Lieferkette im Visier: Cyber-Kriminelle missbrauchen Vertrauen zwischen Unternehmen

Anstieg von Angriffen auf Lieferketten um 650 Prozent

[datensicherheit.de, 25.05.2022] „Angesichts eines Anstiegs von Angriffen auf Lieferketten um 650 Prozent sind ,Least Privilege Access Policy‘, Netzwerksegmentierung, DevSecOps-Praktiken und automatisierte Bedrohungsabwehr die Eckpfeiler für die Sicherheit eines Unternehmens geworden“, so Lothar Geuenich, „Regional Director Central Europe/DACH“ bei Check Point, in seiner aktuellen Stellungnahme.

Foto: CHECK POINT

Lothar Geuenich: Least Privilege Access Policy, Netzwerksegmentierung, DevSecOps-Praktiken und automatisierte Bedrohungsabwehr als Eckpfeiler für die Sicherheit eines Unternehmens…

Lieferkette eines der Hauptziele Cyber-Krimineller

In den letzten Jahren sei die Lieferkette eines der Hauptziele von Cyber-Kriminellen gewesen. Geuenich erläutert: „Grund dafür war vor allem die Umstellung der Arbeitswelt wegen der ,Pandemie‘-Maßnahmen. Fernarbeit und ,Cloud‘-Nutzung nahmen rasch zu, obwohl viele Firmen nicht gut vorbereitet waren.“
Infolgedessen seien Sicherheitskräfte überfordert und nicht in der Lage, mit den Bedrohungen Schritt zu halten. „Laut unserem ,Sicherheitsbericht 2022‘ ist die Zahl der Angriffe auf die Lieferkette im Jahr 2021 im Vergleich zum Vorjahr um 650 Prozent gestiegen.“

Missbrauch der Lieferkette: SolarWinds und Kaseya als Warnung

Ein Beispiel für vielbeachtete Angriffe aus dem letzten Jahr sei die „SolarWinds-Attacke“, als sich eine Gruppe von Verbrechern den Zugang zur Produktionsumgebung von SolarWinds verschafft und eine „Hintertür“ in Updates für das Produkt zur Netzwerküberwachung, „Orion“, eingebaut habe. „Bei den Kunden, die das bösartige Update verwendeten, kam es zu Datendiebstahl und anderen Sicherheitsproblemen“, berichtet Geuenich.
Ein weiteres Beispiel sei die „Revil“-Ransomware-Bande gewesen, die Kaseya missbraucht habe, ein Unternehmen, welches Software für „Managed Service Provider“ (MSP) anbiete. Die Kriminellen hätten mehr als 1.000 Kaseya-Kunden mit Ransomware infizieren können. Geuenich: „Sie gingen so weit, dass sie ein Lösegeld in Höhe von 70 Millionen US-Dollar für die Bereitstellung von Entschlüsselungs-Schlüsseln für alle betroffenen Benutzer forderten.“

Angriff auf die Lieferkette zielt häufig auf Managed Service Provider ab

Geuenich führt aus, wie ein Angriff über die Lieferkette funktioniert: „Es werden die vertrauensvollen Beziehungen zwischen verschiedenen Organisationen ausgenutzt, weil auf der Hand liegt, dass alle Unternehmen ein gewisses Maß an Vertrauen in andere Unternehmen setzen, deren Software sie in ihren Netzwerken installieren und verwenden oder mit denen sie als Zulieferer zusammenarbeiten.“ Diese Art von Bedrohung ziele somit auf das schwächste Glied in einer Vertrauenskette ab.
Wenn ein Unternehmen über eine starke IT-Abwehr verfügt, aber einen unsicheren, dennoch vertrauenswürdigen Lieferanten beschäftigt, würden Cyber-Kriminelle ihn ins Visier nehmen. „Wenn sie im Netzwerk dieses Anbieters dann Fuß gefasst haben, können die Hacker über diese Verbindung in das sicherere Netzwerk des Unternehmens eindringen.“
Ein Angriff auf die Lieferkette ziele darum häufig auf „Managed Service Provider“ (MSP), „da sie umfassenden Zugang zu den Netzwerken ihrer Kunden besitzen“. So könnten die Hacker sich Zugang zu Bereichen verschaffen, die auf direktem Wege viel schwieriger zu erreichen wären – „danach stehen alle Angriffsarten zur Verfügung, ob Datenmißbrauch, Datendiebstahl, Spionage oder Ransomware“.
So seien beispielsweise durch den „SolarWinds-Hack“ die sensiblen Daten mehrerer öffentlicher und privater Organisationen freigelegt worden. Ebenso seien Malware-Angriffe zu beachten. Hacker nutzten häufig Schwachstellen in der Lieferkette aus, um Malware in das Zielunternehmen zu schleusen. „Bei SolarWinds wurde auf diese Weise eine bösartige ,Backdoor‘ eingebaut, und der Angriff auf Kaseya führte zu Ransomware.“

Techniken zum Schutz der Lieferkette für Unternehmen

Trotz der Gefahr, die von diesen Attacken ausgeht, gibt es laut funktioniert Techniken, mit denen sich ein Unternehmen schützen kann:

1.Implementieren Sie eine „Least Privilege Policy“!
Viele Unternehmen erteilten ihren Mitarbeitern, Partnern und deren Software übermäßige Zugriffsrechte und Berechtigungen. Dies erleichtere Angriffe auf die Lieferkette. Daher sei es unerlässlich, eine „Least Privilege Policy“ einzuführen und jedem Mitarbeiter im Unternehmen sowie der Software selbst nur die für die Arbeit notwendigen Berechtigungen zu erteilen.

2. Segmentieren Sie das Netzwerk!
Software von Dritt-Anbietern und Partnern benötigten keinen uneingeschränkten Zugriff auf jeden Winkel des Unternehmensnetzwerks. Um jegliches Risiko zu vermeiden, sollte das Netzwerk durch Netzwerksegmentierung in Zonen unterteilt werden, „auf verschiedenen Geschäftsfunktionen basieren“. Auf diese Weise bleibe der Rest des Netzwerks geschützt, „wenn ein Angriff auf die Lieferkette einen Teil des Netzwerks beeinträchtigt und der Angreifer im Segment eingesperrt“.

3. Wenden Sie DevSecOps-Praktiken an!
Die Integration von Sicherheitsaspekten in den Entwicklungszyklus mache es möglich, zu erkennen, ob Software (wie die „Orion“-Updates) böswillig verändert und somit verseucht wurde.

4. Führen Sie eine automatisierte Bedrohungsabwehr ein!
Fachkräfte in einem „Security Operations Centre“ (SOC) müssten die Kunden vor Angriffen in allen Unternehmensumgebungen schützen, einschließlich deren Endpunkte, „Cloud“-Umgebungen und mobile Geräte.

Vorbeugen ist besser als Nachsorge – auch bei der Lieferkette

Geuenich betont: „Diese Schritte zu beherzigen, das lohnt sich auch finanziell, denn: Die Kosten für Ransomware-Schäden und deren Beseitigung können in die Millionen gehen. Daher sollte das alte, deutsche Sprichwort gelten: ,Vorbeugen ist besser als Nachsorge‘ – und zur guten Vorsorge gehört die Implementierung einer umfassenden IT-Sicherheitsarchitektur, die verschiedene Sicherheitslösungen vereint und die IT-Abwehr konsolidiert.“
Damit entstehe Ordnung statt eines „Sammelsuriums“ aus verschiedenen Komponenten unterschiedlicher Hersteller, die oft schlecht aufeinander abgestimmt seien. Sich nebenbei eine Sicherheitsstrategie als Plan zurechtzulegen und einen Notfallplan durchzusprechen, sei ebenfalls sehr empfehlenswert.

Weitere Informationen zum Thema:

datensicherheit.de, 10.07.2021
Kaseya: Cyber-Kriminelle missbrauchen Ransomware-Vorfall für Phishing-Attacken / Phishing-Mails können z.B. aktuell Betreffzeilen enthalten, welche zum Update von Kaseya VSA auffordern

datensicherheit.de, 22.01.2021
Lessons learned – Lehren aus dem Solarwinds-Hack / Ein Kommentar von Christoph Volkmer, VP DACH bei Tanium