IT-Security Trend 2021: Supply Chain-Angriffe

Thorsten Krüger ist VP Sales DACH, CEE, CIS bei Thales

Es gibt anlässlich des SolarWinds Sunburst-Vorfalls eine ganze Menge „Lessons Learned“ für die Security-Community, nicht nur, dass in Deutschland und außerhalb zahlreiche Behörden betroffen sind. Ohne in die bislang bekannten Details gehen zu wollen, lässt sich auch mit Blick auf die bekanntgewordenen Angriffe auf die mit der Zertifizierung des Impfstoffs des Herstellers Pfizer/Biontech beauftragte EU-Behörde EMA feststellen, dass Supply Chain-Angriffe zunehmen werden. Dass wie in diesem Fall sogar die gestohlenen Daten veröffentlicht werden, ist einer neuen Qualität der Ransomware-Angriffe geschuldet, bei der zum einen die Daten verschlüsselt und kopiert, zum anderen aber als sogenannte „Double Extortion“ ins Netz gestellt werden. Angreifer haben es letztendlich auf Daten abgesehen und verfolgen den Weg der Daten von einem Unternehmen zum anderen, um sich das schwächste und am einfachsten zu knackende Glied in der Kette herauszusuchen. Diese Strategie kommt immer dann zum Tragen, wenn professionelle Angreifer hinter den Attacken stehen, die viel Zeit und Aufwand in die Erkundung ihres Ziels gesteckt haben. Das macht sie so gefährlich und den Schutz vor ihnen so aufwendig.

Doch was ist eigentlich ein Supply Chain-Angriff? Klassisch meint der Begriff die Kompromittierung eines Softwarecodes oder aber einer Anwendung, die von einem Drittanbieter entwickelt wird und dann in anderer weitverbreiteter Software oder Systemen eingesetzt wird. Beispiele gibt es seit Target 2014 genug, das Phänomen ist daher bekannt, aber das Ausmaß und die Raffinesse hinter den neuerlichen Angriffen lässt aufhorchen und für die Zukunft nichts Gutes erahnen. Angesicht des Ausmaßes der Vernetzung der heutigen Wirtschaft und der Abhängigkeit von funktionierenden Lieferketten, lässt sich der Begriff „Supply Chain“ nämlich noch weiter fassen, wenn man ihn als „Value Chain-“ oder noch weiter als „Third Party“-Attacke versteht. Angreifer sehen sich die gesamte Lieferkette an, sie haben Zeit, warten ab, suchen nach Schwachstellen, beispielsweise in Buchhaltungssoftware, die bei einigen Firmen im Einsatz ist und auch bei den Zulieferern oder Zweigstellen im Ausland. Das Einfallstor muss nicht groß sein, bleibt es jedoch lange unbemerkt, wie bei den vielen bekannt gewordenen Fällen, können sich die Angreifer in Seelenruhe ausbreiten und sich nach und nach Zugriff auf die für sie interessanten Datensätze verschaffen. Die Bedrohung ist inzwischen so groß, dass in einer Studie des US-amerikanischen Security-Dienstleisters BlueVoyant mehr als 80 Prozent der Befragten bestätigten, bereits Opfer eines solchen indirekten Angriffs gewesen zu sein.

Angesichts der zunehmenden Angriffe auf und über Zulieferer und Drittanbieterfirmen sollten Unternehmen deshalb mehr denn je darauf achten, wie ihre Lieferketten, und zwar alle, von der Softwareentwicklung bis zu den tatsächlichen Lieferprozessen selbst, in Sachen IT-Sicherheit aufgestellt sind. Hier ist neben einer starken Verschlüsselung und Zugriffskontrolle die Sensibilisierung der Mitarbeiter von besonderer Bedeutung. Nur wer seine Lieferketten im Blick hat, kann sich vor Cyberattacken schützen, auch wenn es keinen vollumfänglichen Schutz geben kann.