Die Lieferkette im Zentrum der Risikobetrachtung
Unternehmen müssen sich der Risiken von Angriffen auf die Lieferkette bewusst sein -- das fordert auch NIS 2 -- und Vorkehrungen treffen, um Eintrittswahrscheinlichkeit und Auswirkung abzumildern. Dazu gehören technische und strategische Maßnahmen.
Die Europäische Union hat mit ihrer NIS 2-Direktive einen Stein ins Rollen gebracht, der vielen Unternehmen gerade Kopfzerbrechen bereitet. Die Verordnung verlangt, die Lieferkette mit ins Cybersecurity Risikomanagement aufzunehmen. Genauer gesagt werden die Geschäftsleitungen der unter NIS 2 fallenden Unternehmen verpflichtet, die Lieferkette als Risiko für die Cybersicherheit zu berücksichtigen, zu bewerten und entsprechende Minderungsmaßnahmen zu ergreifen.
Für viele ist diese Aufgabe verwirrend. Ist damit nun gemeint, dass die Lieferkette oder Supply Chain auditiert werden muss? Können nur IT-Sicherheit-zertifizierte Unternehmen als Partner arbeiten? Oder werden vielleicht sogar branchenspezifische Regulierungen wie z.B. TISAX in der Automobilbranche künftig definieren, wer mit wem eigentlich noch handeln darf?
Weder noch, auch wenn sich solche Ansätze natürlich als risikomindernde Maßnahmen in Einzelfällen durchsetzen lassen. Es geht vielmehr darum, das Cybersecurity-Risiko einzuschätzen und danach zu handeln. Für Unternehmen ist es deshalb relevant zu verstehen, was Lieferkettenangriffe so gefährlich macht, um daraus Schutzkonzepte und Gegenmaßnahmen zu entwickeln. Aber auch für Unternehmen, die nicht unter NIS 2 fallen, ist die Debatte relevant, denn es ist eine bewusste Forderung, um Cybersicherheit in der Ganzen EU zu fördern. Das NIS 2 Unternehmen nun verpflichtet, sich des Themas anzunehmen, bedeutet, dass vermehrt Diskussionen geführt werden und man mit entsprechenden eigenen Maßnahmen seinen Kunden entgegen kommt.
Die Direktive hebt einen Punkt besonders hervor, und er betrifft Unternehmen, unabhängig davon, ob sie in der EU angesiedelt sind dort oder lediglich Geschäfte tätigen. Sie fordert, begründet durch die Gefährlichkeit, die Supply Chain in die Cybersecurity-Risikodiskussion mit einzubeziehen. Im aktuellen Gesetzesentwurf der Bundesregierung wird dabei darauf hingewiesen, dass „…Abhängigkeiten in der IT-Lieferkette und in diesem Zusammenhang auch insbesondere Cyberangriffe über die Lieferkette (sogenannte Supply-Chain-Angriffe) zu den größten Bedrohungen.“ zählen. Der Gesetzesentwurf führt weiter aus, dass „…Angriffe im Bereich der Lieferketten sowohl aus den Bereichen Cybercrime als auch im Rahmen des Krieges zuletzt zugenommen haben“.
Gefahr durch die Angriffe
Doch wieso sind Angriffe auf die Lieferkette so gefährlich?[RW1] Moderne Unternehmen unterhalten IT-Verbindungen zu ihren Partnern und Kunden. Diese reichen von der einfachen Kommunikation per E-Mail bis hin zu vollständig automatisierten Geschäftsprozessen. Bei einem Supply-Chain-Angriff wird diese Vernetzung missbraucht, und der Schaden, den ein erstes Opfer erleidet, wird von da aus auf andere, mit dem ersten Opfer verbundene Organisationen, Zulieferer oder Partner in der Supply Chain übertragen. Diese Taktik kann bei Massenangriffen mit Tausenden von beteiligten Firmen genutzt werden oder auch als Sprungbrett von einem weniger gesicherten und damit leichter angreifbaren zu einem stark gesicherten Unternehmen. Die Zielsetzung der Täter reicht von finanziell motivierter Cyberkriminalität bis hin zu politischer Spionage.
Attacken auf die Lieferkette sind nicht so häufig wie andere, da sie von den Tätern einiges an Fachwissen erfordern. Doch sie haben verheerende Auswirkungen auf die Beteiligten.
Techniken
Vor allem drei Formen sind relevant:
- Bösartige Softwareupdates: Diese Variante wandten die Kriminellen in den Angriffen NotPetya (2017), Kaseya (2021) und Solarwinds (2022) an. Dabei wurde jeweils ein Softwarehersteller mit weit reichender Kundenzahl infiltriert und dessen Update-Prozess gekapert. Statt einer normalen Aktualisierung übermittelten die Übeltäter ein Angriffswerkzeug über diesen Mechanismus an die Kunden des Herstellers.
- Supply Chain-Angriffe über Service-Dienstleister funktionieren ähnlich, wobei hier meist die Installation des Dienstleisters zuerst angegangen wird. Die Opfer, vor allem dessen Kunden, haben dabei kaum Einflussmöglichkeit. Weltweit bekannt wurden die Angriffe auf Kaseya (2021) sowie MoveIT (2023).
- Island Hopping: Diese Variante ist eher den gezielten Angriffen zuzuordnen. Die Täter nutzen dabei die Vertrauensstellung zwischen beteiligten Menschen oder Systemen aus. Hierbei wird ein Partner in der Lieferkette durch die Angreifer übernommen. Von dieser Basis aus, werden andere Mitglieder in der Kette mittels normaler Kommunikationswege angegriffen. Beispielsweise kommt dann der bösartige Link oder Mailanhang aus einer vertrauenswürdigen Quelle. Die Gruppe Emotet automatisierte diese Art des Verfahrens bis zu ihrem Takedown (2021). Island Hopping-Angriffe werden auch für besonders wertvolle und stark gesicherte Ziele verwendet. Eine direkte Attacke auf diese wäre ohne den Umweg über die schlechter gesicherte Lieferkette oft nicht möglich oder mit erheblichen Aufwänden verbunden.
- Wiederverwendete Programmierressourcen. Da Kunden immer wieder neue Funktionalität erwarten, muss die Entwicklung schnell gehen. Häufig wird dies durch die Wiederverwendung vorprogrammierter Funktionen oder Codefragmente erreicht. Bei verschiedenen Angriffen auf die Lieferkette werden daher häufig verwendete Programmierressourcen missbraucht, um Malware an die Opfer zu verteilen. In einem Beispiel aus dem Jahr 2021 wurde ein beliebtes NPM-Paket, UAParser.js, kompromittiert, was zur Verbreitung von Malware in Millionen von Projekten führte. Obwohl Open Source- und Entwickler-Communities sehr agil sind, ist die Reichweite von Schadprogrammen, die nur für kurze Zeit verfügbar sind, bemerkenswert.
Problem der Verteidigung
Supply Chain-Angriffe sind besonders deswegen gefährlich, weil sie in der Grundkonzeption darauf ausgelegt sind, Sicherheitsmechanismen auf Seiten der Verteidiger zu umgehen. Bösartige Softwareupdates sind beispielsweise so erfolgreich, weil ein Update meist in verschlüsselter Form direkt ins Rechenzentrum des Opfers eingeschleust wird. Unternehmen verteidigen sich dagegen häufig von außen nach innen, wobei das Rechenzentrum selbst, als „innerster Kern“ zwar durch verschiedene Sicherheitsebenen nach außen geschützt ist, oft aber nur noch minimale Sicherheitsvorkehrungen beinhaltet, wenn es um die Kommunikation innerhalb des Segments geht. Startet der Angriff dann dort, können die Täter sich meist mühelos ausbreiten. Es spielt dabei kaum eine Rolle, ob das Rechenzentrum virtuell oder cloudbasiert aufgebaut ist.
Lieferkette nach Gesetz
Jedes Unternehmen hat viele Partner und Lieferanten - zu viele, um sie einzeln auditieren zu können. Vor allem kleinere Unternehmen würden in den meisten Fällen auch eher die Zusammenarbeit aus Kostengründen einstellen müssen, als eine irgendwie geartete Auditierung zuzulassen. Zudem können Supply Chain-Angriffe auch von Kunden auf Lieferanten überspringen, wenn beispielsweise Aufträge automatisiert verarbeitet werden. Kleinere NIS 2-Unternehmen haben auch nicht die Marktmacht, um ihre Lieferanten „zwingen“ zu können. Auch der Wechsel zu alternativen Anbietern würde ein solches Unternehmen vor erhebliche und im Sinne einer Risikobetrachtung auch unverhältnismäßige Aufwände stellen.
Die Richtlinie NIS 2 schreibt nur vor, dass Unternehmen sich der Risiken dieser Bedrohungen für die Lieferkette bewusst sein müssen und Vorkehrungen zu treffen haben, um deren Eintrittswahrscheinlichkeit und Auswirkung entsprechend abzumildern. Die Vorschrift geht dabei über die allgemeine Risikobetrachtung der Lieferkette hinaus. Es geht nicht darum, ob ein Partner ausfällt, was nicht nur aus IT-Gründen ohnehin in der Risikobetrachtung berücksichtigt werden muss, sondern um die ganz besonderen Risiken, die aufgrund der Verbundenheit mit der IT entstehen. Zur Cyber-Risikodiskussion empfehlen sich die folgenden Szenarien:
1. Absicherung: Die eigenen Server können zum Ausgangspunkt eines Cyberangriffs werden, und entsprechend müssen auch dort Sicherheitsmechanismen etabliert werden, die einen Eindringling entdecken (z.B. XDR) bzw. die im Rechenzentrum befindlichen Systeme schützen, sollten die Täter bereits im entsprechenden Segment eingedrungen sein.
2. Verhandlungen: Unternehmen sollten mit Partnern, mit denen sie automatisiert Daten auf elektronischem Wege austauschen, beispielsweise Serviceprovider oder Logistikunternehmen, das Gespräch suchen und gemeinsame Herangehensweisen erarbeiten (z.B. Frühwarnsysteme - wer informiert wen). Eines der Probleme bei MoveIT war etwa, dass Kunden zwar von ihrem Serviceprovider hörten, dass ihre Daten „verloren gegangen waren“, aber erst durch die Erpressungsversuche der Täter das volle Ausmaß verstanden.
Was Angriffe über die Supply Chain auch zusätzlich gefährlich macht, ist die besondere Vertrauensstellung eines Partners. Der interne Mitarbeiter, der mit einem solchen Partner in regelmäßigem Austausch steht, kann so, unabhängig vom Stand seiner Schulung, von Angreifern zum Innentäter missbraucht werden. So werden Sicherheitsmaßnahmen dadurch ausgehebelt, dass beispielsweise Angriffs-Mails verschlüsselt versendet oder sogar Sicherheitswarnungen bzw. -Maßnahmen angekündigt werden - zusammen mit der Anleitung, wie man an diesen vorbei dennoch die Datei ausführt. Geht der Angreifer dabei geschickt vor, schöpft der Mitarbeiter keinen Verdacht. Schließlich führt er die Konversation mit einem „vertrauten Menschen“. Ganz typisch sind in diesem Zusammenhang Office-Dokumente, deren Makros beim Empfang automatisiert deaktiviert werden. Der „Partner“ erklärt, dass es sich dabei um ein bekanntes Problem (Sicherheits-Feature von Microsoft) handelt und sagt auch, wie man es „beheben“ kann.
Fazit
Lieferketten Angriffe gehören derzeit zu den erfolgreichsten Cyberwaffen. Jedes Unternehmen ist durch die eine oder andere Methode verwundbar, aber auch als Ziel für Täter unterschiedlich interessant. Ein kleines Unternehmen ist beispielsweise gegen die sehr aufwändige Form gezielter Angriffe praktisch schutzlos, wird aber kaum selbst Ziel werden. Es könnte aber als Trittbrett für Täter dienen, um dessen Kunden anzugreifen. Softwarelieferanten und Serviceprovider hingegen werden auch von Kriminellen als Multiplikatoren missbraucht. Deren Kunden müssen deshalb davon ausgehen, dass ein „Update“ mal „schiefgehen“ kann und zum sprichwörtlichen „Trojanischen Pferd“ wird, das man in das eigene Rechenzentrum oder auf die eigenen Daten losgelassen hat. Wie üblich in der Risikodiskussion geht es darum, die möglichen Gefahren für das eigene Unternehmen abzuwägen und Gegenmaßnahmen zu diskutieren. Inwiefern dies auch Gespräche mit anderen Unternehmen beinhaltet liegt dabei im eigenen Ermessen.
Das technische Konzept zur Abwehr von dieser Art von Angriffen ist das gleiche wie bei vielen anderen Varianten der Cyberkriminalität. Die strategische Grundlinie ist die These, dass ein Angriff die anfängliche Verteidigung durchdringt. Die Lösung besteht darin, alle Anzeichen einer Kompromittierung (IoC) oder eines Angriffs (IoA) zu erkennen und entsprechend zu reagieren. Da Angriffe auf jeder Ebene des Netzwerks starten können, müssen diese Prozesse auf alle Teile des Unternehmens ausgeweitet werden. Die Branche kennt dieses strategische Konzept als XDR (eXtended Detection & Response).
Rechenzentren gelten in der Regel als durch massive Cybersicherheitsmauern geschützt. Bei Angriffen auf die Lieferkette können sie jedoch zur ersten Verteidigungslinie werden. Schutzmechanismen müssen deshalb auch innerhalb des Segments gegen andere Systeme greifen. In der Branche ist mit Zero Trust nicht nur die Beziehung zu Mitarbeitern gemeint, sondern auch die rein technischen innerhalb eines Netzwerkes.
Darüber hinaus ist es ratsam, vor allem mit wichtigen Partnern offene Diskussionen zu führen und das Thema gemeinsam anzugehen. Denn Cybersicherheit funktioniert immer in beide Richtungen. Als Partner, der selbst nicht unter NIS 2 fällt, kann man seinen Kunden mit eigenen Maßnahmen sehr weit entgegenkommen und so deren Bedenken proaktiv begegnen. Dies kann sich auf Geschäftsbeziehungen nur positiv auswirken.
[RW1]Das ist streng genommen nicht richtig. Unter „Schutz der Lieferkette“ könnte man eine Verantwortung für die Sicherheit der Lieferkette herauslesen, die es nicht gibt. Unternehmen sind dazu aufgefordert die Lieferkette als Risiko für das eigene Unternehmen zu betrachten und entsprechend zu handeln.