Angriffe auf die Lieferkette – Eine neue Ära der Cyberkriminalität?
Ein erfolgreicher Lieferkettenangriff ist für Cyberkriminelle wie ein Jackpot. Auf einen Schlag erhalten sie potenziell den Zugriff auf tausende Zielsysteme. Wir fassen für dich zusammen, wie die Angriffsmethode funktioniert – und was der Trend für die heutige IT-Sicherheit bedeutet.
Im September 2019 kam es zu einem Cybervorfall, den viele Sicherheitsexperten als den größten digitalen Angriff des Jahrhunderts bezeichnet haben. Die Rede ist vom SolarWinds-Hack. Angreifern ist es gelungen, einen Trojaner in die Netzwerkmanagement-Software Orion des Anbieters SolarWinds einzuschleusen. Die Software inklusive des Trojaners „Sunburst“ wurde bei bis zu 18.000 Kunden des Herstellers installiert, deren IT-Systeme damit allesamt kompromittiert waren.
Mehrere Gruppierungen haben daraufhin über die eingeschleuste Backdoor die betroffenen Rechnernetzwerke angegriffen. Zu den Opfern gehörten unter anderem die IT-Sicherheitsfirma FireEye, das Finanz- und Handelsministerium der US-Regierung sowie Tech-Firmen wie Microsoft, Nvidia, Intel und Cisco. SolarWinds hat damit eindrücklich gezeigt, welche verheerenden Konsequenzen ein Lieferkettenangriff entfalten kann.
Wie eine Supply Chain Attacke abläuft
Supply Chain Angriffe – auch bezeichnet als Lieferkettenangriffe oder Third-Party-Angriffe – nutzen das Vertrauen von Unternehmen in die Software von Drittanbietern aus. Sie kombinieren mindestens zwei Attacken:
Upstream-Angriff
Die Hacker verschaffen sich im ersten Schritt Zugang zu Systemen, Anwendungen oder Tools eines Drittanbieters – zum Beispiel mit Hilfe von gestohlenen Zugangsdaten oder durch Ausnutzung unbekannter Sicherheitslücken (Zero Day Attacks). Dabei schleusen sie unbemerkt Schadcode in Produkte ein, die der Drittanbieter vertreibt. Jeder Kunde, der dann diese Software – bzw. ein Update davon – über die gängigen Kanäle bezieht und installiert, handelt sich gleichzeitig die mitgelieferte Malware ein.
Downstream-Angriff
Im zweiten Schritt attackieren die Angreifer ihre eigentlichen Ziele. Sie nutzen die dort installierte und mit Malware versehene Drittanbieter-Software aus und verschaffen sich Zugang zu Systemen und Unternehmensnetzwerken. Der Angriff kann verschiedene Formen annehmen. Manche Gruppen nutzen den Zugang für einen Ransomware-Angriff und die Erpressung von Lösegeld. Andere exfiltrieren Daten in großem Stil und verlangen Schweigegelder, um von einer Veröffentlichung abzusehen.
Durch diese Verkettung von Angriffen gelingt es den Hackern, eine große Zahl an Unternehmen gleichzeitig zu attackieren.
Was Lieferkettenangriffe so gefährlich macht
Supply Chain Angriffe sind brandgefährlich, da sie die gängigen IT-Sicherheitsmechanismen von Unternehmen aushebeln. Der Schadcode ist in legitime, teilweise auch dringend benötigte Software eingebettet, die aus vertrauenswürdigen Quellen kommt. Eine frühzeitige Detektion wird dadurch drastisch erschwert.
Selbst wenn der Hersteller den Hack schnell erkennt und mit einem Security-Patch ausbügelt und das betroffene Unternehmen diesen Patch unmittelbar installiert, kann das Kind schon in den Brunnen gefallen sein. Dadurch ist die ursprüngliche Lücke zwar geschlossen. In der kurzen Zeit, in denen die Tore offen waren, können die Angreifer aber weitere Hintertüren installiert haben. Umfassende Sicherheitsanalysen der gesamten IT-Infrastruktur sind in so einem Fall dringend geboten.
Das Interesse an Supply Chain Angriffen nimmt zu
Im Bereich der organisierten Cyberkriminalität stehen Lieferkettenangriffe hoch im Kurs. Die europäische Cybersicherheitsagentur ENISA zählt sie in ihrem Bericht „Threat Landscape 2023“ zu den größten aktuellen Bedrohungen. Unter anderem wirkt sich auch der Krieg in der Ukraine auf die Sicherheit von Lieferketten aus. Supply Chain Attacken eröffnen durch das Eindringen in eine Vielzahl von Systemen ein großes Potenzial für Spionage-Aktivitäten.
Das aktuelle Ausmaß von Supply Chain Attacks wird besonders deutlich, wenn man einen Blick auf das Open Source Ökosystem wirft. Im Jahr 2019 wurden 216 Fälle von Lieferkettenangriffen auf Open Source Software registriert. 2023 waren es hingegen 245.032, also mehr als das Tausendfache[1].
Zu den spektakulärsten Supply Chain Attacks des vergangenen Jahres gehörte eine Schwachstelle in der Datenübertragungssoftware MOVEit. Der Ransomware-Gruppe cl0p gelang damit ein Datendiebstahl in gigantischem Ausmaß. Insgesamt waren mehr als 2.600 Organisationen und über 85 Millionen Personen betroffen. Unter den Opfern befand sich auch ein Kontowechsel-Dienstleister, was zu Datenlecks bei Banken wie der Deutschen Bank, der Postbank, ING und Comdirect führte.
Gegenmaßnahmen:
Höhere Transparenz von Abhängigkeiten digitaler Lieferketten
Die zunehmende Bedrohung durch Supply Chain Angriffe hat gleichzeitig auch die Bedeutung wirksamer Gegenmaßnahmen erhöht. Auf Herstellerseite sind umfassendere Kontrollmaßnahmen für Build- und Release-Prozesse erforderlich. Die Angreifer schleusen den Code schließlich meist im Rahmen des Softwareherstellungsprozesses ein. Dem kann mit einer Reihe von Ansätzen der Qualitätssicherung begegnet werden. Einer davon ist zum Beispiel die sogenannte Software Composition Analysis (SCA) – ein Verfahren, das die Abhängigkeiten und verwendete Komponenten von Software untersucht.
Für Unternehmen wird es immer wichtiger, digitale Lieferketten und die daran beteiligten Akteure zu identifizieren. Außerdem gilt es, die Aktivitäten von Drittanbietern zu überwachen und bekannt gewordene Sicherheitslücken so schnell wie möglich zu schließen. Auf diese Weise können Unternehmen ihre spezifischen Angriffsflächen besser verstehen und Risiken proaktiv managen.
Wir beantworten gerne alle Fragen.
Kontaktiere uns über das untenstehende Formular oder auch unter +43 5 9555
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier
Jochen Jasch
Leitung Kundenbetreuung
oder ein Account Manager aus seinem Team meldet sich umgehend.