Manchmal ist mehr drin, als drauf steht. Das weiß jeder, der schon mal Opfer einer Supply-Chain-Attacke wurde. Kriminelle Hacker greifen die IT-Systeme von Unternehmen, Behörden oder Institutionen dabei zwar nicht direkt an. Der Schaden, den sie bei dieser Form der Cyberkriminalität anrichten, ist jedoch nicht minder groß.
Im Gegenteil! Denn bei einer Supply-Chain-Attacke hacken Kriminelle die Lieferkette eines Softwareherstellers oder die Rechner, mit denen er seine Produkte entwickelt, und manipulieren so dessen Software. Bleibt dies unbemerkt, entsteht eine sogenannte Zero-Day-Schwachstelle – eine Sicherheitslücke, die Programmierer übersehen und daher nicht schließen. Übergeben sie ihr Produkt mit dem Mangel an ihre Kunden, können Angreifer auch in deren Systeme eindringen. Oft hacken Kriminelle die IT von Software-Herstellern auch, um gezielt nach bereits vorhandenen Zero-Day-Schwachstellen zu suchen. In jedem Fall schaden sie mit dem Angriff nicht nur dem Softwarehersteller, sondern auch einer großen Zahl seiner Kunden.
Um die Sicherheitssysteme von Software-Anwendern zu täuschen, signieren Hacker manipulierte Patches und Updates bei Supply-Chain Angriffen bisweilen auch mit den Zertifikaten, mit denen der Hersteller des Programms die Authentizität seiner Lieferungen nachweist. Auf diese haben sie in dessen Systemen ja ebenso Zugriff wie auf sein Mailprogramm.
Auch über einen IT-Dienstleister können Kriminelle ins Unternehmen eindringen
Unternehmen können auch dann Opfer einer Supply-Chain-Attacke werden, wenn der von ihnen beauftragte Clouddienstleister infiziert wird, Software, die sie im Abo beziehen, manipuliert, oder die Systeme von Dienstleistern gehackt werden, die per Fernzugriff die IT des Betriebs oder dessen vernetzte Maschinen warten und pflegen.
Ein Supply-Chain-Angriff unterscheidet sich dabei nur in der Art wie er geführt wird von direkten Attacken auf Unternehmenssoft- und hardware. In beiden Fällen infizieren Verbrecher IT-Systeme meist mit Ransomware oder einem Trojaner, um Zugang zu Konstruktionsplänen, Dokumentationen von Produktionsverfahren oder Kunden- sowie Mitarbeiterdaten zu erlangen.
Cyberkriminelle stehlen auch Passwörter und Bankdaten, um Zahlungen umzuleiten, Produktionsanlagen ihrer Opfer stillzulegen, oder deren Online-Shops und -Support durch eine Denial-of-Service-Attacke lahmzulegen.
Bei Supply-Chain-Attacken haben Verbrecher viel Zeit, ihren Opfern zu schaden
Egal, mit welcher Schadsoftware ein Supply-Chain-Angriff geführt wird, fast immer richtet er massiven Schaden an. Denn Kriminelle können die Systeme und Daten ihrer Opfer dabei mit viel Muße plündern. Schließlich entdecken die Angegriffenen die Eindringlinge oft lange Zeit nicht, da diese über die Beziehung zu einem Partner in das Unternehmen einbrechen, der dessen Vertrauen genießt. Nicht selten können Hacker auf diesem Weg daher auch Unternehmen angreifen, die sehr gute Verteidigungssysteme aufgebaut haben.
Weil sich Opfer somit kaum gegen Supply-Chain-Attacken schützen können, steigt deren Zahl derzeit an wie die Flutwelle nach einem Unterseebeben. Die Agentur der Europäischen Union für Cybersicherheit, ENISA, schätzt dass sich die Zahl der Angriffe 2021 gegenüber dem Vorjahr vervierfacht hat.
Mehr als jeden zweiten Angriff verüben Hacker im Auftrag staatlicher Geheimdienste
In einem Bericht zu dem Thema erklärt ENISA auch, wer hinter den Verbrechen steht. „Supply-Chain-Attacken sind in der Regel, zielgerichtet, komplex, teuer und werden von Angreifern wahrscheinlich lange Zeit geplant“, schreiben die Experten. Die Tatsache, dass dazu immer zwei erfolgreiche Angriffe gehörten, zeige, wie hoch das technische Niveau der Hacker sei und mit welchem Willen zum Erfolg sie angriffen.
Über dieses Maß an krimineller Energie und die nötigen Ressourcen verfügen in der Regel nur Hackergruppen, die wie REvil, Lazarus, Mustang Panda oder Thalium im Auftrag oder mit der Rückendeckung meist russischer oder chinesischer Geheimdienste operieren. Sie stehen hinter mehr als jeder zweiten Supply-Chain-Attacke, so die ENISA.
Cyberkriminalität hat sich zu einer eigenständigen Industrie entwickelt
Diese Verbrecher-Syndikate haben Cyberkriminalität zudem zur einer regelrechten Industrie aufgebaut. Diese bietet alles, was es auch in der legalen IT-Branche gibt. So treten Hackergruppen mittlerweile als Dienstleister auf, bei denen Interessierte Ransomware-Angriffe quasi „as a Service“ bestellen können.
REvil vertreibt sogar seine gesamte Schadsoftware im Rahmen eines lizenzbasierten Geschäftsmodells an andere Hackergruppen. Von diesen bekommt es einen Prozentsatz der erpressten Lösegelder. In der „Branche“ gibt es außerdem sogenannte „Quartiermeister“. Sie verkaufen „kommerziell“ Software für Cyberangriffe – beispielsweise Tools für die Spionage in Unternehmensnetzwerken oder die Suche nach Zero-Day-Schwachstellen.
Im Geschäft mit der Cyberkriminalität locken das schnelle Geld und das geringe Risiko
Das Geschäft mit der Cyberkriminalität folgt dabei der pervertierten Logik des Grundsatzes: Wo eine Nachfrage ist, ist auch ein Markt. „Denn durch die Digitalisierung haben Unternehmen immer mehr Schnittstellen nach außen, durch die Angreifer eindringen können. Kriminellen bietet dies die Möglichkeit, mit Datendiebstählen oder Blockaden und Erpressungen Geld zu erbeuten – zumal, wenn sie mit der Attacke auf einen Softwarelieferanten mehrere Hunderte oder Tausende von dessen Kunden schädigen können“, fasst Niklas Wagener zusammen. Der ehemalige IT-Einkäufer ist heute Senior Project Manager bei der Unternehmensberatung Inverto.
In der Tat waren die Prozesse, Anlagen und Maschinen, deren Betriebs- sowie die kaufmännischen und technischen IT-Systeme von Unternehmen noch nie so umfassend und weitläufig untereinander sowie mit Lieferanten und Kunden vernetzt wie heute. Im Schnitt greifen heute 181 Software-Lieferanten und Dienstleister auf die IT eines Unternehmens zu, hat der Sicherheitsdienstleister eSecurity Planet herausgefunden.
Jede Schnittstellen eines Betriebs nach außen ist ein potenzielles Einfallstor für Kriminelle
Wie das Statistische Bundesamt berichtet mietet zudem jedes dritte Unternehmen mit mehr als zehn Beschäftigten Speicherplatz und Rechenkapazität in der Cloud oder nutzt dort Software-as-a-Service-Angebote. Das sind fünfzig Prozent mehr Unternehmen als noch vor vier Jahren. Immer mehr Betriebe mieten auch ganze Maschinen oder lassen Anlagen von Dienstleistern im Rahmen vorausschauender Wartung von Dienstleistern instandhalten.
In beiden Fällen greifen die Partner per Fernzugriff auf die Maschinen zu. Jeder Lieferant und Dienstleister, der online Zugang zur Produktionsumgebung eines Unternehmens hat, ist jedoch eine potenzielle Gefahrenquelle und kann ein Einfallstor für Cyberkriminelle sein.
Transparenz ist aller Sicherheit Anfang
Viele Betriebe haben bei dieser Entwicklung den Überblick und damit die Kontrolle über all die Punkte verloren, über die sie angegriffen werden können. Risiken, denen sie ausgesetzt sind, können sie daher kaum mehr effektiv managen.
Wer sich vor Cyberkriminellen schützen will, muss also zunächst die nötige Transparenz in seiner Softwarelandschaft schaffen. Weil vor dem Hintergrund zunehmender Supply-Chain-Attacken dabei auch die Lieferketten der in einem Betrieb genutzten Software untersucht werden müssen, kann die IT-Abteilung diese Übersicht alleine allerdings nicht herstellen. Nur sie kann zwar in der Regel ein Inventar der genutzten Soft- und Hardware, Clouddienste sowie der zu Fernzugriffen berechtigten Dienstleister sowie der Datenpfade für Sicherheitspatches und Updates erstellen. Ohne Unterstützung des Einkaufs bleibt dies jedoch eine rein technische Dokumentation.
Einkäufer müssen Lieferketten der im Betrieb genutzten Software durchleuchten
Denn nur Einkäufer nehmen in der Regel auch die Lieferketten der im Unternehmen genutzten Produkte und Dienstleistungen in den Blick. Nur wenn Kunden nach vorgelagerten Lieferanten fragen, können sie als Anwender einer Software allerdings einschätzen, welchem Risiko sie durch diese ausgesetzt sind, warnt die EU-Behörde ENISA.
Um Sicherheitslücken in der Softwarelieferkette aufzudecken, sollte der Einkauf in Gesprächen mit dem Hersteller der Anwendung danach fragen, woher die Bestandteile seiner Software kommen? Aus welchen „libraries“ er bestimmte Bestandteile seines Codes bezieht? Welche Open-Source-Bausteine er nutzt? Denn für Anbieter sind solche Zulieferungen heute selbstverständlich. Durch sie sparen sie bei der Entwicklung ihrer Produkte Zeit und Kosten.
Bei der Due Diligence für die Softwarelieferkette stellen sich viele Fragen
Einkäufer sollten auch danach fragen, wie Softwareanbieter ihre Zulieferer aussuchen, sowie welche Prozesse sie selbst implementiert haben, um die Sicherheit ihrer Produkte zu gewährleisten und Zero-Day-Schwachstellen zu vermeiden. Ebenso wichtig ist es, die Prozesse zu hinterfragen, mit denen Softwarelieferanten solche Sicherheitslücken schließen, wie sie Updates erstellen, verwalten und vor deren Auslieferung überprüfen, ob sie mit Malware infiziert oder manipuliert wurden.
„Um darauf vorbereitet zu sein, ab wann es keine Sicherheitspatches mehr geben wird, sollten Einkäufer Softwareanbieter außerdem immer danach fragen, welchen Produktlebenszyklus ihre Programme haben und wie lange sie Support anbieten“, empfiehlt Bitkom-Expertin Simran Mann. „Idealerweise lassen sie sich diese Information schriftlich bestätigen“, rät Mann.
Bei der Beschaffung von Soft- und Hardware muss der Einkauf von Anfang mit an den Tisch
Um bei der Beschaffung einer Software oder IT-Dienstleistung auch deren Lieferkette in den Blick nehmen zu können, sollten Einkäufer bei dem Prozess von Anfang an mit an den Tisch, fordert Niklas Wagener von Inverto. „Meist geht es schließlich nicht nur um die Auswahl eines Lieferanten, sondern auch darum, mit diesem eine vertrauensvolle Beziehung aufzubauen.“ Wer etwa einen Cloud-Dienstleister beauftrage, sollte mit ihm eng zusammenarbeiten und ihn als Partner entsprechend der Bedürfnisse des eigenen Unternehmens aufbauen. „Dann behält dieses auch die Kontrolle über die Lösungen, die es in der Cloud nutzt“, berichtet der IT-Einkaufsexperte.
Natürlich rät der Fachmann auch, die Prozesse, denen die Zusammenarbeit folgen soll, schriftlich zu regeln und die entsprechende Vereinbarung zum Vertragsbestandteil zu machen. „Wie ich die Kommunikation mit dem Dienstleister, Review-Meetings oder ein transparentes Monitoring seiner Leistungen gestalte, ist mindestens genauso wichtig.
wie eine mit allen juristischen Finessen formulierte Haftungsklausel“, erklärt Wagener. Denn letztere setze klar formulierte Regelungen voraus, damit sie im Zweifel überhaupt greifen kann.
„Noch entscheidender ist aber, dass es bei der Digitalisierung vorrangig um Prozesse geht – nicht um die Tools, die Betriebe bei diesen nutzen. Nur wenn sie ihre Prozesse entsprechend gestalten, haben Unternehmen auch die Chance, sich bestmöglich gegen Supply-Chain Angriffe zu schützen“, so Wagener.
Wenn das gelingt, ist in den Software-Lieferungen ihrer Partner auch nur das drin, was drin sein soll.
