Cyber-Kriminelle nutzen das Vertrauensverhältnis von Lieferant und Kunde aus. Damit kann selbst der IT-Dienstleister zum Risiko werden. Die Abwehr solcher Supply-Chain-Attacken wird schwierig.

Beitrag in der Gesamtausgabe (PDF)

Ob die 70 Mio USD, die die in Russland vermutete Hackergruppe REvil im Juli mit der Kaperung des IT-Dienstleisters Kaseya erpressen wollte, gezahlt worden sind, ist bislang ungewiss. Denn urplötzlich sind Website und sonstige Aktivitäten von REvil „offline“ gegangen. Immerhin: Kaseya hat inzwischen den „Schlüssel“ erhalten, mit dem die Unternehmen wieder Zugriff auf ihre Daten bekommen. Was dahintersteckt, darüber kann bisher nur spekuliert werden. Sicher ist jedoch: Das Problem mit Hackern, die gezielt die Supply-Chain von Unternehmen angreifen, wird damit nicht verschwinden. Im Gegenteil: Obwohl die Strategie nicht neu ist, wird sie immer öfter eingesetzt. Allein REvil hat in diesem Jahr eine Handvoll großer Unternehmen angegriffen, darunter den IT-Hersteller Asus, den Fleischkonzern JBS oder die Harris Foundation. Der Großangriff auf Kaseya ist dabei besonders perfide.

„Island Hopping“ auf der Supply-Chain bis zum Ziel

Denn Kaseya selbst ist Zulieferer vieler anderer IT-Dienstleister für operative Unternehmen. Darum war von dem Angriff nicht nur Kaseya selbst betroffen, sondern auch die Kunden und die Kunden der Kunden. Insgesamt wird die Anzahl der Geschädigten auf 800 bis 2.000 Unternehmen geschätzt. Ein Super-Gau, der u.a. in der zeitweiligen Schließung der schwedischen Supermarktkette Coop resultierte.

Zugriff auf die eigenen Daten gibt es erst dann wieder, wenn die Erpressungssumme gezahlt worden ist. Besonders gefährdet sind Unternehmen, die über die finanziellen Mittel verfügen, dass sich eine Erpressung auch lohnt. Dabei geht es den Angreifern nicht immer um Erpressungsgelder. Auch Wirtschaftsspionage ist ein häufiges Motiv; kein Wunder, dass Deutschlands Unternehmen besonders im Fadenkreuz der Kriminellen stehen.

Dabei arbeiten sich die Angreifer teils systematisch durch die gesamte Supply-Chain, bis sie ihr wahres Ziel erreicht haben. Von „Island Hopping“ sprechen Experten – von Zulieferer zu Zulieferer „hüpfen“ die Kriminellen vorwärts. Das ist gerade bei besonders sensiblen Unternehmen wie Finanzdienstleistern oder Innovationsmarktführern offenbar die zielführendere Variante als der direkte Angriff von außen und deutlich effizienter für den Angreifer, weil er gleich mehrere Ziele parallel ins Visier nehmen kann.

Weil viele Mittelständler Schwierigkeiten haben, eigene IT-Fachkräfte anzuwerben, lagern sie selbst zentrale IT-Funktionen an entsprechende Spezialisten aus. Diese externen Dienstleister müssen, um ihre Arbeit überhaupt erledigen zu können, umfassende Zugriffsrechte auf die Unternehmens-IT erhalten. Das gilt allerdings nicht nur für IT-Dienstleister, sondern auch für fast jeden Austausch von Daten und Software zwischen Lieferanten und Kunden. Auch die Buchhaltungssoftware muss regelmäßig aktualisiert werden – der Nutzer selbst hat aber kaum eine Möglichkeit zu erkennen, dass in Wirklichkeit die korrekte Software durch Schadsoftware ausgetauscht worden ist. Updates aus der Ferne sind ein beinahe täglicher Vorgang in Zeiten des Cloud-Computings. Da der Absender vertrauenswürdig ist, hat die IT-Sicherheit entsprechende Öffnungen im Abwehrwall gelassen.

Einem Bericht von „eSecurity Planet“ zufolge hatten schon 2017 durchschnittlich 181 unterschiedliche Lieferanten Zugriff auf das Netzwerk eines Kunden. Doch selbst die IT eines Unternehmens hat meist keinen vollständigen Überblick, wer eigentlich alles von extern zugreifen kann. Kein Wunder bei den Relationen: Bei jedem vierten kleinen und mittleren Unternehmen sollen in einer normalen Woche so viele externe Lieferanten auf das Netzwerk zugreifen, wie die Unternehmen Mitarbeiter haben.

Vertrauen in den Lieferanten

Doch gegen das Einschleusen von Schadsoftware via Zulieferer ist die IT bemerkenswert wenig geschützt. In einer Umfrage des IT-Security-Spezialisten BlueVoyant 2020 gaben 80% der Befragten an, in den vergangenen zwölf Monaten bereits Opfer eines Sicherheitsdurchbruchs via Zulieferer geworden zu sein. Aber nur 2% der Unternehmen verfolgen mindestens täglich, welche Lieferanten aufs eigene Netzwerk zugreifen. Mehr als jedes dritte Unternehmen hingegen prüft höchstens zwei Mal im Jahr, wer eigentlich noch Zugriff hat. Die Folge: Fast jedes dritte Unternehmen erkennt nicht einmal, ob es ein Problem gibt. Immerhin, auch das ist ein Ergebnis der BlueVoyant-Befragung, steigen die Budgets.

Doch noch herrscht große Unsicherheit, welche Strategie zur Bekämpfung dieser Einfallrisiken am besten ist – und womit die Unternehmen anfangen sollten. So gibt es eine breite Mischung an Vorgehensweisen: vom Lieferanten-Risikomanagement über externe Berater und Vor-Ort-Audits bis hin zu Fragebögen – mit bislang ernüchternden Ergebnissen. Das liegt nicht zuletzt auch daran, dass bei aufgetretenen Problemen ein großer Teil der betroffenen Unternehmen die Aufgabe, das Sicherheitsproblem zu beseitigen, an den Lieferanten übergeben will. Laut BlueVoyant informieren 36% der Befragten den Lieferanten und hoffen darauf, dass er das Problem löst. Ähnlich viele Unternehmen verlassen sich darauf, dass er schon für die angemessene Sicherheit sorgt. Angesichts angespannter IT-Ressourcen im eigenen Hause ist der Ansatz, das Problem an Dritte zurückzugeben, allerdings nicht überraschend. Hinzu kommen interne Zuständigkeitsfragen – in manchen Unternehmen fühlt sich niemand für das Thema Cyber-Security bei Lieferanten zuständig, in anderen sind es gleich mehrere, unterschiedliche Funktionsträger.

Nicht nur Cloud-Computing, auch die höhere Innovationsgeschwindigkeit führt zu häufigeren Updates (bei denen vielfach auch neue Sicherheitslücken geschlossen werden sollen) und zu damit externen Zugriffen. In der Produktion wird zudem durch Industrie 4.0 der Austausch innerhalb der Supply-Chain intensiviert. Dabei wird nicht nur das Schreckensszenario wildgewordener, weil fremdgesteuerter Roboter mit entsprechender Gefährdung von Arbeitern in der Produktion wahrscheinlicher, wie bereits der Stuxnet-Angriff gezeigt hatte. Selbst relativ kleine Elemente in der Supply-Chain können ganze Unternehmen lahmlegen. Die bisherigen Risikoanalysen von Lieferanten – können sie ihre Vorprodukte zuverlässig liefern? – müssen um die Cyber-Security-Komponente erweitert werden. Keine einfache Aufgabe, wenn die IT-Kompetenz dazu nicht im Hause vorhanden ist – und vor allem, wenn die Security-Spezialisten selbst vielleicht zum Risiko werden könnten. Siehe Kaseya. Sogar quelloffene Software, die also einen transparenten Blick in den Programmier-Code gewährt, scheint vor den Angreifern nicht sicher zu sein – denn diese verschleiern ihre Schadsoftware bspw. mit skurrilen Dateiformaten, die niemand genau überprüft.

Wie Supply-Chain-Angriffe abwehren?

Nur: Wem können Unternehmen dann noch vertrauen? Und wie sich wehren? Die Empfehlungen der Sicherheitsspezialisten reichen vom Naheliegenden wie Schulungen der Mitarbeiter bis zum Einsatz von Künstlicher Intelligenz. Microsoft bspw. empfiehlt, alle Sicherheits-Updates sofort zu installieren, digitale Signaturen und für den Notfall die Definition eines Prozesses, wie auf eine Sicherheitsverletzung sofort reagiert werden sollte, aber auch klare Vorgaben, nach denen bspw. die Integrität eines Software-Codes geprüft werden kann, damit nur sichere Applikationen etc. im Unternehmen genutzt werden können.

Weitere Tipps sind regelmäßige Back-ups zur Datensicherung, die Definition klarer Zuständigkeiten, die umfassende Einführung von Monitoring- und Reporting-Programmen, die jegliche Drittanwenderzugriffe überprüft, und nicht zuletzt ein direkter Draht zu den Zulieferern, damit diese schneller reagieren können. Das alles ist keine einfache, schnelle Lösung – doch die Angriffe werden nicht weniger werden und gefährden die Zukunft des vernetzten Arbeitens, das durch IoT (Internet of Things) und 5G immer einfacher und schneller wird.

Weiterführende Infos zur BlueVoyant-Studie finden Sie HIER. Weitere Texte zum Thema können Sie HIER nachlesen.

Veröffentlichung mit freundlicher Genehmigung der Deutschen Bank. Den dazugehörigen Link finden Sie HIER.

 

Was ist ein Supply-Chain-Angriff?

Bei einem Supply-Chain-Angriff wird der Softwarecode oder eine Anwendung, die von einem Dritten – dem Zulieferer – entwickelt wurde, kompromittiert. Durch den Einsatz (und oftmals durch entsprechende Updates) der Software gelangt der manipulierte Code in die IT des Unternehmens, denn der Kunde vertraut in der Regel seinem Zulieferer und prüft die Updates oder Zugriffe auf die eigene IT entsprechend weniger. Ist der Schadcode einmal in der eigenen Unternehmens-IT, kann er Systeme lahmlegen oder Daten ausspionieren. Schon Mitte 2020 gaben 80% der vom US-amerikanischen Security-Dienstleister BlueVoyant befragten Unternehmen an, bereits Opfer eines Supply-Chain-Angriffs geworden zu sein.

Aktuelle Beiträge