Cyber-Bedrohungen gehen über einfachen Datendiebstahl hinaus und zielen auf die digitalen Lebensadern ab, auf die Unternehmen angewiesen sind: ihre Lieferkettenpartner und Drittanbieter. Ein Supply-Chain-Angriff ist eine Art Cybersicherheitsangriff Dabei nutzen Cyberkriminelle Schwachstellen bei Partnern, Anbietern oder Abhängigkeiten einer Organisation aus, um den Betrieb zu stören oder auf vertrauliche Daten zuzugreifen.
Angriffe auf die Lieferkette haben sich verfünffacht, das entspricht etwa 431% zwischen 2021 und 2023, was laut dem Cyber Roundup Report 2024 eine zunehmende Anfälligkeit in der vernetzten Geschäftsumgebung verdeutlicht. Diese Angriffe sind gefährlich, weil sie starke interne Abwehrmechanismen umgehen können, Tausende von Unternehmen betreffen und sich schnell ausbreiten, sodass „Cyberangriffe auf die Lieferkette“ für Unternehmen weltweit zu einem Hauptanliegen werden.
Was ist ein Supply-Chain-Angriff?
Ein Supply-Chain-Angriff ist ein Angriff, der Schwachstellen in der externen oder internen Lieferkette eines Unternehmens ausnutzt. Dabei kann es sich um IT-Dienste, Softwareanbieter, Hardware oder kritische Geschäftsabläufe handeln.
Im Kontext der Cybersicherheit bedeutet dies, dass Angreifer Unternehmen nicht immer direkt angreifen. Stattdessen manipulieren sie Abhängigkeiten wie Dienstanbieter oder Open-Source-Bibliotheken, um selbst in die sichersten Organisationen einzudringen.
Neben Unternehmen und Abhängigkeiten werden Supply-Chain-Angriffe auch gegen die Regierung eingesetzt, beispielsweise der Computerwurm Stuxnet, der auf die iranischen Atomanlagen abzielte.
Multi-Faktor-Authentifizierungssoftware (MFA) erweist sich mit seinen Authentifizierungsmethoden wie Biometrie, Push-Benachrichtigungen, E-Mail-/SMS-basiertem OTP, Google/Microsoft Authenticator und mehr als eine der führenden Lösungen zur Bekämpfung von Angriffen auf die Lieferkette.
Wie funktioniert ein Supply-Chain-Angriff?
Organisationen nutzen für ihre täglichen Abläufe, beispielsweise für Personalverwaltung, Systemwartung, Codierungstools usw., häufig Drittanbieter.
Diese Anbieter haben Zugriff auf vertrauliche Unternehmensdaten. Durch Angriffe auf Drittanbieter werden Unternehmen von innen heraus geschwächt.
Hier ist eine Aufschlüsselung dessen, was bei einem Angriff auf die Lieferkette passiert:
- Ein Ziel erkennen: Die Hacker ermitteln Drittanbieter sowie die von ihnen verwendete Hardware, Software und Dienste. In der Regel werden Anbieter mit schwachen Sicherheitspatches identifiziert.
- Upstream-Zugriff: Nachdem eine Schwachstelle identifiziert wurde, dringen die Bedrohungsakteure durch Upstream-Angriffe wie Diebstahl von Anmeldeinformationen, Phishing, gezielte Angriffe auf Entwicklungstools usw. in das System ein.
- Bösartige Injektion: Sobald sie sich Zugang verschafft haben, schleusen Angreifer Schadcode oder eine Hintertür in die von Entwicklern verwendeten Open-Source-Bibliotheken ein, manipulieren die Software-Updates und beeinträchtigen die legitime Software/das legitime Produkt.
- Downstream-Lieferung: Die kompromittierte Software/das kompromittierte Produkt wird über vertrauenswürdige Quellen an die Zielorganisation geliefert. Da der Schadcode in der vertrauenswürdigen Software versteckt ist, umgeht er häufig die Sicherheitsvorkehrungen.
- Ausführung und Eskalation: Die manipulierte Software wird installiert und die Schadsoftware aktiviert. Cyberkriminelle nutzen diesen Angriffspunkt, um sich seitlich zu bewegen, Daten abzugreifen, sich Zugriff auf die Dateien zu verschaffen und weitere Angriffe durchzuführen.
Welche Arten von Supply-Chain-Angriffen gibt es?
Hier werden die „Arten von Supply-Chain-Angriffen“ anhand praktischer Relevanz erklärt:
1. Kompromittierte Software-Updates und Angriffe
Diese Angriffe erfolgen, wenn böswillige Akteure den Software-Update-Mechanismus eines vertrauenswürdigen Anbieters infiltrieren und schädlichen Code in legitime Updates einschleusen.
Organisationen laden scheinbar routinemäßige Patches herunter und wenden sie an, wodurch sie Angreifern unwissentlich Zugang zu ihren eigenen Netzwerken gewähren, was möglicherweise Tausende von nachgelagerten Kunden gleichzeitig beeinträchtigt.
Angreifer nutzen das Vertrauen der Unternehmen in die Updates der großen Softwareanbieter aus, was diese Taktik äußerst effizient macht und eine schnelle Erkennung erschwert.
2. Dependency Hijacking/Open-Source-Abhängigkeiten
Bei diesem Angriff werden Open-Source-Bibliotheken oder -Komponenten ausgenutzt, indem schädliche Versionen in freigegebene Repositories eingeschleust oder entführt werden. Wenn Entwickler diese schädlichen Abhängigkeiten unwissentlich in ihre Produkte integrieren, erhalten Angreifer Zugriff auf das gesamte Anwendungsökosystem.
Verwechslung von Abhängigkeiten und Typosquatting sind gängige Maschen, bei denen böswillige Akteure schädliche Pakete veröffentlichen, deren Namen den legitimen ähneln, und so sowohl automatisierte Build-Systeme als auch Entwickler austricksen.
3. Browserbasierter Angriff
Bei einem browserbasierten Angriff nutzen Hacker Schwachstellen in Webbrowsern aus oder schleusen schädliche Skripte ein (z. B. durch Cross-Site-Scripting oder kompromittierte Erweiterungen), die ausgeführt werden, wenn Benutzer bestimmte Websites besuchen.
Diese Angriffe können über Vektoren in der Lieferkette erfolgen, beispielsweise über Skripte, Plug-Ins oder Werbenetzwerke von Drittanbietern, und führen häufig zum Diebstahl von Anmeldeinformationen oder zu Drive-by-Malware-Infektionen.
4. Hardware- und Firmware-Manipulation
Angreifer in der Lieferkette können Hardwaregeräte oder Firmware manipulieren, möglicherweise während der Herstellung oder des Versands, und Hintertüren oder Spyware einbetten, bevor diese den Endbenutzer erreichen.
Nach der Installation in der Umgebung einer Zielorganisation kann diese schädliche Hardware die herkömmliche Endpunktsicherheit umgehen und dauerhaften Zugriff aufrechterhalten, manchmal jahrelang unentdeckt.
5. Angriffe auf die CI/CD-Infrastruktur
Moderne Softwareentwicklung basiert auf kontinuierliche integration und Bereitstellungspipelines (CI/CD), die für Angreifer zu lukrativen Zielen werden.
Durch die Kompromittierung dieser automatisierten Build-, Test- und Bereitstellungsumgebungen können Angreifer schädlichen Code in Code-Repositories oder endgültige Software-Builds einschleusen und so Malware an alle Kunden oder Partner verbreiten, die auf die kompromittierten Systeme angewiesen sind.
Entdecken Man-in-the-Middle (MITM)-Angriff in Cybersicherheit
6. JavaScript-Angriffe
Cyberkriminelle verwenden häufig JavaScript, um schädlichen Code in Webanwendungen einzuschleusen, entweder direkt oder über Dienste von Drittanbietern.
Diese Skripte können sensible Daten wie Zahlungsinformationen abschöpfen. Indem sie beliebte Plugins oder Werbenetzwerke ins Visier nehmen, können Angreifer mit einer einzigen Kampagne schnell Tausende von Websites und deren Besucher kompromittieren.
7. Vertragsverletzung durch Drittanbieter
Unternehmen lagern kritische Vorgänge wie die Gehaltsabrechnung, den IT-Support oder die Verwaltung von Heizungs-, Lüftungs- und Klimasystemen zunehmend an spezialisierte Anbieter aus.
Angreifer zielen auf diese Anbieter ab. Durch das Eindringen in die Systeme Dritter können Angreifer indirekt in die primäre Organisation eindringen.
8. Watering Hole-Angriffe
Bei Watering-Hole-Angriffen kompromittieren Angreifer Websites oder Online-Ressourcen, die häufig von bestimmten Gruppen besucht werden, wie etwa Branchenforen oder Entwicklungsportale.
Durch die Infektion dieser vertrauenswürdigen Ziele stellen Angreifer sicher, dass den beabsichtigten Zielen beim Besuch unbemerkt Malware zugestellt wird.
9. Komplexe Abhängigkeitsketten
Moderne Software-Ökosysteme verfügen häufig über tief verschachtelte, voneinander abhängige Bibliotheken und Module.
Wenn Angreifer nur eine einzige Abhängigkeit auf niedriger Ebene kompromittieren, kann sich die Bedrohung durch die gesamte Kette ziehen und letztendlich jede Anwendung oder jedes System infizieren, das darauf angewiesen ist.
10. Magecart-Angriffe
Magecart bezeichnet eine Gruppe von Cybercrime-Syndikaten, die sich darauf spezialisiert haben, über kompromittierte Plug-ins von Drittanbietern oder Schwachstellen in der Software-Lieferkette schädlichen JavaScript-Code in E-Commerce-Checkout-Seiten einzuschleusen.
Diese Skripte lesen Kreditkartendaten direkt aus Webformularen ab, was zu massiven finanziellen Verlusten und behördlichen Kontrollen für die betroffenen Unternehmen führt.
11. Kryptojacking
Bei Cryptojacking-Angriffen betten Angreifer Skripte zum Mining von Kryptowährungen in Softwareartefakte oder Webanwendungen ein, die über die Lieferkette bereitgestellt werden.
Nach der Aktivierung kapern diese Skripte die Verarbeitungsleistung Tausender kompromittierter Systeme für illegales Krypto-Mining.
12. Diebstahl von Anmeldeinformationen und Inselhopping
Angreifer haben häufig das Ziel, Anmeldeinformationen zu stehlen, insbesondere von Drittanbietern oder Benutzern mit erweiterten Berechtigungen. Diese Schlüssel nutzen sie dann, um zwischen miteinander verbundenen Unternehmen zu wechseln und sich seitlich durch die Lieferketten zu bewegen, um ihre Reichweite und Wirkung zu vergrößern.
Durch diese mehrstufige Infiltration können Sicherheitsverletzungen schwerer zu erkennen sein, da Kriminelle ihre Spuren verwischen und Vertrauensbeziehungen zu ihrem maximalen Vorteil ausnutzen.
Reale Fälle von Supply-Chain-Angriffen
1. SolarWinds
Im Jahr 2020 wurde SolarWinds, ein Unternehmen für Netzwerkverwaltungssoftware, gehackt, was zu einem Einbruch bei verschiedenen privaten Unternehmen und Regierungsbehörden führte.
Betroffen waren rund 18,000 Unternehmen und Kunden. Der Angriff wurde auf ein unrechtmäßiges Software-Update zurückgeführt, das der Orion-Software von SolarWinds hinzugefügt wurde.
2. Panasonic
Im Jahr 2021 wurde der Datendiebstahl bei Panasonic aufgedeckt, ein Cyberangriff auf die Lieferkette, bei dem die von den Unternehmen im Rahmen der Lieferkette gemeinsam genutzten Daten durch den böswilligen Zugriff eines Dritten auf die Server von Panasonic kompromittiert wurden.
3. MOVEit
Im Jahr 2023 wurde MOVEit, ein Tool, das für die sichere Übertragung vertraulicher Dateien bekannt ist, Opfer eines Cyberangriffs auf die Lieferkette. Rund 620 Organisationen waren schwer betroffen, darunter auch große Unternehmen wie British Airways und BBC.
Dieser Ransomware-Angriff lässt sich auf die Cl0p-Gruppe zurückführen und ist eine subtile Erinnerung daran, dass Schwachstellen schnell gepatcht werden müssen, um Angriffe abzuwehren.
Warum sind Angriffe auf die Lieferkette so gefährlich?
Angriffe auf die Lieferkette haben enorme Auswirkungen und können über vertrauensvolle Beziehungen zu Lieferanten Tausende von Unternehmen gleichzeitig betreffen.
Da diese Angriffe Vertrauen ausnutzen und oft privilegierten Zugriff nutzen, sind sie bekanntermaßen schwer zu erkennen. Daher stellen „Supply-Chain-Angriffe in der Cybersicherheit“ mittlerweile weltweit ein großes Problem dar, insbesondere wenn der schwächste Anbieter oder die schwächste Quelle alle angreifen kann.
Wie lassen sich Angriffe auf die Lieferkette verhindern?
Hier sind einige bewährte Ansätze, auf die sich Unternehmen verlassen können, um ihre Abwehrmaßnahmen zu stärken und das Risiko von Angriffen auf die Lieferkette wirksam zu minimieren.
1. Honeytokens ausführen
Durch die Platzierung von Scheinanmeldeinformationen oder digitalen Artefakten („Honeytokens“) in Ihrer Umgebung können Eindringlinge frühzeitig erkannt werden.
Wenn ein Angreifer mit diesen Fallen interagiert, löst er Überwachungssysteme aus und warnt so frühzeitig vor böswilligen Aktivitäten, die sonst unbemerkt bleiben könnten.
2. Nutzen Sie Privileged Access Management (PAM)-Lösungen
PAM-Produkt verwaltet und überwacht privilegierte Konten und stellt sicher, dass nur autorisierte Personen Zugriff auf vertrauliche Ressourcen haben.
Durch die Anforderung starker Authentifizierungs- und Prüfmaßnahmen verringert PAM das Risiko, dass kompromittierte Anmeldeinformationen bei einem Angriff auf die Lieferkette missbraucht werden können, erheblich.
3. Implementierung einer Zero Trust Architecture (ZTA)
Ein Zero-Trust-Ansatz bedeutet, dass Benutzern, Geräten oder Software kein implizites Vertrauen entgegengebracht wird. Jede Zugriffsanforderung wird basierend auf Identität, Kontext und Risikostufe dynamisch authentifiziert und autorisiert.
ZTA begrenzt die seitliche Bewegung, überprüft kontinuierlich Berechtigungen und hilft, Sicherheitsverletzungen einzudämmen, selbst wenn ein Angreifer über einen kompromittierten Anbieter oder ein kompromittiertes Update eindringt.
4. Integrieren Sie Tools zur Malware-Prävention
Erweiterte Malware-Erkennung und -Prävention sollten in Endpunkte, Netzwerke und Code-Repositories integriert werden.
Ständig aktualisierte Anti-Malware-Lösungen können das Eindringen bösartiger Nutzdaten über Software-Updates, Integrationen von Drittanbietern oder kompromittierte Abhängigkeiten verhindern.
5. Erkennen Sie Schatten-IT
Scannen Sie Ihre Umgebung regelmäßig, um die unbefugte Nutzung von Tools von Drittanbietern, Cloud-Apps oder nicht verwalteter Software („Shadow IT“) zu erkennen.
Durch die Überwachung und Kontrolle dieser verborgenen Vermögenswerte wird das Risiko verringert, dass nicht genehmigte Software zu einer Hintertür für Angreifer wird.
Bleiben Sie informiert durch Was sind DDoS-Angriffe
6. Führen Sie eine Risikobewertung durch Dritte durch
Bewerten Sie die Sicherheitspraktiken aller potenziellen und bestehenden Anbieter. Überprüfen Sie deren Cyber-Hygiene, bewerten Sie deren Vorfallhistorie und verlangen Sie Nachweise über Kontrollen, bevor Sie Zugriff auf Ihr Ökosystem gewähren. Durch kontinuierliche Bewertungen wird sichergestellt, dass die Anbieter die sich entwickelnden Sicherheitsstandards einhalten.
7. Minimieren Sie den Zugriff auf sensible Daten
Wenden Sie das Prinzip der geringsten Privilegien an, sodass Mitarbeiter, Partner und Lieferanten nur auf die Daten zugreifen können, die sie für ihre Rollen benötigen.
Durch die Begrenzung der Gefährdung wird der Explosionsradius verringert, wenn Anmeldeinformationen kompromittiert werden oder ein Drittanbieter angegriffen wird.
8. Überwachen Sie das Anbieternetzwerk auf Schwachstellen
Scannen Sie die Systeme Ihrer Anbieter aktiv auf bekannte Schwachstellen und fordern Sie rechtzeitige Behebungen. Kontinuierliche Überwachung erhöht die Transparenz Ihres erweiterten digitalen Ökosystems und hilft, neu auftretende Risiken umgehend zu beheben.
9. Zero-Day-Exploits erkennen und verhindern
Implementieren Sie Lösungen zur Bedrohungserkennung, die ungewöhnliche Aktivitäten identifizieren, die auf Zero-Day-Exploits hindeuten – Angriffe, die bisher unbekannte Schwachstellen ausnutzen. Proaktive Anomalieerkennung und Verhaltensanalysen sind unerlässlich, um diese heimlichen Angriffe frühzeitig zu stoppen.
10. Schwachstellen erkennen und Patches zulassen
Richten Sie automatisierte Scan- und Patch-Management-Prozesse ein, um Schwachstellen in Ihren eigenen Systemen und in Systemen von Drittanbietern schnell zu identifizieren und zu beheben.
Um Sicherheitslücken zu schließen, bevor Angreifer sie ausnutzen können, ist schnelles Patchen von entscheidender Bedeutung, insbesondere in komplexen Lieferkettenumgebungen.
Angriffe auf die Lieferkette im Vergleich zu anderen Cyberangriffen
Angriffe auf die Lieferkette sind schwieriger zu verhindern, da sie äußerst vertrauenswürdige Verbindungen und Abhängigkeiten ausnutzen.
Zukunftsausblick: Das wachsende Risiko von Supply-Chain-Angriffen
Das explosionsartige Wachstum der Telearbeit und der Cloud-Nutzung führt dazu, dass die Lieferketten – und ihre digitalen Abhängigkeiten – schnell wachsen, was das Risiko erhöht.
Die Risiken für die Open-Source-Lieferkette steigen, da Tausende von Unternehmen auf frei verfügbare Module angewiesen sind, die manchmal aufgegeben und ungeprüft sind.
Die zukünftige Verteidigung wird auf Zero Trust-Prinzipien beruhen und adaptive MFA-Lösungen, die den Zugriff auch in verteilten Umgebungen einschränken.
Sehen Sie, wie Push-Benachrichtigungen Vereinfachen Sie die Authentifizierung
Warum sollten Sie sich für miniOrange zur Sicherheit Ihrer Lieferkette entscheiden?
miniOrange bietet umfassende Verteidigungslösungen, die sich nahtlos integrieren IAM, SSO, MFA und privilegiertes Zugriffsmanagement.
Mit adaptiver Risikoerkennung, umfassendem Lieferantenmanagement und branchenführenden Authentifizierungstools miniOrange hilft Unternehmen, die Widerstandsfähigkeit ihrer Lieferkette zu stärken und Angriffen zuvorzukommen, bevor sie eskalieren.
Fazit
Angriffe auf die Lieferkette stellen eine existenzielle Bedrohung für digital ausgerichtete Geschäftsmodelle dar, doch die richtige Mischung aus proaktiver Abwehr, Authentifizierungslösungen, intelligenter Überwachung und robusten Lieferantenkontrollen kann die Auswirkungen abmildern.
Machen Sie miniOrange zu Ihrem Partner im Kampf gegen unsichtbare Feinde, indem Sie eine kostenlos IAM Versuch, Überprüfung wettbewerbsfähige Preisanpassung, oder greifen Sie auf maßgeschneiderte Lösungen zurück. Vereinbare einen Termin mit uns heute.
Häufig gestellte Fragen
Was versteht man unter einem Supply-Chain-Angriff?
Bei einem Supply-Chain-Angriff geht es darum, die Lieferanten, Partner oder Softwareabhängigkeiten eines Unternehmens zu infiltrieren oder zu stören.
Was ist der häufigste Einstiegspunkt für einen Angriff auf die Lieferkette?
Kompromittierte Software-Updates, Drittanbieter-Dienstanbieter und die Entführung von Open-Source-Abhängigkeiten sind die häufigsten Einstiegspunkte.
Wie kommt es zu Angriffen auf die Software-Lieferkette?
Angreifer vergiften legitime Arbeitsabläufe wie vertrauenswürdige Updates, Code-Repositories oder Paketmanager, was zur verdeckten Verbreitung von Malware führt.
Was sind Beispiele für Supply-Chain-Hacks in der Praxis?
SolarWinds, NotPetya (über MeDoc), der Target-Hack (über den HVAC-Anbieter) und die E-Commerce-Exploits von Magecart veranschaulichen schwerwiegende Hacks in der Lieferkette.
Hinterlasse einen Kommentar