Supply Chain-Angriffe, also Angriffe auf die Lieferkette, sind ein Trend, der bereits seit einigen Jahren anh\u00e4lt \u2013 und Unternehmen wohl auch noch eine Zeitlang begleiten wird. Gerade die letzten Jahre haben gezeigt, dass Supply Chain Security unabdingbar geworden ist. Beispiele aus j\u00fcngeren Jahren erl\u00e4utert Ihnen dieser Beitrag genauso wie die zum Angriff angewandten Methoden. Wir blicken auf L\u00f6sungsans\u00e4tze und zeigen Ihnen, wie Sie \u2013 als Teil einer Lieferkette \u2013 Ihre Organisation sch\u00fctzen k\u00f6nnen und warum Sie gerade jetzt handeln sollten, um Cyberangriffe vorzubeugen.<\/p>\n
<\/p>\n
Schon im Jahr 2019 warnten wir vor Supply Chain-Angriffen<\/a> und erkl\u00e4rten, was Lieferketten-Angriffe so gef\u00e4hrlich macht: In aller Regel sind derartige Angriffe hoch komplex und zielgerichtet. Cyberkriminelle verschleiern ihre Spuren so geschickt, dass kaum auszumachen ist, woher Angriffe kamen oder was ihr eigentliches Ziel war. F\u00fcr Lieferkettenangriffe ist es nicht untypisch, dass sich Angreifende \u00fcber die Zulieferer zum eigentlichen Ziel vorarbeiten. Das zeigt: Die komplette Lieferkette ist betroffen und muss sich effizient absichern. In den vergangenen Jahren wurden die Warnungen wieder lauter \u2013 angesichts ausgekl\u00fcgelter Angriffe kaum verwunderlich:<\/p>\n Im Dezember 2020 wurde die Europ\u00e4ische Arzneimittelbeh\u00f6rde (EMA) Ziel eines Cyberangriffs<\/a>. Dieser Angriff zeigte, dass Cyberkriminelle es oft auf Daten abgesehen haben. Der Weg der begehrten Daten wird von einem Unternehmen zum n\u00e4chsten verfolgt \u2013 so gelingt es, das schw\u00e4chste Glied in der Lieferkette herauszufiltern.<\/p>\n Einer der wohl schwersten Lieferkettenangriffe in der j\u00fcngeren Zeit war der SolarWinds-Hack, \u00fcber den wir ebenfalls berichteten<\/a>. Bei diesem Angriff wurden Update-Server mit der Schadsoftware Sunburst verseucht. Nutzende, die ihr Produkt aktualisieren wollten, holten sich die Schadsoftware direkt in die eigene IT.<\/p>\n Ebenfalls Auswirkungen auf die gesamte Lieferkette hatte der Angriff auf Kaseya im Juli 2021: Das US-Unternehmen Kaseya wurde von der REvil-Gang angegriffen. Man spielte verseuchte Updates ein und die Folgen waren weltweit sp\u00fcrbar: In Schweden konnten Verbraucher:innen nicht mehr einkaufen gehen, da die schwedische Supermarktkette Coop Kaseya-Kunde ist. Aufgrund des Angriffs funktionierten die Kassensysteme des Schweden nicht mehr, betroffen waren aber auch Firmen aus Deutschland.<\/p>\n Lessons learned? Das bleibt wohl abzuwarten. Angesichts des Ausma\u00dfes der globalen Vernetzung und der Abh\u00e4ngigkeit von funktionierenden Lieferketten l\u00e4sst sich der Begriff \u201eSupply Chain\u201c durchaus erweitern: Value Chain- oder auch Third Party-Attacke fasst die Begrifflichkeit weiter und zeigt deutlicher, wie Angreifende handeln. Sie sehen sich die komplette Lieferkette an, bewerten ihre Ziele in Ruhe. Cyberkriminelle nehmen sich die notwendige Zeit, suchen nach geeigneten Schwachstellen und schlagen dann erst in voller H\u00e4rte zu.<\/p>\n Die Europ\u00e4ische Agentur f\u00fcr Cybersicherheit (ENISA) hat mehr als 20 Lieferkettenangriffe ausgewertet<\/a>. Dabei zeigte sich ein interessanter Mix aus Komplexit\u00e4t und Bekanntem: Zwar planen die Kriminellen Lieferkettenangriffe langsam, da die Materie komplex ist. Die angewandten Methoden jedoch h\u00e4lt die ENISA f\u00fcr eher einfach, denn genutzt werden:<\/p>\n Dass Lieferkettenangriffe in dem Ausma\u00df wie bei SolarWinds oder Kaseya \u00fcberhaupt passieren k\u00f6nnen, ist bereits Anlass zur Sorge, jedoch bereitet auch der Gedanke an etwaige Nachahmer Sicherheitsforschenden Kopfzerbrechen: Nachahmungen k\u00f6nnten dazu beitragen, dass sich die Situation weiter versch\u00e4rft.<\/p>\n W\u00e4hrend Cyberkriminelle vielleicht gerade neue Opfersysteme auskundschaften, arbeiten Sicherheitsforschende nach L\u00f6sungen, die die Supply Chain Security st\u00e4rken k\u00f6nnen. Einen Vorsto\u00df in diese Richtung erlaubt sich beispielsweise GitHub: Mit einer neuen Action<\/a> und dazugeh\u00f6riger API m\u00f6chte man verhindern, dass Sicherheitsl\u00fccken in der Lieferkette ihren Weg in GitHub-Code finden. Die neue GitHub Action nennt sich \u201eDependency Review\u201c: Pull Requests werden auf \u00c4nderungen gescannt. Werden Sicherheitsl\u00fccken gefunden, erfolgt eine Fehlermeldung. Unterst\u00fctzt wird diese Action durch die ebenfalls neue Dependency Review-API: Sie zeigt Unterschiede bez\u00fcglich der Dependencies zwischen zwei Commits, wozu auch Vulnerabilit\u00e4tsdaten z\u00e4hlen.<\/p>\n Supply Chain-Attacken sind eine Kombination von mindestens zwei Angriffen. Der erste gilt meist einem Zulieferer und wird in aller Regel genutzt, um in die Systeme des zweiten und eigentlichen Ziels einzusteigen. Sollen Angriffe auf die Lieferkette vermieden werden, hilft nur eines: ganzheitliches Denken und das Einbeziehen von Zuliefernden und Prozessbeteiligten. Deshalb beginnt der Schutz der eigenen Organisation beim Pr\u00fcfen der Lieferkette bez\u00fcglich Software, Hardware und Update-Status. Es soll Organisationen geben, die sich \u00fcberhaupt nicht bewusst dar\u00fcber sind, was von wem warum bezogen wird. Ein erster Schritt ist also immer, sich einen \u00dcberblick zu verschaffen. Weiter sch\u00fctzen Sie Ihr Unternehmen durch:<\/p>\n Nie waren wir so vernetzt wie heute \u2013 und nie so abh\u00e4ngig von anderen. Das haben auch Cyberkriminelle erkannt, die sich ihr gro\u00dfes Ziel bei Lieferkettenangriffen in viele kleine unterteilen, um so an den gro\u00dfen Fisch zu kommen, auf den sie es eigentlich abgesehen haben. Alle Teile einer Lieferkette haben nicht nur Verantwortung f\u00fcr sich selbst, sondern auch f\u00fcr die Partner:innen. Deshalb wird der Schutz der eigenen Organisation umso wichtiger! Mit unseren obigen Tipps gelingen Ihnen erste Schritte auf dem Weg zur Supply Chain Security. Diese und weitere gehen wir gerne mit Ihnen gemeinsam: Nehmen Sie einfach Kontakt<\/a> zu uns auf, um zu erfahren, wie Sie Ihre Organisation \u2013 und damit einen wertvollen Teil der Lieferkette \u2013 effizient absichern k\u00f6nnen. Unsere zertifizierten Expert:innen beraten Sie gerne!<\/p>\nAktuelle Beispiele von Lieferkettenangriffen<\/h3>\n
ENISA m\u00f6chte mehr Supply Chain Security erreichen<\/h3>\n
\n
Supply Chain Security: L\u00f6sungen in Sicht?<\/h3>\n
Supply Chain Security: So sch\u00fctzen Sie sich<\/h3>\n
\n
Supply Chain Security: Handeln Sie jetzt!<\/h2>\n