Supply Chain: Angriffe als IT-Security Trend 2021

Nur wer seine komplette Supply Chain im Blick hat, kann sich vor Cyber-Attacken schützen

[datensicherheit.de, 11.02.2021] Thorsten Krüger, „VP Sales DACH“, „CEE“ und „CIS“ bei Thales, geht in seiner aktuellen Stellungnahme auf den sich abzeichnenden IT-Security-Trend 2021 ein – „Supply Chain“-Angriffe. Es gebe anlässlich des „SolarWinds“/„Sunburst“-Vorfalls eine ganze Menge „Lessons Learned“ für die IT-Security-Community.

Foto: Thales

Thorsten Krüger: Starke Verschlüsselung und Zugriffskontrolle sowie Sensibilisierung der Mitarbeiter von besonderer Bedeutung

SolarWinds / Sunburst und EMA: Vorfälle lassen Zunahme der Angriffe auf Supply Chain befürchten

Krüger führt aus: „Es gibt anlässlich des ,SolarWinds‘/,Sunburst‘-Vorfalls eine ganze Menge ,Lessons Learned‘ für die Security-Community – nicht nur, dass in Deutschland und außerhalb zahlreiche Behörden betroffen sind. Ohne in die bislang bekannten Details gehen zu wollen, lässt sich auch mit Blick auf die bekanntgewordenen Angriffe auf die mit der Zertifizierung des Impfstoffs des Herstellers Pfizer/Biontech beauftragte EU-Behörde EMA feststellen, dass ,Supply Chain‘-Angriffe zunehmen werden.“

Dass wie in diesem Fall sogar die gestohlenen Daten veröffentlicht worden seien, sei einer neuen Qualität der Ransomware-Angriffe geschuldet, bei der zum einen die Daten verschlüsselt und kopiert, zum anderen aber als sogenannte „Double Extortion“ ins Netz gestellt würden. Angreifer hätten es letztendlich auf Daten abgesehen und verfolgten den Weg der Daten von einem Unternehmen zum anderen, um sich das schwächste und am einfachsten zu knackende Glied in der Kette herauszusuchen. Diese Strategie komme immer dann zum Tragen, „wenn professionelle Angreifer hinter den Attacken stehen, die viel Zeit und Aufwand in die Erkundung ihres Ziels gesteckt haben“. Dies mache sie so gefährlich und den Schutz vor ihnen so aufwändig.

Supply Chain: Angriffe über Kompromittierung eines Softwarecodes oder einer Anwendung

Krüger erläutert kurz einen „Supply Chain“-Angriff: „Klassisch meint der Begriff die Kompromittierung eines Softwarecodes oder aber einer Anwendung, die von einem Drittanbieter entwickelt wird und dann in anderer weitverbreiteter Software oder Systemen eingesetzt wird.“ Beispiele gebe es seit „Target 2014“ genug – das Phänomen sei daher bekannt, aber das Ausmaß und die Raffinesse hinter den neuerlichen Angriffen lasse aufhorchen und für die Zukunft nichts Gutes erahnen.

Angesicht des Ausmaßes der Vernetzung der heutigen Wirtschaft und der Abhängigkeit von funktionierenden Lieferketten, lasse sich der Begriff „Supply Chain“ nämlich noch weiter fassen, wenn man ihn als „Value Chain“- oder noch weiter als „Third Party“-Attacke verstehe. Angreifer sehen sich demnach die gesamte Lieferkette an, „sie haben Zeit, warten ab, suchen nach Schwachstellen, beispielsweise in Buchhaltungssoftware, die bei einigen Firmen im Einsatz ist und auch bei den Zulieferern oder Zweigstellen im Ausland“.

Schutz der Supply Chain: Komplette Lieferketten muss sicher sein

Das Einfallstor müsse nicht groß sein, bleibe es jedoch lange unbemerkt, wie bei den vielen bekanntgewordenen Fällen, könnten sich die Angreifer in Seelenruhe ausbreiten und sich nach und nach Zugriff auf die für sie interessanten Datensätze verschaffen. Die Bedrohung sei inzwischen so groß, dass in einer Studie des US-amerikanischen Security-Dienstleisters BlueVoyant mehr als 80 Prozent der Befragten bestätigt hätten, bereits Opfer eines solchen indirekten Angriffs gewesen zu sein.

Angesichts der zunehmenden Angriffe auf und über Zulieferer und Drittanbieter-Firmen sollten Unternehmen deshalb mehr denn je darauf achten, wie ihre Lieferketten, „und zwar alle, von der Softwareentwicklung bis zu den tatsächlichen Lieferprozessen selbst“, in Sachen IT-Sicherheit aufgestellt sind. Krüger betont: „Hier ist neben einer starken Verschlüsselung und Zugriffskontrolle die Sensibilisierung der Mitarbeiter von besonderer Bedeutung. Nur wer seine Lieferketten im Blick hat, kann sich vor Cyber-Attacken schützen, auch wenn es keinen vollumfänglichen Schutz geben kann.“

Weitere Informationen zum Thema:

Deutschlandfunk, Peter Welchering, 09.01.2021
IT-SicherheitSolarwind-Attacke betrifft auch deutsche Ministerien und Firmen

datensicherheit.de, 11.12.2020
EMA-Hack: Gezielter Cyber-Angriff auf das Herz unserer KRITIS / Beispiel EMA zeigt, dass Cyber-Angriffe auf Pharmaunternehmen in aktueller Situation keine Überraschung sind

BlueVoyant
DOWNLOAD REPORT: Global Insights: Supply Chain Cyber Risk / Managing Cyber Risk Across the Extended Vendor Ecosystem