Cyber-Angriffe auf die Lieferkette: Unternehmen sollten Risiken erkennen und gezielt vorbeugen

Cyber-Angreifer nutzen hierzu bestehendes Vertrauen in Geschäftsbeziehungen und die Sicherheitsarchitektur aus

[datensicherheit.de, 30.10.2024] Cyber-Angriffe auf die Lieferkette (Supply Chain) gelten als zu den erfolgreichsten Attacken zählenden, denn sie treffen Unternehmen direkt im Herzstück ihrer IT-Infrastruktur – im Rechenzentrum. Cyber-Angreifer nutzen hierzu bestehendes Vertrauen in Geschäftsbeziehungen und die Sicherheitsarchitektur aus, um etwa durch bösartige Software-Updates oder über Service-Provider Zugang zu sensiblen Daten zu erlangen. Nun aber kommt die neue NIS-2-Direktive ins Spiel. Richard Werner, „Security Advisor“ bei Trend Micro, beleuchtet in seiner aktuellen Stellungnahme verschiedene Angriffsszenarien und zeigt auf, mit welchen NIS-2-Maßnahmen Unternehmen sich besser davor schützen könnten.

Foto: Trend Micro

Richard Werner warnt: Geht ein Cyber-Angriff von innen aus, können sich die Täter meist mühelos ausbreiten!

Wegen der großen Tragweite sollten sich Unternehmen der Risiken von Cyber-Angriffen auf die Lieferkette unbedingt bewusst sein

„Angriffe auf die Lieferkette (Supply Chain) sind besonders gefährlich, weil sie darauf ausgelegt sind, Sicherheitsmechanismen auf Seiten der Verteidiger zu umgehen“, erläutert Werner. Beispielsweise seien bösartige Software-Updates deshalb so erfolgreich, weil ein Update meist in verschlüsselter Form direkt ins Rechenzentrum des Opfers eingeschleust werde.

Unternehmen verteidigten sich dagegen häufig von außen nach innen, wobei das Rechenzentrum selbst durch verschiedenen Sicherheitsebenen nach außen geschützt sei, oft aber nur noch minimale Sicherheitsvorkehrungen von innen nach außen beinhalte. Werner warnt: „Geht ein Angriff von innen aus, können sich die Täter meist mühelos ausbreiten. Es spielt dabei kaum eine Rolle, ob das Rechenzentrum virtuell oder ,cloud’-basiert aufgebaut ist.“

Wegen der großen Tragweite sollten sich Unternehmen der Risiken von Cyber-Angriffen auf die Lieferkette unbedingt bewusst sein. Dies fordere auch NIS-2 ein und verpflichte IT-Sicherheitsverantwortliche Vorkehrungen zu treffen, um Eintrittswahrscheinlichkeit und Auswirkung abzumildern.

4 Arten von Cyber-Angriffen auf die Lieferkette

Unternehmen, die unter NIS-2 fallen, müssten die Lieferkette als Risiko für die Cyber-Sicherheit berücksichtigen, bewerten und entsprechende Maßnahmen ergreifen Dabei sind laut Werner vor allem vier Formen von Angriffen auf die Lieferkette relevant:

• 1. Angriffsform: Bösartige Software-Updates
  „Diese Variante wandten die Kriminellen in den Angriffen ,NotPetya’ (2017), ,Kaseya’ (2021) und ,Solarwinds’ (2022) an.“ Dabei werde jeweils ein Hersteller mit großer Kundenanzahl infiltriert und dessen Update-Prozess gekapert. Statt einer normalen Aktualisierung werde ein Angriffswerkzeug an die Kunden übermittelt.

• 2. Angriffsform: Lieferkettenangriff über Service-Dienstleister
  Diese funktionierten ähnlich: „Hier wird meist die Installation des Dienstleisters zuerst angegangen. Die Opfer, vor allem dessen Kunden, haben dabei kaum Einflussmöglichkeit.“ Weltweit bekannt seien die Angriffe auf „Kaseya“ (2021) sowie „MoveIT“ (2023).

• 3. Angriffsform: „Island Hopping“
  „Diese Variante ist ein gezielterer Angriff. Hierbei wird ein Partner in der Lieferkette durch die Angreifer übernommen.“ Von dieser Basis aus würden Teilnehmer der Kette mittels normaler Kommunikationswege angegriffen. So könne zum Beispiel ein bösartiger Link oder E-Mail-Anhang aus einer vertrauenswürdigen Quelle geteilt werden. Die Gruppe „Emotet“ habe dieses Vorgehen bis zu ihrem Takedown (2021) automatisiert.

• 4. Angriffsform: Wiederverwendete Programmier-Ressourcen
  Um für Kunden immer wieder neue Funktionalität zur Verfügung zu stellen, müsse die Entwicklung meist schnell sein. Häufig werde dies durch die Wiederverwendung vorprogrammierter Funktionen oder Codefragmente kompensiert. „Daher werden bei Angriffen häufig verwendete Programmierressourcen missbraucht, um Malware an die Opfer über die Lieferkette zu verteilen.“ In einem Beispiel aus dem Jahr 2021 sei ein beliebtes NPM-Paket, „UAParser.js“, kompromittiert worden, was zur Verbreitung von Malware in Millionen von Projekten geführt habe. Deshalb forderten Experten eine „Software Bill of Material“ (SBOM), um betroffene Segmente schneller identifizieren zu können.

Cyber-Schutzmaßnahmen für die Lieferkette gemäß NIS-2

Per Gesetz müssten Unternehmen sich der Risiken von Bedrohungen für die Lieferkette bewusst sein und Vorkehrungen treffen, um deren Eintrittswahrscheinlichkeit und Auswirkung entsprechend abzumildern. Die NIS-2-Direktive gehe dabei über diese allgemeine Risikobetrachtung der Lieferkette hinaus. „Es geht nicht darum, ob ein Partner ausfällt, sondern um die ganz besonderen Risiken, die Aufgrund der Verbundenheit mit der IT entstehen.“ Zur Cyber-Risikodiskussion empfehlen sich laut Werner die folgenden Szenarien:

• Szenario: Absicherung
  Die eigenen Server könnten zum Ausgangspunkt eines Cyber-Angriffs werden, weswegen auch dort Sicherheitsmechanismen etabliert sein müssten, „die einen Eindringling entdecken (z.B. XDR) und die im Rechenzentrum befindlichen Systeme schützen“.

• 2. Szenario: Verhandlungen
  Unternehmen sollten gemeinsam mit ihren Partnern Herangehensweisen zu automatisierten Datenaustausch erarbeiten (z.B. Frühwarnsysteme). „Eines der Probleme bei ,MoveIT’ war, dass Kunden zwar von ihrem Service-Provider hörten, aber erst durch die Erpressungsversuche der Täter das Ausmaß klar wurde.“

Was Angriffe über die „Supply Chain“ zusätzlich gefährlich mache, sei die Vertrauensstellung eines Partners. So würden Sicherheitsmaßnahmen dadurch ausgehebelt. „Geht der Angreifer dabei geschickt vor, schöpft der Mitarbeiter keinen Verdacht und führt eingeforderte Aktionen unüberlegt durch. Schließlich führt er die Konversation mit einem ,vertrauten Menschen’.“

Neben rein technischen Maßnahmen sollten im offenen Austausch mit Partnern gemeinsam Cyber-Sicherheitsstrategien entwickelt werden

Lieferketten-Angriffe gehörten zu den erfolgreichsten Cyber-Waffen, welche jedes Unternehmen in unterschiedlichem Ausmaß betreffen könnten. Um Risiken zu minimieren, müssten Unternehmen potenzielle Gefahren abwägen und geeignete Schutzmaßnahmen ergreifen. Auch innerhalb von Netzwerken sollte der sogenannte Zero-Trust-Ansatz gelten, um Angriffe zu verhindern.

„Neben technischen Maßnahmen empfiehlt sich der offene Austausch mit Partnern, um gemeinsam Cyber-Sicherheitsstrategien zu entwickeln und Bedenken zu adressieren“, rät Werner abschließend. Dies sorge nicht nur für mehr Sicherheit innerhalb der Lieferkette, sondern wirke sich gleichzeitig positiv auf Geschäftsbeziehungen aus.

Weitere Informationen zum Thema:

datensicherheit.de, 01.07.2024
Cyber-Sicherheit entlang der Lieferkette: Unternehmen müssen sich wieder auf Grundlagen besinnen / Hacker missbrauchen Lieferketten, um gezielte Angriffe auf Unternehmen mit großen Kundendatenbeständen zu starten

datensicherheit.de, 13.05.2024
Blinder Fleck der Cybersecurity: Software-Lieferketten als Einfallstor / Eine große Mehrheit der Unternehmen hatte einen Cyber-Vorfall innerhalb der vergangenen zwölf Monate

datensicherheit.de, 19.04.2024
NIS-2: Die Bedeutung der Richtlinie für die Lieferkette / ESET-Podcast „WeTalkSecurity“ widmet sich der Rolle der Lieferkette im Kontext der NIS-2-Richtlinie