warten und pflegen.

Ein Supply-Chain-Angriff unterscheidet sich dabei nur in der Art wie er geführt wird von direkten Attacken auf Unternehmenssoft- und  hardware. In beiden Fällen infizieren Verbrecher IT-Systeme meist mit Ransomware oder einem Trojaner, um Zugang zu Konstruktionsplänen, Dokumentationen von Produktionsverfahren oder Kunden- sowie Mitarbeiterdaten zu erlangen.

Cyberkriminelle stehlen auch Passwörter und Bankdaten, um Zahlungen umzuleiten, Produktionsanlagen ihrer Opfer stillzulegen, oder deren Online-Shops und -Support durch eine Denial-of-Service-Attacke lahmzulegen.

Bei Supply-Chain-Attacken haben Verbrecher viel Zeit, ihren Opfern zu schaden

Egal, mit welcher Schadsoftware ein Supply-Chain-Angriff geführt wird, fast immer richtet er massiven Schaden an. Denn Kriminelle können die Systeme und Daten ihrer Opfer dabei mit viel Muße plündern. Schließlich entdecken die Angegriffenen die Eindringlinge oft lange Zeit nicht, da diese über die Beziehung zu einem Partner in das Unternehmen einbrechen, der dessen Vertrauen genießt. Nicht selten können Hacker auf diesem Weg daher auch Unternehmen angreifen, die sehr gute Verteidigungssysteme aufgebaut haben.

Weil sich Opfer somit kaum gegen Supply-Chain-Attacken schützen können, steigt deren Zahl derzeit an wie die Flutwelle nach einem Unterseebeben. Die Agentur der Europäischen Union für Cybersicherheit, ENISA, schätzt dass sich die Zahl der Angriffe 2021 gegenüber dem Vorjahr vervierfacht hat.

Mehr als jeden zweiten Angriff verüben Hacker im Auftrag staatlicher Geheimdienste

In einem Bericht zu dem Thema erklärt ENISA auch, wer hinter den Verbrechen steht. „Supply-Chain-Attacken sind in der Regel, zielgerichtet, komplex, teuer und werden von Angreifern wahrscheinlich lange Zeit geplant“, schreiben die Experten. Die Tatsache, dass dazu immer zwei erfolgreiche Angriffe gehörten, zeige, wie hoch das technische Niveau der Hacker sei und mit welchem Willen zum Erfolg sie angriffen.

Über dieses Maß an krimineller Energie und die nötigen Ressourcen verfügen in der Regel nur Hackergruppen, die wie REvil, Lazarus, Mustang Panda oder Thalium im Auftrag oder mit der Rückendeckung meist russischer oder chinesischer Geheimdienste operieren. Sie stehen hinter mehr als jeder zweiten Supply-Chain-Attacke, so die ENISA.

Cyberkriminalität hat sich zu einer eigenständigen Industrie entwickelt

Diese Verbrecher-Syndikate haben Cyberkriminalität zudem zur einer regelrechten Industrie aufgebaut. Diese bietet alles, was es auch in der legalen IT-Branche gibt. So treten Hackergruppen mittlerweile als Dienstleister auf, bei denen Interessierte Ransomware-Angriffe quasi „as a Service“ bestellen können.

REvil vertreibt sogar seine gesamte Schadsoftware im Rahmen eines lizenzbasierten Geschäftsmodells an andere Hackergruppen. Von diesen bekommt es einen Prozentsatz der erpressten Lösegelder. In der „Branche“ gibt es außerdem sogenannte „Quartiermeister“. Sie verkaufen „kommerziell“ Software für Cyberangriffe – beispielsweise Tools für die Spionage in Unternehmensnetzwerken oder die Suche nach Zero-Day-Schwachstellen.

Im Geschäft mit der Cyberkriminalität locken das schnelle Geld und das geringe Risiko

Das Geschäft mit der Cyberkriminalität folgt dabei der pervertierten Logik des Grundsatzes: Wo eine Nachfrage ist, ist auch ein Markt. „Denn durch die Digitalisierung haben Unternehmen immer mehr Schnittstellen nach außen, durch die Angreifer eindringen können. Kriminellen bietet dies die Möglichkeit, mit Datendiebstählen oder Blockaden und Erpressungen Geld zu erbeuten – zumal, wenn sie mit der Attacke auf einen Softwarelieferanten mehrere Hunderte oder Tausende von dessen Kunden schädigen können“, fasst Niklas Wagener zusammen. Der ehemalige IT-Einkäufer ist heute Senior Project Manager bei der Unternehmensberatung Inverto.

In der Tat waren die Prozesse, Anlagen und Maschinen, deren Betriebs- sowie die kaufmännischen und technischen IT-Systeme von Unternehmen noch nie so umfassend und weitläufig untereinander sowie mit Lieferanten und Kunden vernetzt wie heute. Im Schnitt greifen heute 181 Software-Lieferanten und Dienstleister auf die IT eines Unternehmens zu, hat der Sicherheitsdienstleister eSecurity Planet herausgefunden.

Jede Schnittstellen eines Betriebs nach außen ist ein potenzielles Einfallstor für Kriminelle

Wie das Statistische Bundesamt berichtet mietet zudem jedes dritte Unternehmen mit mehr als zehn Beschäftigten Speicherplatz und Rechenkapazität in der Cloud oder nutzt dort Software-as-a-Service-Angebote. Das sind fünfzig Prozent mehr Unternehmen als noch vor vier Jahren. Immer mehr Betriebe mieten auch ganze Maschinen oder lassen Anlagen von Dienstleistern im Rahmen vorausschauender Wartung von Dienstleistern instandhalten.

In beiden Fällen greifen die Partner per Fernzugriff auf die Maschinen zu. Jeder Lieferant und Dienstleister, der online Zugang zur Produktionsumgebung eines Unternehmens hat, ist jedoch eine potenzielle Gefahrenquelle und kann ein Einfallstor für Cyberkriminelle sein.

Transparenz ist aller Sicherheit Anfang

Viele Betriebe haben bei dieser Entwicklung den Überblick und damit die Kontrolle über all die Punkte verloren, über die sie angegriffen werden können. Risiken, denen sie ausgesetzt sind, können sie daher kaum mehr effektiv managen.

Wer sich vor Cyberkriminellen schützen will, muss also zunächst die nötige Transparenz in seiner Softwarelandschaft schaffen. Weil vor dem Hintergrund zunehmender Supply-Chain-Attacken dabei auch die Lieferketten der in einem Betrieb genutzten Software untersucht werden müssen, kann die IT-Abteilung diese Übersicht alleine allerdings nicht herstellen. Nur sie kann zwar in der Regel ein Inventar der genutzten Soft- und Hardware, Clouddienste sowie der zu Fernzugriffen berechtigten Dienstleister sowie der Datenpfade für Sicherheitspatches und Updates erstellen. Ohne Unterstützung des Einkaufs bleibt dies jedoch eine rein technische Dokumentation.

Einkäufer müssen Lieferketten der im Betrieb genutzten Software durchleuchten

Denn nur Einkäufer nehmen in der Regel auch die Lieferketten der im Unternehmen genutzten Produkte und Dienstleistungen in den Blick. Nur wenn Kunden nach vorgelagerten Lieferanten fragen, können sie als Anwender einer Software allerdings einschätzen, welchem Risiko sie durch diese ausgesetzt sind, warnt die EU-Behörde ENISA.

Um Sicherheitslücken in der Softwarelieferkette aufzudecken, sollte der Einkauf in Gesprächen mit dem Hersteller der Anwendung danach fragen, woher die Bestandteile seiner Software kommen? Aus welchen „libraries“ er bestimmte Bestandteile seines Codes bezieht? Welche Open-Source-Bausteine er nutzt? Denn für Anbieter sind solche Zulieferungen heute selbstverständlich. Durch sie sparen sie bei der Entwicklung ihrer Produkte Zeit und Kosten.

Bei der Due Diligence für die Softwarelieferkette stellen sich viele Fragen

Einkäufer sollten auch danach fragen, wie Softwareanbieter ihre Zulieferer aussuchen, sowie welche Prozesse sie selbst implementiert haben, um die Sicherheit ihrer Produkte zu gewährleisten und Zero-Day-Schwachstellen zu vermeiden. Ebenso wichtig ist es, die Prozesse zu hinterfragen, mit denen Softwarelieferanten solche Sicherheitslücken schließen, wie sie Updates erstellen, verwalten und vor deren Auslieferung überprüfen, ob sie mit Malware infiziert oder manipuliert wurden.

„Um darauf vorbereitet zu sein, ab wann es keine Sicherheitspatches mehr geben wird, sollten Einkäufer Softwareanbieter außerdem immer danach fragen, welchen Produktlebenszyklus ihre Programme haben und wie lange sie Support anbieten“, empfiehlt Bitkom-Expertin Simran Mann. „Idealerweise lassen sie sich diese Information schriftlich bestätigen“, rät Mann.

Bei der Beschaffung von Soft- und Hardware muss der Einkauf von Anfang mit an den Tisch

Um bei der Beschaffung einer Software oder IT-Dienstleistung auch deren Lieferkette in den Blick nehmen zu können, sollten Einkäufer bei dem Prozess von Anfang an mit an den Tisch, fordert Niklas Wagener von Inverto. „Meist geht es schließlich nicht nur um die Auswahl eines Lieferanten, sondern auch darum, mit diesem eine vertrauensvolle Beziehung aufzubauen.“ Wer etwa einen Cloud-Dienstleister beauftrage, sollte mit ihm eng zusammenarbeiten und ihn als Partner entsprechend der Bedürfnisse des eigenen Unternehmens aufbauen. „Dann behält dieses auch die Kontrolle über die Lösungen, die es in der Cloud nutzt“, berichtet der IT-Einkaufsexperte.

Natürlich rät der Fachmann auch, die Prozesse, denen die Zusammenarbeit folgen soll, schriftlich zu regeln und die entsprechende Vereinbarung zum Vertragsbestandteil zu machen. „Wie ich die Kommunikation mit dem Dienstleister, Review-Meetings oder ein transparentes Monitoring seiner Leistungen gestalte, ist mindestens genauso wichtig.

wie eine mit allen juristischen Finessen formulierte Haftungsklausel“, erklärt Wagener. Denn letztere setze klar formulierte Regelungen voraus, damit sie im Zweifel überhaupt greifen kann.

„Noch entscheidender ist aber, dass es bei der Digitalisierung vorrangig um Prozesse geht – nicht um die Tools, die Betriebe bei diesen nutzen. Nur wenn sie ihre Prozesse entsprechend gestalten, haben Unternehmen auch die Chance, sich bestmöglich gegen Supply-Chain Angriffe zu schützen“, so Wagener.

Wenn das gelingt, ist in den Software-Lieferungen ihrer Partner auch nur das drin, was drin sein soll.

 

Quelle: technik-einkauf.de vom 16.08.2022

Autor: Gerd Mischler

Alle Rechte vorbehalten: verlag moderne industrie GmbH

Melanie Burkard-Pispers

Head of Marketing & Communication

melanie.burkard@inverto.com Kontakt

Ina Ullrich

Press Relations Manager

ina.ullrich@inverto.com Kontakt