Wie Angriffe auf Lieferketten unbemerkt Malware einschleusen und Systeme kompromittieren.
Die SolarWinds-Attacke war nicht nur ein außergerwöhnlicher Angriff, sondern ein Symptom für eine größere Bedrohung: Durch das Eindringen in die Update-Mechanismen von SolarWinds Orion-Software konnten Angreifende Tausende von Systemen kompromittieren. Was sind Supply-Chain-Attacken und wie kann man sich vor ihnen schützen?
Was ist eine Supply-Chain-Attacke?
Während Unternehmen ihre Umgebungen immer besser absichern, haben sich Cyberkriminelle weicheren Zielen zugewandt und mittlerweile Angriffswege gefunden, die nicht nur schwerer zu erkennen sind, sondern die gewünschten Ziele auch effektiver erreichen.
Die Rede ist von Supply-Chain-Attacken, bei denen Schwachstellen innerhalb der Lieferkette eines Software- oder Hardware-Produkts ausgenutzt werden. Dabei integrieren die Bedrohungsaktuere schädliche Module oder Komponenten in das Produkt von Drittanbietern oder Zulieferern, um die Sicherheitsmechanismen des anvisierten Ziels zu überlisten. So müssen Cyberkriminelle dieses Hauptziel nicht direkt angreifen, um Zugriff auf ein größeres Netzwerk zu erhalten.
Warum Lieferkettenangriffe so verheerend sind
Einer der Hauptgründe, warum Lieferkettenangriffe so effektiv sind, liegt in ihrer Heimlichkeit: Sie können Monate oder sogar Jahre unentdeckt bleiben, was den Angreifenden genug Zeit gibt, um vertrauliche Daten zu extrahieren oder weitere Systeme zu kompromittieren. Dazu kommt, dass Herstellungsprozesse von der Entwicklung oder Produktion bis zur Installation mehrere Schritte umfassen, die Angreifenden mehrere Gelegenheiten geben, ihren eigenen schädlichen Code in das Endprodukt einzubringen.
Dazu stehen meist Produkte im Fokus, die von einer Vielzahl von Kunden verwendet werden: Wenn es einem Angreifenden gelingt, nur einen Anbieter zu infiltrieren, könnte er theoretisch Zugang zu Tausenden unvorbereiteten Nutzern erhalten, einschließlich Technologiefirmen, Regierungen und Sicherheitsdienstleistern. Dabei sind Supply-Chain-Angriffe vor allem für große Software-Hersteller, Open-Source-Projekte und Hardware-Zulieferer ein Risiko:
- Bei kommerzieller Software können Angreifende einen Schadcode direkt einfügen, um viele Unternehmen gleichzeitig zu gefährden.
- Open-Source-Software ist anfällig, da die Offenheit der Entwicklungsprozesse es Angreifenden erleichtert, Schwachstellen einzubauen.
- Bei Hardware-Produkten hingegen, können Mikrochips und andere manipulierte Komponenten in die Lieferkette eingeschleust werden, wodurch sich potenziell eine Vielzal an weltweiten Systemen kompromittieren lässt.
SolarWinds & Co.: populäre Angriffe auf die Lieferkette
Der SolarWinds-Angriff von 2020 hat tiefgreifende Auswirkungen auf die Welt der Cybersicherheit hinterlassen: Obwohl fortschrittliche Sicherheitsmaßnahmen implementiert waren, fielen rund 18.000 nachgeschaltete Kunden dem Angriff zum Opfer, einschließlich großer Firmen und US-Behörden. Bei der bisher größten Supply-Chain-Attacke gelang es den Cyberkriminellen, eine als „Sunburst“ bezeichnete Hintertür in die Netzwerk- und Systemumgebungen der Betroffenen einzuschleusen.
Dabei drangen die Hacker in den Build-Prozess von SolarWinds ein, bei dem der Quellcode in ein lauffähiges Programm konvertiert wird. In diesem Stadium wurde der Sunburst-Trojaner in ein Update für die Orion-Plattform integriert. Wer das Update installierte, infizierte sein System damit. Nach einer zweiwöchigen Wartezeit begann der Trojaner, mit dem Befehlsserver der Angreifenden zu kommunizieren, der dann die Möglichkeit hatte, Daten auszulesen, Netzwerkaktivitäten zu überwachen oder zusätzlichen Schadcode zu installieren.
Ähnlich taktierten Cyberkriminelle beim IT-Lösungsanbieter Kaseya, wo die REvil-Ransomware MSP-Software infizierte und damit Lösegeldforderungen in Höhe von 70 Millionen Dollar auslöste. Ein weiteres Beispiel ist der Angriff auf das Codeabdeckungssystem Codecov, bei dem schädlicher Code in den Bash-Uploader eingeschleust wurde, was einen Datendiebstahl ermöglichte.
Best Practices gegen Supply-Chain-Attacken:
Wie TISAX die Automobilindustrie schützen kann
TISAX® (Trusted Information Security Assessment Exchange) ist ein Standard, der speziell für die Informationssicherheit in der Automobilindustrie entwickelt wurde. Er zielt darauf ab, die Datensicherheit in der gesamten Lieferkette zu gewährleisten und durch standardisierte Sicherheitsbewertungen, kontinuierliche Audits, Mitarbeiter-Schulungen und klare Kommunikation von Sicherheitsanforderungen das Risiko von Supply-Chain-Attacken zu minimieren.
Und obwohl TISAX® primär für die Automobilindustrie konzipiert wurde, können die Grundsätze auch für andere Branchen von Nutzen sein, die eine sichere Lieferkette benötigen. Denn es ist klar, dass Supply-Chain-Angriffe so bald nicht verschwinden werden. Viel mehr bietet die zunehmende Vernetzung und Digitalisierung unserer Welt Cyberkriminellen nur noch mehr Möglichkeiten.
Unternehmen sollten daher stets einen proaktiven Ansatz wählen, um sicherzustellen, dass sie nicht das nächste Opfer werden.
Erfahren Sie jetzt mehr über unsere Services im Bereich Cybersecurity in Ihrer Lieferkette
Für Ihre Cybersicherheit gibt es nicht die eine Lösung. Deswegen bieten wir Ihnen ein flexibles Serviceangebot – abgestimmt auf Ihre individuellen Bedürfnisse und Anforderungen.
-cybersecurity-services-1_core_4_3.jpg)
Sie möchten sich gegen Supply-Chain-Attacken wappnen? Wir helfen gerne!
