Bedrohungslage

Supply Chain Angriffe: Die Lieferkette im Visier

10. Dezember 2024 von Marek Röhner
Supply Chain Angriffe
©imageKing - Adobe Stock

5
(2)

In einer zunehmend digitalisierten und vernetzten Welt sind Unternehmen nicht nur auf ihre eigenen Sicherheitsvorkehrungen angewiesen, sondern auch auf die ihrer Partner und Drittanbieter. Cyberkriminelle machen sich diese Abhängigkeit zunutze: Supply Chain Angriffe, auch Lieferkettenangriffe genannt, zählen mittlerweile zu den gefährlichsten und raffiniertesten Bedrohungen. Doch wie funktionieren sie, warum sind sie so gefährlich, und wie können Unternehmen sich schützen? Wir klären auf.

Was sind Supply Chain Angriffe?

Supply Chain Angriffe (Lieferkettenangriffe) sind eine ausgeklügelte Taktik von Cyberkriminellen, bei der sie nicht das eigentliche Zielunternehmen direkt angreifen, sondern Schwachstellen in der Lieferkette nutzen, um ihr Ziel zu erreichen. Die Lieferkette umfasst alle Partner, Drittanbieter und Dienstleister, die mit einem Unternehmen vernetzt sind oder dessen Prozesse unterstützen.

Ihre indirekte Natur macht Supply Chain Angriffe damit auch so gefährlich: Unternehmen vertrauen in der Regel darauf, dass ihre Partner und Lieferanten sicherheitsbewusst handeln – und dieses Vertrauen nutzen Cyberkriminelle schamlos aus. Über scheinbar vertrauenswürdige Verbindungen verschaffen sie sich Zugang zu sensiblen Daten oder IT-Systemen des eigentlichen Zielunternehmens. Veraltete Software, unzureichend geschützte Netzwerke oder mangelnde Sicherheitsprotokolle werden zur Einfallstür für weitreichende Angriffe.

Wie funktionieren Supply Chain Angriffe?

Identifikation eines Zielpartners
Zuächst recherchieren die Kriminellen, welche Partner, Dienstleister oder Drittanbieter ein Unternehmen nutzt. Besonders im Fokus stehen Anbieter von Software, IT-Dienstleistungen oder Cloud-Diensten, da sie oft privilegierten Zugriff auf die Systeme ihrer Kunden haben.

Kompromittierung des Partners
Die Angreifenden suchen nun Schwachstellen im System des Lieferanten oder Drittanbieters, z.B. veraltete Sicherheitsprotokolle oder fehlerhafte Zugangsbeschränkungen. Sie können aber auch Social Engineering nutzen, um Mitarbeitende zu täuschen und Zugangsdaten zu erlangen.

Einbringen von Schadcode
Ist der Zugriff erfolgreich, manipulieren sie Produkte, Software oder Dienstleistungen des Lieferanten. Ein typisches Szenario ist die Manipulation von Software-Updates. Dazu schleusen die Cyberkriminellen Schadcode in ein Update des Lieferanten ein, das später an die Kunden ausgeliefert wird.

Verbreitung über die Lieferkette
Sobald das manipulierte Update oder Produkt an das Zielunternehmen geliefert wird, wird der Schadcode aktiv. Je nachdem, wie weitreichend der Zugriff ist, können die Angreifer sensible Daten stehlen, Netzwerke infiltrieren oder Systeme sabotieren.

Ausweitung des Angriffs
Von einem betroffenen Unternehmen kann sich der Angriff auf weitere Partner ausdehnen, wodurch eine Kettenreaktion entsteht.

Prominente Supply Chain Angriffe

SolarWinds-Hack

Der SolarWinds-Hack aus dem Jahr 2020 zählt zu den größten und ausgeklügeltsten Cyberangriffen der letzten Jahre mit über 18.000 betroffenen Unternehmen und Organisationen.

Der Angriff nahm seinen Ursprung in der Netzwerktechnologie des Unternehmens SolarWinds, das mit seiner Orion-Software eine beliebte Lösung für das IT-Management von großen Organisationen anbot. Cyberkrminellen gelang es, die Update-Server von SolarWinds zu kompromittieren. Sie integrierten Schadcode in ein reguläres Software-Update der Orion-Software, das dann an SolarWinds-Kunden weltweit verteilt wurde. Diese Kunden, darunter einige der größten Unternehmen und Behörden, installierten das Update und infizierten so unbewusst ihre Systeme.

Die manipulierte Software ermöglichte es den Angreifern, mit einer als SUNBURST bezeichneten Malware in die Netzwerke der Opfer einzudringen. Einmal installiert, gab der Schadcode den Angreifern weitreichenden Zugriff auf die betroffenen Systeme und erlaubte es ihnen, sich lateral innerhalb der Netzwerke zu bewegen und Daten zu sammeln, ohne dass die Sicherheitsmaßnahmen der betroffenen Organisationen sofort Alarm schlugen. Der Angriff war so geschickt ausgeführt, dass er über Monate hinweg unentdeckt blieb, was den Angreifern genügend Zeit gab, ihre Aktivitäten auszubauen.

Unter den prominentesten Opfern befanden sich hochrangige US-Regierungsbehörden, wie das Department of Homeland Security (DHS), das Finanzministerium und die National Nuclear Security Administration (NNSA). Auch Unternehmen wie Microsoft, Cisco und das Sicherheitsunternehmen FireEye wurden betroffen. Das Ausmaß des Angriffs war global und betraf Organisationen auf der ganzen Welt. In vielen Fällen wussten die Opfer nicht, dass ihre Systeme bereits kompromittiert waren, was den Schaden erheblich vergrößerte.

NotPetya-Angriff

Der NotPetya-Angriff aus dem Jahr 2017 gilt als einer der teuersten Cyberangriffe der Geschichte: Insgesamt wird der wirtschaftliche Schaden auf etwa 10 Milliarden US-Dollar beziffert. Obwohl die Schadsoftware zunächst wie ein Ransomware-Angriff erschien, entpuppte sie sich als Wiper – eine Malware, die Daten irreversibel zerstört, anstatt Lösegeld zu erpressen.

Der Angriff nahm seinen Ursprung in der Ukraine, wo die Buchhaltungssoftware M.E.Doc von vielen Unternehmen genutzt wurde. Angreifer kompromittierten die Update-Server des Softwareanbieters und injizierten Schadcode in ein reguläres Software-Update. Kunden, die dieses Update installierten, infizierten unbewusst ihre Systeme. Anschließend nutzte NotPetya bekannte Schwachstellen in Windows-Systemen, darunter die EternalBlue-Exploit, um sich innerhalb von Netzwerken weiterzuverbreiten. Zusätzlich setzte die Malware legitime Windows-Tools wie PsExec und WMIC ein, um lateral durch Netzwerke zu wandern. Anders als typische Ransomware-Angriffe verschlüsselte NotPetya nicht nur Daten, sondern zerstörte die Master File Table (MFT) von Festplatten, wodurch der Zugriff auf Daten vollständig verhindert wurde.

Die Malware breitete sich schnell global aus. Unter den Opfern befand sich der dänische Logistikkonzern Maersk, der massive Ausfälle in seinem weltweiten Transportnetzwerk erlebte, mit geschätzten Kosten von über 300 Millionen US-Dollar. Ähnlich hart betroffen war der US-Pharmakonzern Merck, der Verluste in Höhe von rund 870 Millionen US-Dollar verzeichnete. Auch die FedEx-Tochter TNT Express musste erhebliche Einbußen hinnehmen, die auf etwa 400 Millionen US-Dollar geschätzt wurden.

Target Hack

Der Target-Hack aus dem Jahr 2013 gehört zu den folgenschwersten Cyberangriffen auf den Einzelhandel. Er betraf den US-amerikanischen Einzelhandelsriesen Target, bei dem die persönlichen und finanziellen Daten von rund 40 Millionen Kunden kompromittiert wurden. Zusätzlich wurden die Daten von 70 Millionen weiteren Personen gestohlen, darunter Namen, Adressen, Telefonnummern und E-Mail-Adressen.

Der Angriff begann im November 2013 und dauerte bis kurz vor Weihnachten, was ihn besonders verheerend für das Unternehmen machte, da dies eine der umsatzstärksten Phasen des Jahres war. Die Angreifer nutzten eine Schwachstelle im System von Fazio Mechanical Services, ein Drittanbieter, der für die Heizungs-, Lüftungs- und Klimaanlagen (HVAC) von Target zuständig war. Über diese Verbindung gelang es den Hackern, Zugang zu den internen Systemen von Target zu erlangen.

Einmal im Netzwerk, installierten die Angreifer eine Malware auf den Point-of-Sale (POS)-Kassen, die in den Filialen von Target verwendet wurden. Diese Malware war darauf ausgelegt, Kredit- und Debitkartendaten zu sammeln, die während des Bezahlvorgangs erfasst wurden. Zu den gestohlenen Daten gehörten Kartenummern, Gültigkeitsdaten und Sicherheitscodes, die für den Diebstahl von Geld und für den Weiterverkauf auf dem Schwarzmarkt verwendet wurden. Da der Angriff in der umsatzstarken Vorweihnachtszeit statttfand, war die Anzahl der betroffenen Personen enorm.

Die Auswirkungen des Hacks waren nicht nur finanzieller Natur, sondern auch ein massiver Schlag für das Vertrauen der Kunden in die Fähigkeit von Unternehmen, ihre Daten zu schützen.
Die finanziellen Verluste für Target waren beträchtlich; Das Unternehmen meldete Gesamtkosten von rund 162 Millionen US-Dollar als direkte Folge des Hacks, obwohl die endgültigen Kosten aufgrund von Rechtsstreitigkeiten, Entschädigungszahlungen und verbesserten Sicherheitsmaßnahmen später noch höher ausfielen.

Deshalb sind Supply Chain Angriffe so gefährlich

Supply-Chain-Angriffe bringen eine Vielzahl von Risiken und Herausforderungen mit sich, die für Unternehmen schwer zu erkennen und zu bewältigen sind.

Risiko: (Zu großes) Vertrauen in Partner

In vielen Fällen verlassen sich Unternehmen blind auf die Sicherheitsvorkehrungen und -praktiken ihrer Partner. Ein Fehler: Das Vertrauen, dass ein Lieferant oder Dienstleister seine Systeme genauso gut schützt wie das eigene Unternehmen, kann zum Einfallsor werden. Hacker nutzen dieses Vertrauen nämlich geschickt aus: Sie greifen zunächst einen Partner oder Lieferanten an, der Zugang zu den Systemen des Unternehmens hat. Da der Angriff über einen scheinbar vertrauenswürdigen Kanal erfolgt, wird er oft nicht sofort erkannt. Dies führt dazu, dass sich Angreifer ungehindert und mit weit weniger Risiko in das Netzwerk des Zielunternehmens einschleichen können. Wenn ein Unternehmen darauf vertraut, dass seine Partner die gleichen Sicherheitsstandards einhalten, kann der Angriff in der Lieferkette weitgehend unbemerkt bleiben.

Risiko: Breite Angriffsfläche

Ein weiteres erhebliches Risiko von Supply-Chain-Angriffen ist die breite Angriffsfläche, die sie bieten. Wenn ein Angreifer erfolgreich einen Lieferanten oder Drittanbieter infiltriert, hat er potenziell Zugriff auf die Daten und Systeme aller Unternehmen, die mit diesem Partner verbunden sind. Das bedeutet, dass ein einzelner, gut platzierter Angriff auf einen Zulieferer zahlreiche Unternehmen gleichzeitig gefährden kann. Die obigen prominenten Beispiele zeigen eindrucksvoll, wie Angriffe auf weit vernetzte Lieferketten massive Kettenreaktionen auslösen können.

Je mehr Partner und Drittanbieter in die Lieferkette eines Unternehmens eingebunden sind, desto größer wird die Angriffsfläche. Selbst ein kleiner Fehler oder eine unzureichende Sicherheitsmaßnahme bei nur einem Drittanbieter kann massive Auswirkungen auf das gesamte Netzwerk von Partnerunternehmen haben.

Risiko: Schwierige Erkennung

Supply-Chain-Angriffe sind schwierig zu erkennen. Da Angreifer über vertrauenswürdige Drittanbieter und Lieferanten in die Systeme eindringen, sind diese Angriffe häufig schwieriger zu entdecken. Sie können lange Zeit unbemerkt bleiben, da die Angreifer die Sicherheitsmechanismen des Unternehmens umgehen, indem sie vertrauenswürdige Quellen und Kommunikationskanäle ausnutzen. Solche Angriffe können sich über Monate hinweg entwickeln, bevor sie überhaupt bemerkt werden. In dieser Zeit haben die Angreifer genügend Spielraum, um Daten zu stehlen, Systeme zu manipulieren oder sogar weitere Angriffe zu starten.

So schützen Sie sich vor Supply Chain Angriffen

Um sich vor derartigen Angriffen zu schützen, sollten Sie proaktive Maßnahmen ergreifen, darunter eine sorgfältige Auswahl Ihrer Partner, die Implementierung einer Zero-Trust-Architektur, regelmäßige Penetrationstests und die Sensibilisierung Ihrer Mitarbeitenden.

Sorgfältige Partnerauswahl: Audits und Zertifizierungen

Wählen Sie Ihre Partner und Lieferanten sorgfältig. Lieferantenaudits sind eine hervorragende Möglichkeit, die Sicherheitspraktiken und -protokolle von Drittanbietern zu bewerten. Dies kann durch regelmäßige Sicherheitsüberprüfungen, Penetrationstests und das Einfordern von Sicherheitszertifikaten geschehen: Audits ermöglichen es, Schwachstellen frühzeitig zu identifizieren und sicherzustellen, dass Lieferanten und Dienstleister über die notwendigen Sicherheitsvorkehrungen verfügen, um Angriffe zu verhindern. Zertifizierungen wie die ISO 27001 oder SOC 2 bescheinigen hohe Standards für Informationssicherheit und Datenschutz und sind ein Indikator dafür, dass der Partner ernsthafte Maßnahmen zum Schutz seiner IT-Infrastruktur und Daten ergriffen hat.

Zero Trust Architektur: Kein Vertrauen in nichts und niemanden

Implementieren Sie eine Zero Trust Architektur. Der Grundgedanke dieser Sicherheitsstrategie ist simpel: Keinem System und keinem Nutzenden sollte jemals vollständig vertraut werden – auch nicht innerhalb des Unternehmensnetzwerks oder der Lieferkette. Das bedeutet, dass alle Verbindungen und Systeme kontinuierlich überprüft und authentifiziert werden müssen.

In einer Zero-Trust-Umgebung wird jede Anfrage, sei es von einem internen Mitarbeitenden oder einem Partner, unabhängig von der Quelle, geprüft. Zugriff auf sensible Daten oder Systeme erfolgt nur nach einer gründlichen Authentifizierung. Dies stellt sicher, dass Angreifende, die über einen Drittanbieter ins Unternehmen eindringen, nicht ungehindert in das Netzwerk vordringen können. Um diese Strategie umzusetzen, investieren Sie in moderne Identitäts- und Zugriffsmanagementlösungen und überprüfen Sie auch regelmäßig die eigenen Sicherheitsrichtlinien.

Regelmäßige Penetrationstests: Schwachstellen frühzeitig identifizieren

Führen Sie regelmäßig Penetrationstests durch. Diese Tests simulieren realistische Cyberangriffe, um Schwachstellen in den IT-Systemen zu identifizieren, bevor es ein Angreifer tut. Überprüfen Sie aber nicht nur die eigenen Systeme auf Sicherheitslücken, sondern auch die Systeme der Partner und Dienstleister, die mit Ihren sensiblen Daten arbeiten. Denken Sie stets daran: Eine Schwachstelle im System eines Partners kann für das gesamte Unternehmen gefährlich sein, daher ist es von entscheidender Bedeutung, dass auch die Lieferanten ihre Sicherheitsmaßnahmen regelmäßig testen.

Sensibilisierung der Mitarbeitenden: Schulungen und Awareness-Programme

Mitarbeitende sind oft das schwächste Glied in der Sicherheitskette, insbesondere wenn es um Social Engineering-Angriffe geht. Diese Art von Angriffen nutzt die Gutgläubigkeit von Menschen aus, um Zugang zu sensiblen Informationen oder Systemen zu erlangen. Phishing, Spear-Phishing und ähnliche Manipulationstechniken nutzen Angreifende gern in diesem Zusammenhang, um an ihre Ziele zu gelangen. Daher ist es entscheidend, dass Sie Ihre Beschäftigten regelmäßig schulen und auf die Gefahren von Social Engineering aufmerksam machen. Weisen Sie Ihre Mitarbeitenden beispielsweise in den sicheren Umgang mit E-Mails, Links und Anhängen ein und führen Sie regelmäßige Workshops, Tests und Simulationen von Phishing-Angriffen durch, um das Sicherheitsbewusstsein Ihrer Angestellten zu schärfen.

Fazit: Augen auf bei der Partnerauswahl

Supply-Chain-Angriffe sind eine ernstzunehmende Bedrohung für Unternehmen aller Größen und Branchen, die lange unentdeckt bleiben und mit massiven Kosten und Reputationsverlust einhergehen können. Seien Sie sich des Risikos bewusst und ergreifen Sie proaktive Maßnahmen, um Ihre Lieferketten zu sichern. Dazu gehört die regelmäßige Prüfung von Lieferanten und Partnern, der Einsatz moderner Sicherheitsarchitekturen und die Sensibilisierung der eigenen Belegschaft.

Denn nur wer frühzeitig handelt, kann verhindern, dass die Lieferkette zum Einfallstor für Cyberkriminelle wird.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 2

0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu