Was ist ein Supply-Chain-Angriff?

Unternehmen arbeiten heutzutage mit einer Vielzahl an Lieferanten und Drittanbietern zusammen. Während Lieferketten immer komplexer werden, steigt auch das Risiko, dass Cyber-Kriminelle eine Schwachstelle in der Lieferkette ausnutzen, um einen Angriff zu verüben.

Supply-Chain-Angriffe sind Cyber-Angriffe, die auf die Lieferkette eines Unternehmens abzielen, um sich über Zulieferer und externe Dienstleistungsanbieter Zugriff auf die Systeme und Netzwerke des eigentlichen Angriffsziels zu verschaffen.

Wie funktioniert ein Supply-Chain-Angriff und welche gängigen Angriffsmethoden gibt es? Warum sind Angriffe auf die Lieferkette besonders gefährlich und was sind die Risiken? Wie können Unternehmen sich gegen Cyber-Angriffe auf ihre Lieferkette schützen? Dieser Artikel bietet einen Überblick.

Ein Supply-Chain-Angriff ist ein Cyber-Angriff auf die Lieferkette oder auf einen Drittanbieter eines Unternehmens. Anstatt das Unternehmen direkt anzugreifen, versuchen die Angreifer über einen Zulieferer oder einen Dienstleister in das System des Unternehmens einzudringen oder schadhafte Komponenten (z. B. Schadsoftware) in die Systeme der Drittanbieter einzuschleusen, die dann über die Lieferkette in das fertige Produkt integriert werden.

Supply-Chain-Angriffe sind eine beliebte Angriffsmethode von Cyber-Kriminellen, die es auf ein größeres Unternehmen abgesehen haben. Große Unternehmen und Konzerne verfügen in der Regel über hohe Cyber-Sicherheitsstandards, was einen direkten Angriff erschwert. Um ihre Erfolgschancen zu erhöhen, versuchen sie stattdessen, sich über die Systeme und Netzwerke von kleineren Unternehmen Zugang zu verschaffen, die als Zulieferer oder Drittanbieter für das eigentliche Zielunternehmen fungieren.

Nehmen wir dazu ein fiktives Beispiel aus der Automobilbranche. Wenn Kriminelle es auf einen großen Automobilhersteller abgesehen haben und Schadsoftware in eine der verbauten Softwarekomponenten einschleusen wollen, ist ein direkter Angriff auf die Systeme des Konzerns nur sehr schwer und mit erheblichem Aufwand realisierbar. Stattdessen ist es einfacher, einen kleinen Zulieferer anzugreifen, der für das Unternehmen einen Teil der Fahrzeugsoftware entwickelt und liefert.

Im Unterschied zu anderen Arten von Cyber-Angriffen ist ein Lieferkettenangriff kein direkter Angriff auf das Unternehmen, auf das die Angreifer es eigentlich abgesehen haben. Vielmehr ist ein Supply-Chain-Angriff ein indirekter Angriff, bei dem der Schaden über einen Angriff auf eine dritte Partei, also einen Zulieferer oder einen Drittanbieter, erfolgt.

In einem ersten Schritt suchen die Angreifer nach möglichen Sicherheitslücken in der Lieferkette des Unternehmens. Das kann beispielsweise ein kleiner Zulieferer sein, von dem das Zielunternehmen eine Software- oder Hardwarekomponente bezieht und dessen Cyber-Sicherheit Schwachstellen aufweist.

Über eine Schwachstelle im System des Zulieferers oder Drittanbieters verschaffen sich die Angreifer dann Zugang zum System des Unternehmens, welches das eigentliche Ziel des Angriffs darstellt. Dazu können die Angreifer verschiedene Taktiken und Methoden verwenden.

Entweder können sie versuchen, bestehende technische Sicherheitslücken auszunutzen, oder sie setzen auf Taktiken wie Social Engineering und versuchen beispielsweise mithilfe einer Phishing-Mail die Zugriffsdaten von Mitarbeitenden des Dienstleisters zu stehlen.

Auch wenn Supply-Chain-Angriffe dem gleichen Grundprinzip folgen, können sie auf viele verschiedene Arten ausgeführt werden. Hier sind ein paar Beispiele, wie ein Angriff auf die Lieferkette in der Praxis aussehen kann.

• Angriff über einen Managed Service Provider (MSP): Gelingt es Cyber-Kriminellen, sich Zugriff auf die Systeme eines Managed Service Providers (Unternehmen, das verschiedene IT-Dienstleistungen für andere Unternehmen bereitstellt, wie z. B. ein Cloud-Anbieter) zu verschaffen, können sie zum Beispiel Ransomware in das System des Drittanbieters einschleusen, die dann über ein Update an die Kundenunternehmen des MSP ausgespielt wird.
• Angriff über eine Softwarekomponente: Kriminelle können auch die Lieferkette von Softwarekomponenten ins Visier nehmen. Zum Beispiel können sie versuchen, Schadcode in eine Software oder Anwendung einzuschleusen, die von einem Zulieferer als Teil einer umfangreichen Softwarelösung bereitgestellt wird. Die schadhafte Komponente gelangt dann unentdeckt an das empfangende Unternehmen und kann dort Schaden anrichten.
• Angriff über eine Hardwarekomponente: Ein Angriff auf die Lieferkette, der über Hardware erfolgt, nutzt physische Geräte und Komponenten, um über sie unerwünschte Softwarefunktionen in die Lieferkette einzuschleusen. Ein Beispiel für einen solchen Angriff ist ein von Cyber-Kriminellen mit einem Keylogger manipuliertes USB-Laufwerk, das über die Lieferkette in die Produkte verschiedener Unternehmen und von dort aus zu den Endkunden gelangt. Bei Benutzung protokolliert der Keylogger auf dem Laufwerk die Tastenanschläge der User und ermöglicht es den Kriminellen, wichtige Zugangsdaten zu ermitteln.

Ein bekanntes Beispiel für einen Supply-Chain-Angriff ist der Angriff auf den US-amerikanischen Netzwerkmanagement-Software-Anbieter SolarWinds. Der Angriff, der sich im Jahr 2020 ereignete, gilt als einer der größten und folgenschwersten Lieferkettenangriffe der letzten Jahre.

Im Zuge des Angriffs kompromittierten Cyber-Kriminelle die Softwareentwicklungsumgebung von SolarWinds, indem sie eine Schwachstelle ausnutzten und Schadcode in Updates der Orion-Software, eine Software zur Verwaltung und Überwachung von IT-Netzwerken, die weltweit von Tausenden Unternehmen und Behörden genutzt wird, einschleusten.

Über reguläre Software-Updates verbreiteten die Angreifer den Schadcode in den Systemen und Netzwerken der SolarWinds-Kunden, darunter US-Regierungsbehörden und große Unternehmen wie Microsoft, Cisco und Intel, und schafften sich so eine digitale Hintertür (sogenannte Backdoor), um sich unbemerkt Zugriff auf die Systeme der betroffenen Unternehmen zu verschaffen. 

Dadurch konnten sie nicht nur von zahlreichen hochrangigen Organisationen sensible Daten stehlen, sondern sich auch über einen längeren Zeitraum hinweg ungehindert in deren Systemen bewegen und diese ausspähen.

Es gibt mehrere Gründe, warum Cyber-Angriffe auf die Lieferkette besonders gefährlich für Unternehmen sind. Da sie die Vertrauensbeziehung zwischen einem Zulieferer beziehungsweise einem Dienstleister und den Unternehmenskunden ausnutzen, bleiben sie häufig über lange Zeit unentdeckt - manchmal sogar mehrere Jahre lang.

Hinzu kommt, dass Supply-Chain-Angriffe aufgrund der Komplexität von Lieferketten und der unterschiedlichen Abhängigkeiten von Drittanbietern häufig nur sehr schwer bis gar nicht zurückverfolgbar sind.

Schadkomponenten, die von einem vertrauenswürdigen Zulieferer kommen, werden vom Empfänger nicht als potenzielle Gefährdung erkannt, was die Abwehr solcher Angriffe erschwert. Üblicherweise genutzte Tools zur Erkennung von Cyber-Bedrohungen wie Antivirenprogramme bieten hier keine Hilfe.

Eine weitere Komplikation, die bei Supply-Chain-Angriffen hinzukommt, ist die Tatsache, dass Zulieferer ihre Komponenten nicht nur an ein Unternehmen, sondern häufig an eine ganze Reihe an Unternehmen ausliefern. Wenn es Kriminelle schaffen, Schadsoftware oder andere schadhafte Komponenten in die Systeme und Produkte der Zulieferer einzuschleusen, breiten sich die schadhaften Komponenten von dort aus über mehrere Unternehmen aus und erreichen über sie eine breite Masse an Endkunden.

Ähnlich verhält es sich mit Drittanbietern, die Services wie Cloud-Dienste oder sogar Cyber-Sicherheitslösungen bereitstellen. Werden ihre Systeme infiltriert, sind gleich unzählige Unternehmen betroffen und es können enorme Schäden entstehen. Die starke Abhängigkeit von digitalen Dienstleistern macht Unternehmen sehr anfällig für Cyber-Bedrohungen, da ihre eigene Cyber-Sicherheit von der Sicherheit ihrer Anbieter abhängt.

Aufgrund der hohen Komplexität von Lieferketten und der fehlenden Kontrolle über die Cyber-Sicherheitsmaßnahmen von Zulieferern und Drittanbietern können Supply-Chain-Angriffe nur sehr schwer verhindert werden. Trotzdem gibt es verschiedene Maßnahmen, die Unternehmen ergreifen können, um das Risiko von Supply-Chain-Angriffen zu verringern. 

• Sorgfältige Komponentenprüfung: Unternehmen, die für die Herstellung ihrer Produkte Hard- oder Softwarekomponenten von Zulieferern beziehen, sollten diese vor dem Einsatz immer sorgfältig prüfen, um auszuschließen, dass sie Schadsoftware oder Ähnliches enthalten.
• Vorsicht bei der Auswahl von Drittanbietern: Unternehmen sollten ihre Drittanbieter immer sehr sorgfältig auswählen. Neben allgemeinen Service-Kriterien sollte das Augenmerk auch auf den bestehenden Cyber-Sicherheitsmaßnahmen des Dienstleisters liegen.
• Cyber-Sicherheitsstandards vertraglich festhalten: Neben einer sorgfältigen Auswahl der Dienstleister ist es auch wichtig, dass bei Vertragsabschluss klare Sicherheitsanforderungen definiert werden, die für alle Parteien verpflichtend sind. Eine solche Anforderung kann zum Beispiel sein, dass Lieferanten und Dienstleister aktuelle Sicherheitsstandards (z. B. ISO 27001) erfüllen müssen.
• Privilegierte Zugriffsberechtigungen: Ein Dienst zur Verwaltung privilegierter Zugriffsberechtigungen (Privileged Access Management, kurz: PAM) ermöglicht es Unternehmen, Einblicke in die Zugriffs- und Passwortaktivitäten ihrer Lieferanten und Drittanbieter zu erhalten und zu überprüfen, ob die für die Zusammenarbeit definierten Sicherheitsregelungen eingehalten werden.
• Kontinuierliches Monitoring: Die gesamte Lieferkette, einschließlich der von Lieferanten bezogenen Hard- und Softwarekomponenten und der durch Drittanbieter bereitgestellten Dienste, sollte kontinuierlich überwacht werden. Dazu zählen verschiedene Aspekte, wie z. B. die Überwachung der Systemaktivitäten und das Überprüfen von extern angelieferten Komponenten auf Malware.
• Einrichten einer Zero-Trust-Architektur: Im Unterschied zu traditionellen Sicherheitsmodellen setzt eine Zero-Trust-Architektur auf das Prinzip der Nicht-Vertrauenswürdigkeit. Das bedeutet, dass Benutzer und Geräte für jede Zugriffsanfrage auf eine Ressource ihre Identität und Berechtigung nachweisen müssen. Das geschieht oftmals durch die Implementierung einer Multi-Faktor-Authentifizierung (MFA), die sicherstellt, dass nur berechtigte Benutzer auf die gewünschten Daten oder Systeme zugreifen können. Daneben verfolgt eine solche Architektur das Prinzip, dass jeder Benutzer und jedes System nur die minimal notwendigen Zugriffsrechte erhält, um seine Aufgaben zu erfüllen.
• Maßnahmen gegen Zero-Day-Exploits ergreifen: Bei Angriffen auf die Supply Chain kommt häufig ein Zero-Day-Exploit zum Einsatz. Das bedeutet, dass eine  noch nicht bekannte Sicherheitslücke ausgenutzt wird, um unbefugten Zugriff auf Systeme zu erhalten. Was Unternehmen tun können, um Zero-Day-Exploits zu verhindern, lesen Sie hier.
• Regelmäßige Analysen der Lieferkettensicherheit: Unternehmen, die mit einer Vielzahl an Zulieferern und Drittanbietern arbeiten, sollten einen genauen Überblick über ihre Lieferkette und die entlang der Lieferkette bestehenden Abhängigkeiten haben. Um das zu gewährleisten, ist es empfehlenswert, die Sicherheitsvorrichtungen entlang der Lieferkette regelmäßig zu analysieren und eine aktuelle Übersicht der Abhängigkeiten zu pflegen. Eine solche Übersicht kann im Falle eines Angriffs helfen, das mögliche Ausmaß der Schäden schnell abzuschätzen und zielgerichtete Gegenmaßnahmen zu ergreifen.