[datensicherheit.de, 13.06.2025] Jan Wendenburg, der CEO von ONEKEY ist in seiner Stellungnahme vom 3. Juni 2025 auf den Umstand eingegangen, dass die Europäische Cybersicherheitsbehörde ENISASoftware-Supply-Chain-Angriffe zu der größten Bedrohung erklärt hat. Damit bestehe akuter Handlungsbedarf auch für industrielle IT- und OT-Systeme. Die Zahl der Vorfälle zu Software-Lieferketten hat sich in der EU demnach seit 2020 mehr als verdoppelt.

Zunehmend Software-Supply-Chain-Cyberattacken auf Embedded Systems in Deutschland

Auch die deutsche Industrie sieht sich laut Wendenburg zunehmend mit Software-Supply-Chain-Cyberattacken auf „smarte Systeme“, sogenannte Embedded Systems, konfrontiert. „Dies sind Angriffe, die gezielt über externe Komponenten, Software-Bibliotheken oder Firmware-Updates eingeschleust werden.“

• Diese Form der Cyberkriminalität nutze Sicherheitslücken bei Zulieferern, Dienstleistern oder Softwareanbietern aus, um in der Lieferkette nachgelagerte Unternehmen oder gar den Endkunden anzugreifen. Besonders betroffen seien Industrieanlagen, Maschinensteuerungen (OT-Systeme / Operational Technology), IoT-Komponenten (Internet of Things) und andere eingebettete Systeme, welche meist langjährige Betriebszyklen hätten und selten sicherheitskritisch untersucht, überwacht und aktualisiert würden.

„Hier besteht akuter Handlungsbedarf“, betont Wendenburg mit Blick auf die Industrie. Er stellt hierzu klar: „Cybersecurity muss die gesamte Wertschöpfungskette umfassen, um wirksam zu sein!“

Laut ENISA gehören Supply-Chain-Angriffe zu den „Top 5“-Bedrohungen für industrielle IT- und OT-Systeme

Die Marktforschungsfirma Cybersecurity Ventures veranschlagt in einer aktuellen Studie den durch Supply-Chain-Angriffe verursachten Schaden auf weltweit 80 Milliarden Dollar jährlich. „Die Komplexität globaler Lieferketten verschärft das Problem“, so Wendenburg.

• Er verweist auf einen Bericht der Europäischen Agentur für Cybersicherheit (ENISA), wonach zwei Drittel der Unternehmen in der EU mindestens schon einmal von kompromittierten Zulieferern betroffen waren.

Laut ENISA gehören Supply-Chain-Angriffe zu den „Top 5“-Bedrohungen für industrielle IT- und OT-Systeme und werden im „ENISA Foresight 2023 Report“ als die „TOP-1 Cybersecurity“-Gefahr herausgestellt.

Bösartiger Code über zwei Wege: Als Software in der Produktenwicklung oder als Teil eines Vorprodukts

Die deutsche Wirtschaft ist traditionell stark internationalisiert – der Wert der importierten Vorprodukte, die von der deutschen Industrie aus aller Welt bezogen und in ihre Produkte eingebaut werden, liegt in der Größenordnung von 370 Milliarden US-Dollar. Diese Importe von „intermediate goods“ sind von zentraler Bedeutung für die Produktion in Deutschland. „Jede verwendete Software und jedes mit vernetzter Digitaltechnik ausgerüstete Vorprodukt stellt eine potenzielle Gefahr dar“, erläutert Wendenburg die Dimension der Bedrohung.

• Dabei bestehe das große Gefährdungspotenzial von Supply-Chain-Angriffen darin, dass nicht nur das jeweilige Unternehmen mit Schadsoftware infiziert werde, „sondern diese über Produktauslieferungen an Kunden weitergegeben wird“.

So wäre es beispielsweise möglich, dass ein Maschinenbauer an seine Kunden Anlagen mit industriellen Steuerungen abgibt, welche ein Schadprogramm in sich tragen. Dabei könne der bösartige Code über zwei Wege aus der Lieferkette kommen: „Entweder als Software, die in die Produktenwicklung einfließt, oder als Teil eines Vorprodukts, das im Endprodukt verbaut wird.“

Stark steigende Nachfrage nach Sicherheitsüberprüfungen von Geräten, Anlagen und Systemen mit Echtzeit-Betriebssystemen

„Dieser Trend ist alarmierend, da die Lieferketten der deutschen Industrie hochgradig vernetzt sind und ein einziger Angriff weitreichende Folgen haben kann“, unterstreicht Wendenburg und führt weiter aus: „Daher sollten ,Embedded Systems’, die in Steuerungstechnik, Automatisierung oder IoT-Geräten zum Einsatz kommen, einer umfassenden Prüfung im Hinblick auf Cybersecurity unterzogen werden!“ Das gelte ausnahmslos für alle Komponenten, also nicht nur die im eigenen Unternehmen entwickelten, sondern auch für die von Zulieferern übernommenen Vorprodukte.

• Nach seinen Angaben erfährt ONEKEY derzeit eine „stark steigende Nachfrage nach Sicherheitsüberprüfungen von Geräten, Anlagen und Systemen mit Echtzeit-Betriebssystemen (Real-Time Operating Systems / RTOS), wie sie in ,Embedded Systems’ typischerweise zum Einsatz kommen“.

Das Düsseldorfer Sicherheitsunternehmen habe erst vor wenigen Monaten seine „Product Cybersecurity & Compliance Platform“ (OCP) weiterentwickelt, so dass diese auch RTOS-Firmware auf Schwachstellen und Sicherheitslücken überprüfen könne. Dies habe zuvor in der Branche als schwierig bis unmöglich gegolten, insbesondere bei sogenannten monolithischen Binärdateien, wie sie bei marktgängigen Echtzeit-Betriebssystemen wie etwa „FreeRTOS“, „Zephyr OS“, „ThreadX“ und anderen im Einsatz sind.

Zunehmende Komplexität industrieller Systeme lässt Supply-Chain-Angriffe zur immer größeren Bedrohung werden

Als ein besonders kritisches Einfallstor in der Lieferkette gälten Open-Source-Komponenten, welche in rund 80 Prozent aller Firmware-Stacks für „Embedded Systems“ enthalten seien. Sicherheitslücken in weitverbreiteten Bibliotheken wie „uClibc“, „BusyBox“ oder „OpenSSL“ könnten eine Vielzahl von Systemen gleichzeitig betreffen.

• Der Fall „Log4Shell“ im Jahr 2021 – eine Schwachstelle in der weitverbreiteten „Java“-Bibliothek „Log4j“ – hatte gezeigt, wie gefährlich eine unsichere Software-Komponente sein kann, selbst wenn sie nur in einem Subsystem verwendet wird. Der „Log4Shell“-Fall gilt als einer der gravierendsten Sicherheitslücken der letzten Jahrzehnte, weil die Software Bestandteil von Millionen „Java“-Anwendungen ist, darunter auch zehntausende OT- und IoT-Systeme.

„Die zunehmende Komplexität industrieller Systeme, die Vielzahl externer Anbieter und die Langzeitnutzung von ,Embedded Systems’ lassen Supply-Chain-Angriffe zu einer immer größeren Bedrohung werden“, so Wendenburg. Er verweist auf Prognosen der Gartner Group, wonach bis 2026 über 45 Prozent aller Unternehmen mindestens einen Cybervorfall über die Lieferkette erleiden würden, der ihre Betriebsfähigkeit beeinträchtigt.

Höchste Zeit, Software für „Embedded Systems“ systematisch vor dem Einsatz und während des Betriebs zu überprüfen

„Die immer stärkere Integration von ,Industrial IoT’-Systemen und Robotik bis hin zu autonomen Produktionslinien öffnet geradezu ein Scheunentor für Attacken aus der Lieferkette“, gibt Wendenburg abschließend zu bedenken. Er appelliert an die Unternehmensführungen: „Es ist höchste Zeit, Software für ,Embedded Systems’, unabhängig ob aus eigenem Haus oder von Lieferanten systematisch vor dem Einsatz und laufend zu überprüfen! Wer das unterlässt, setzt nicht nur seine Produktion, sondern auch seine Reputation und Lieferfähigkeit aufs Spiel.“

• Hinzu komme der rechtliche Aspekt: Die „Radio Equipment Directive“ EN18031 und der „EU Cyber Resilience Act“ (CRA) und andere gesetzliche Vorgaben schrieben die Verantwortung der Hersteller für die Cybersicherheit vernetzter Geräte, Maschinen und Anlagen zwingend vor.

Die „Product Cybersecurity & Compliance Platform“ (OCP) von ONEKEY ermögliche mit dem „Compliance Wizard“ eine automatisierte Überprüfung der Konformität zum CRA und weiteren cybersicherheitsrelevanten Normen. „Dies erleichtert die Vorbereitung auf Audits erheblich und reduziert den bürokratischen Aufwand, der durch neue Gesetze entsteht.“

Weitere Informationen zum Thema:

ONEKEY
Managen Sie Produkt Cybersicherheit und Compliance effizient

ONEKEY
Reduzieren Sie Komplexität, Kosten und Zeit für Ihre Produkt Compliance

Switch, Frank Herberg, 25.03.2024
Cyber-Bedrohung Nummer 1: Die Lieferkette

Europäische Kommission, 04.08.2021
ENISA veröffentlichte ihre Bedrohungslage für Lieferkettenangriffe

enisa, Juni 2023
GOOD PRACTICES FOR SUPPLY CHAIN CYBERSECURITY

enisa, 29.07.2021
Threat Landscape for Supply Chain Attacks

datensicherheit.de, 13.05.2024
Blinder Fleck der Cybersecurity: Software-Lieferketten als Einfallstor / Eine große Mehrheit der Unternehmen hatte einen Cyber-Vorfall innerhalb der vergangenen zwölf Monate

datensicherheit.de, 11.04.2025
BSI und ZenDis: openCode-Leitfaden zur Strategie einer automatisierten Absicherung von Softwarelieferketten / Gemeinsame Veröffentlichung vom BSI und ZenDiS für die Verwaltung

datensicherheit.de, 27.02.2025
Cyber Resilience Act – Absicherung der Software-Lieferkette / Cyberkriminelle nutzen zunehmend Schwachstellen in Entwicklungspipelines aus„

[datensicherheit.de, 02.06.2025] Die von Cyberbedrohungen ausgehende konkrete Gefährdung hängt in einer zunehmend vernetzten Welt ganz offensichtlich nicht allein von der jeweiligen unternehmenseigenen IT-Sicherheitsstrategie ab, sondern zu einem erheblichen Teil auch von jener der Geschäftspartner. „Dies bestätigt eine neue Umfrage von Sophos, bei der leitende Mitarbeitende primär aus dem Einkauf, aber auch aus Geschäftsführung und IT befragt wurden. 30,7 Prozent der Befragten bestätigten, dass mindestens eine Order aufgrund von Cybersicherheitsvorfällen bei Lieferanten annulliert werden musste.“ In 12,4 Prozent der Fälle sei sogar der Cybersicherheitsvorfall als derart schwer eingestuft worden, dass die Kooperation mit dem betreffenden Lieferanten habe beendet werden müssen. Die zugrundeliegende Erhebung wurde 2025 von Techconsult im Auftrag von Sophos durchgeführt: „Befragt wurden 201 Verantwortliche in der Geschäftsführung, dem Einkauf und der IT aus Unternehmen unterschiedlicher Branchen und Größen – darunter Industrie, Telekommunikation, Finanzwesen, öffentliche Verwaltung und Non-Profit-Organisationen.“

Abbildung: SOPHOS

techconsult-Umfrage im SOPHOS-Auftrag zur Beeinträchtigung der Unternehmensintegrität durch Cybersicherheitsvorfälle in der Lieferkette

Telekommunikationsbereich besonders hart von Cybervorfällen bei Lieferanten betroffen

„Während die meisten Branchen die Partnerschaft mit ihren Lieferanten aufgrund von Cybersicherheitsvorfällen nicht beendeten, scheint die Telekommunikationsbranche entweder besonders sensibel auf Cybersicherheitsvorfälle ihrer Lieferanten zu reagieren oder besonders schwer getroffen worden zu sein.“

• Während im Durchschnitt nur 12,4 Prozent aller befragten Unternehmen einen Grund für eine Trennung von ihren Lieferanten gesehen hätten, seien es in der Telekommunikation 46,2 Prozent gewesen.

„Dass die Cybergefahr in einer über den gesamten Globus vernetzten Geschäftswelt nicht nur auf direktem Weg ein Unternehmen bedroht, sondern auch durch die Hintertür über Lieferanten lauert, hat die Mehrheit der Befragten verinnerlicht.“ In der Umfrage konnten die Teilnehmer demnach zwischen „großen Bedenken“, „eher große Bedenken“, „weniger Bedenken“ und „keine Bedenken“ wählen.

Unternehmensintegrität durch Cybersicherheitsvorfälle bedroht: Fast 70 Prozent der Manager haben erhebliche Sorgen

Addiert hätten 69,8 Prozent allen befragten Manager entweder „große“ oder „eher große“ Bedenken gehabt, wenn es darum geht, dass die Unternehmensintegrität durch Cybersicherheitsvorfälle in der Lieferkette beeinträchtigt werden könnte.

• Bei dieser Frage besonders ausgeprägt sei die Höchststufe der „großen Bedenken“ bei Unternehmen mit 250 bis 999 Mitarbeitern. Dort hätten 36,2 Prozent der Befragten das Höchstmaß an Besorgnis gewählt, während in kleineren Unternehmen mit 100 bis 240 Mitarbeitern 20,8 Prozent und in großen Unternehmen mit 1.000 und mehr Mitarbeitern 15,8 Prozent diesen sehr hohen Befürchtungen zugestimmt hätten.

Bei den „eher großen Bedenken“, also der zweithöchsten Bedenkenstufe, hätten die Unternehmen mit 1.000 und mehr Mitarbeitern mit 52,6 Prozent den Höchstwert geliefert – im Gegensatz zu 39,2 Prozent bei den Unternehmen mit 250 bis 999 Mitarbeitern und 35,8 Prozent bei den Unternehmen mit 100 bis 249 Mitarbeitern.

Cybersecurity für die heutige Geschäftswelt entscheidender Erfolgsfaktor

Betrachtet man die Abfragewerte hinsichtlich der Bedenken in Bezug auf Cybergefahren durch die Lieferkette nach Branchen, stechen laut Sophos insbesondere der Handel und die Telekommunikation heraus. „Während im Durchschnitt 30,2 Prozent aller befragten Unternehmen die höchste Einstufung hinsichtlich ihrer Bedenken angaben, waren es im Handel (bei dem man eine besondere Sensibilität für die Lieferkette vermuten könnte) nur 4,3 Prozent – ganz im Gegensatz zur Telekommunikation mit 64,1 Prozent.“

• Diese Umfrage zeige erfreulicherweise, dass ein großer Teil der verantwortlichen Einkäufer, Manager und IT-Leiter die Brisanz von Cybersicherheitsvorfällen in der Lieferkette adäquat einstufe. „Wenn man allerdings bedenkt, dass mit 28,2 Prozent über ein Viertel der Befragten eher weniger Bedenken bezüglich der Beeinträchtigung der Unternehmensintegrität durch Cybersicherheitsvorfälle in der Lieferkette haben, besteht hier ein erhebliches Risiko, da diese Unternehmen potenziell nicht nur eine Gefahr für sich selbst, sondern für die gesamte Lieferkette darstellen“, kommentiert Michael Veit, Cybersecurity-Experte bei Sophos.

Mit fortschreitender Präsenz des Themas Cybersicherheit im Unternehmensalltag müssten diese Organisationen damit rechnen, immer häufiger von ihren Geschäftspartnern aus der Lieferkette ausgeschlossen zu werden – „es sei denn, sie kümmern sich intensiv und mit geeigneten Maßnahmen um ihren Cyberschutz“. Veit gibt abschließend zu bedenken: „Damit wird einmal mehr klar, dass Cybersecurity in der heutigen Geschäftswelt ein entscheidender Erfolgsfaktor ist!“

Weitere Informationen zum Thema:

Sophos
Schutz gegen Cyberangriffe mit Cybersecurity as a Service

datensicherheit.de, 20.04.2025
Kritische Infrastrukturen: Jede zweite Organisation unzureichend vor Cyber-Attacken in der Lieferkette geschützt / Erkenntnisse aus aktueller „DNV Cyber-Studie“ legen verstärkten Fokus auf Lieferanten nahe

datensicherheit.de, 13.04.2025
DORA-Frist vom 14. und dem 28. April 2025: Lieferkettensicherheit als Herausforderung / DORA-Registrierungspflicht umfasst nicht nur die Meldung an die BaFin, sondern auch noch umfassende Prüfpflichten – von der Risikoanalyse bis hin zur Auditfähigkeit

datensicherheit.de, 30.10.2024
Cyber-Angriffe auf die Lieferkette: Unternehmen sollten Risiken erkennen und gezielt vorbeugen / Cyber-Angreifer nutzen hierzu bestehendes Vertrauen in Geschäftsbeziehungen und die Sicherheitsarchitektur aus

datensicherheit.de, 01.07.2024
Cyber-Sicherheit entlang der Lieferkette: Unternehmen müssen sich wieder auf Grundlagen besinnen / Hacker missbrauchen Lieferketten, um gezielte Angriffe auf Unternehmen mit großen Kundendatenbeständen zu starten

datensicherheit.de, 19.04.2024
NIS-2: Die Bedeutung der Richtlinie für die Lieferkette / ESET-Podcast „WeTalkSecurity“ widmet sich der Rolle der Lieferkette im Kontext der NIS2-Richtlinie

datensicherheit.de, 07.12.2023
Studie: Cyberangriffe auf die Lieferkette von Unternehmen / Weiterhin negativ Auswikungen auf Unternehmen weltweit | Alarmierenden Anstieg der gemeldeten negativen Auswirkungen und Betriebsunterbrechungen um 26 %

[datensicherheit.de, 20.05.2025] Deutsche Unternehmen erkennen die Schwachstellen in ihren Lieferketten zunehmend als kritisches Risiko für ihre Cybersicherheit. 64 Prozent der Befragten, die im vergangenen Jahr einen Cyberangriff im eigenen Unternehmen erlebten, berichten, dass diese Vorfälle in Zusammenhang mit Schwachstellen bei Zulieferern standen. Das geht aus einer aktuellen Umfrage hervor, die der Industrieversicherer QBE im April 2025 gemeinsam mit einem unabhängigen Meinungsforschungsinstitut unter 400 Entscheidern aus IT, Verwaltung oder Versicherungen in Unternehmen mit 100 bis 2.000 Mitarbeitern in Deutschland durchgeführt hat.

Fast zwei Drittel aller Cyberangriffe in Verbindung mit Schwachstellen bei Zulieferern

„Da fast zwei Drittel aller Cyberangriffe in Verbindung mit Schwachstellen bei Zulieferern stehen, sollten deutsche Unternehmen beim Ausbau ihrer Cybersicherheit unbedingt die gesamte Lieferkette mitdenken“, betont Cyberexperte Dr. Paul Lambertz, Portfolio Manager Financial & Specialty Markets bei QBE Deutschland. „In einer zunehmend vernetzten Welt braucht es einen ganzheitlichen Blick, um digitale Risiken verantwortungsvoll zu managen.“

Dr. Paul Lambertz, Portfolio Manager Financial & Specialty Markets, Foto: QBE Deutschland

Zunehmende Cyberbedrohungen verstärken den Handlungsdruck

85 Prozent der Befragten berichten von einer Zunahme der Cyberbedrohungen in ihrem Unternehmen im Vergleich zum Vorjahr. 60 Prozent der Befragten haben innerhalb der vergangenen zwölf Monate einen Cybervorfall erlebt, bei 20 Prozent kam es sogar zu Betriebsunterbrechungen von mindestens einem Arbeitstag. Angesichts dieser Entwicklungen gehen 36 Prozent der Befragten davon aus, dass sich das Cybersicherheitsbudget in ihrem Unternehmen über die Inflationsrate hinaus erhöhen wird. Weitere 31 Prozent erwarten eine inflationsbedingte Erhöhung ihres Budgets.

Ein aktueller Bericht des Beratungsunternehmens Control Risks im Auftrag von QBE stützt dieses Ergebnis: Demnach werden sich schwere Cyber-Vorfälle in Deutschland im Vergleich zu 2023 verdreifachen. (Quelle: QBE Cyber-Report von Control Risks).

KI als Chance und Risiko

Trotz wachsender Bedrohungen durch Cyberkriminalität setzen deutsche Unternehmen zunehmend auf Künstliche Intelligenz: 77 Prozent nutzen bereits KI-Anwendungen, weitere 22 Prozent planen den Einsatz. Die erwarteten Vorteile: effizientere Prozesse (58 Prozent), mehr Innovation (50 Prozent), besserer Kundenservice (44 Prozent) und reduzierte Kosten (44 Prozent). Gleichzeitig sehen 21 Prozent der Unternehmen im KI-Einsatz ein zusätzliches Risiko für ihre Cybersicherheit.

Cyberversicherung gewinnt an Bedeutung

Bereits 66 Prozent der Unternehmen mit 100 bis 2.000 Mitarbeitern in Deutschland verfügen über eine Cyberversicherung – ein klares Signal, dass sich Cyberschutz zunehmend als fester Bestandteil des Risikomanagements etabliert.

Über die Studie:

Die Umfrage wurde vom 10. bis zum 23. April 2025 unter 400 Entscheidern aus IT, Verwaltung oder Versicherungen in Unternehmen mit 100 bis 2.000 Mitarbeitenden durchgeführt.

Weitere Informationen zum Thema:

datensicherheit.de, 10.04.2024
Basis für Cyber-Versicherungen: NIS-2-Richtlinie treibt IT-Mindestvorgaben für Unternehmen

[datensicherheit.de, 20.04.2025] Die neue Studie „Cyber Priority“ von DNV Cyber ist Branchen gewidmet, die als „wesentlich“ für das Funktionieren der Gesellschaft und der Wirtschaft gelten: Diese befinden sich offenkundig in einer Art „Wettrüsten“, da Bedrohungsakteure – Cyber-Kriminelle bzw. staatlich geförderte Hacker-Gruppen – auf digitale Schwachstellen der mit ihnen verbundenen Lieferanten abzielen. „Gerade in Europa werden die Regularien zur Cyber-Sicherheit durch die Behörden weiter verschärft, um die schnell wachsende Bedrohung auch in der Lieferkette zu adressieren.“ Zudem müssten Unternehmen dringend ihre Widerstandsfähigkeit gegen Cyber-Angriffe verbessern. Ein wichtiger Aspekt, der dabei häufig noch zu selten berücksichtigt werde, sei der Einsatz Künstlicher Intelligenz (KI).

Nur 13% der deutschen Befragten setzen KI in der Cyber-Sicherheit ihrer Organisation ein

Nur 13 Prozent der deutschen Befragten geben demnach an, KI in der Cyber-Sicherheit ihrer Organisation einzusetzen. „Weltweit lag dieser Wert doppelt so hoch (26%). Auch bei der Beurteilung der Vor- und Nachteile von KI zeigen sich Unterschiede zwischen Deutschland und anderen Märkten.“

So glaubten 15 Prozent der hierzulande Befragten, dass die Risiken von KI die Vorteile überwiegen würden – global hätten 22 Prozent diese Ansicht geäußert. Dennoch sähen in Deutschland 40 Prozent KI als notwendig an, um mit Bedrohungsakteuren Schritt zu halten (weltweit 47%).

Fokus auf Lieferketten: Drohende Cyber-Angriffen über integrierte Netzwerke, Komponenten, Software und Drittanbieter

Nur gut die Hälfte (53%) der weltweit befragten Experten im Bereich der Kritischen Infrastrukturen seien zuversichtlich, „dass ihr Unternehmen einen vollständigen Überblick über die Cyber-Sicherheitslücken hat, die ihre Lieferkette für ihr Geschäft birgt“. Diese Situation erhöhe das Risiko von Cyber-Angriffen über integrierte Netzwerke, Komponenten, Software und Drittanbieter.

Gleichzeitig betone die überwiegende Mehrheit der in Deutschland Befragten, dass eine starke Cyber-Sicherheit ein Wettbewerbsvorteil in der Gewinnung von Neukunden darstelle. Mehr als ein Drittel (36% international, 33% in Deutschland) glaube, dass Cyber-Angreifer ihre Lieferkette infiltriert haben könnten, „ohne dass Lieferanten dies gemeldet haben“ – so eine Erkenntnis einer Umfrage unter mehr als 1.150 Fachleuten aus Kritischen Infrastruktur-Branchen wie Energie, Schifffahrt, Fertigung und Gesundheitswesen.

Anforderungen an Cyber-Sicherheit in Beschaffungs- und Lieferantenverträgen stärker berücksichtigen

„Man kann nicht schützen, was man nicht kennt. Unternehmen müssen daher die Schwachstellen in ihren Lieferketten besser verstehen und Ansätze verfolgen, die eine größere Transparenz hinsichtlich der Lieferanten ermöglichen“, erläutert Auke Huistra, „Director of Industrial and OT Cybersecurity“ bei DNV Cyber.

„Um die Sicherheit der Lieferkette zu verbessern, sollten sie die Anforderungen an die Cyber-Sicherheit in Beschaffungs- und Lieferantenverträgen stärker berücksichtigen, den Fokus auf Sicherheit bei der Gestaltung von Prozessen und Anlagen erweitern und Cyber-Teams früher in Projekte einbeziehen.“ Laufende Tests sowie Erkennungs- und Reaktionsfähigkeiten seien unerlässlich, um die Auswirkungen von Vorfällen in der Lieferkette zu erkennen und zu reduzieren.

Lieferketten – attraktives Ziel für Cyber-Angriffe

Lieferketten seien ein attraktives Ziel für Cyber-Angriffe, da sie einen potenziellen Single-Entry-Point zu mehreren Organisationen und Systemen böten, einschließlich Kritischer Infrastrukturen. Dabei änderten die Cyber-Kriminellen ständig ihre Vorgehensweise und entwickelten immer ausgefeiltere Taktiken.

Hinzu komme, dass gut drei Viertel (76%) der Fachleute glaubten, dass die Cyber-Sicherheitsschulungen ihres Unternehmens nicht fortschrittlich genug seien, um Mitarbeiter auf anspruchsvollere Bedrohungen vorzubereiten – hierzulande teilten 70 Prozent der Befragten diese Ansicht.

Cyber-physische Angriffe ein zunehmendes Problem

„Organisationen, die Kritische Infrastrukturen betreiben, investieren mehr in Cyber-Sicherheit und unternehmen Schritte zur Absicherung von IT und ,Operational Technology’ (OT).“ Die daraus resultierenden, positiven Effekte dürften sich aber in Grenzen halten, wenn die Cyber-Sicherheit der Lieferkette einer Organisation nicht in ähnlicher Weise gestärkt werde, warnt DNV Cyber auf Basis der vorliegenden Studie. Sogenannte Cyber-physische Angriffe seien ein zunehmendes Problem, bei dem Angriffe auf digitale Technologien direkte Auswirkungen auf die „reale Welt“ physischer Anlagen und Operationen hätten.

„In Branchen der Kritischen Infrastruktur und OT-Umgebungen können die Folgen einer Sicherheitsverletzung besonders schwerwiegend sein: Für die Nationale Sicherheit, die Gesellschaft und die Wirtschaft. Alle Organisationen müssen daher ihre Lieferketten absichern“, betont Huistra. Denn auch die Lieferanten könnten entscheidend zur Verbesserung der Cyber-Sicherheit beitragen. „Es ist wichtig, dass Anlagenbetreiber die Anforderungen an Lieferanten auf Grundlage des Risikoprofils und der Vorschriften ihres Unternehmens festlegen, aber auch die tatsächliche Umsetzung dieser Anforderungen überprüfen.“ Die Zusammenarbeit entlang der Lieferkette sei entscheidend – dies schließe den Informationsaustauschs über Schwachstellen und Vorfälle mit ein.

Verschärfte Regulierung als zeitnahe Reaktion auf Cyber-Bedrohungen der Lieferkette

Regulierung sei der größte Treiber für Investitionen in der Cyber-Sicherheit für Kritische Infrastrukturen, so die aktuelle „Cyber Priority“-Studie. Gleichzeitig gehöre sie zu den stärksten Maßnahmen, um die Cyber-Resilienz zu stärken und das Risiko der Lieferkette zu adressieren. Die neue EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) befasse sich beispielsweise mit Risiken aus Lieferketten und Lieferantenbeziehungen.

Zusätzlich zur Absicherung der Lieferketten zeigt die „Cyber Priority“-Studie von DNV Cyber demnach, dass Kritische Infrastrukturen

• die OT-Sicherheit stärken,
• die Wachsamkeit der Mitarbeiter verbessern,
• eine Cyber-Kultur aufbauen und
• den Einsatz von KI in der Cyber-Sicherheit beschleunigen

sollten.

In diesem Zusammenhang stellt DNV Cyber detaillierte Cyber-Priority-Berichte zur Verfügung, welche sich mit den Sektoren „Energie“ und „Schifffahrt“ befassen.

Weitere Informationen zum Thema:

DNV CYBER
Energy Cyber Priority 2025: Addressing Evolving Risks, Enabling Transformation

DNV CYBER, 22.01.2025
Energieunternehmen steigern ihre Investitionen im Wettlauf um Cybersicherheit, um das „größte Risiko“ der Branche zu bewältigen

DNV CYBER, 13.11.2024
Neuer Bericht: Maritime Branche ist cyber-risikofreudiger, als andere Industrien / Maritime Cyber Priority 2024/25

DNV CYBER, 13.11.2024
Maritime appetite for cyber risk notably higher than other key industries, new report reveals

datensicherheit.de, 13.04.2025
DORA-Frist vom 14. und dem 28. April 2025: Lieferkettensicherheit als Herausforderung / DORA-Registrierungspflicht umfasst nicht nur die Meldung an die BaFin, sondern auch noch umfassende Prüfpflichten – von der Risikoanalyse bis hin zur Auditfähigkeit

datensicherheit.de, 11.04.2025
BSI und ZenDis: openCode-Leitfaden zur Strategie einer automatisierten Absicherung von Softwarelieferketten / Gemeinsame Veröffentlichung vom BSI und ZenDiS für die Verwaltung

datensicherheit.de, 27.02.2025
Cyber Resilience Act – Absicherung der Software-Lieferkette / Cyberkriminelle nutzen zunehmend Schwachstellen in Entwicklungspipelines aus

datensicherheit.de, 30.10.2024
Cyber-Angriffe auf die Lieferkette: Unternehmen sollten Risiken erkennen und gezielt vorbeugen / Cyber-Angreifer nutzen hierzu bestehendes Vertrauen in Geschäftsbeziehungen und die Sicherheitsarchitektur aus

datensicherheit.de, 19.04.2024
NIS-2: Die Bedeutung der Richtlinie für die Lieferkette / ESET-Podcast „WeTalkSecurity“ widmet sich der Rolle der Lieferkette im Kontext der NIS-2-Richtlinie

[datensicherheit.de, 13.04.2025] Der eco – Verband der Internetwirtschaft e.V. weist in einer aktuellen Stellungnahme darauf hin, dass zwischen dem 14. und dem 28. April 2025 Finanzinstitute in der EU ihre IT-Dienstleister bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) registriert haben müssen. Mit dem Inkrafttreten des „Digital Operational Resilience Act“ (DORA) geraten damit auch viele IT-Dienstleister ohne bisherige unmittelbare Regulierung in den Fokus von Aufsichtsbehörden. Gleichzeitig sorgt die bevorstehende Umsetzung der europäischen NIS-2-Richtlinie in weiteren Branchen für erhöhten Handlungsdruck, der sich auch auf die von DORA betroffenen Unternehmen beispielgebend auswirken könnte.

NIS-2-Rezeption am Markt könnte für Umgang mit DORA beispielgebend sein

„Etliche Dienstleister stehen aktuell vor der Aufgabe, Sicherheitsnachweise, Risikoanalysen und Vertragskonformität kurzfristig zu dokumentieren – oft, ohne dass sie bisher mit vergleichbaren Anforderungen konfrontiert waren“, berichtet Ulrich Plate, Leiter der eco-Kompetenzgruppe „Kritische Infrastrukturen“.

• Auch außerhalb des Finanzsektors zeige sich bereits eine zunehmende Dynamik: „Unternehmen, die künftig unter NIS-2 fallen, fordern schon heute von ihren Zulieferern konkrete Nachweise zur Cyber-Sicherheit.“ Diese Richtlinie verpflichtet Unternehmen unter anderem dazu, auch ihre IKT-Lieferkette auf ein Mindestmaß an Sicherheit zu verpflichten.

Plate: „Was wir beobachten, ist eine Art regulatorische Vorwirkung – viele Auftraggeber fordern vertraglich bereits heute de facto NIS-2-konforme Sicherheit, obwohl die Anforderungen noch nicht in nationales Recht überführt wurden.“

Vertragsdruck steigt – NIS-2 und künftig auch DORA als Treiber

Laut aktuellen Schätzungen werden rund 30.000 Unternehmen in Deutschland künftig direkt unter die NIS-2-Regelung fallen. Doch auch nicht unmittelbar betroffene Dienstleister könnten die Auswirkungen spüren: In der Praxis werden Verträge angepasst, Sicherheitsfragebögen verschickt und Anbieter nur bei entsprechender „Compliance“ beauftragt. „Zulieferer geraten häufig früher in die Pflicht als ihre Auftraggeber“, warnt Plate und betont: „Wer sich nicht vorbereitet, wird bei Ausschreibungen künftig nicht mehr berücksichtigt.“

• DORA konkretisiere diese Entwicklung im Finanzbereich mit einem klaren Stichtag. Die Registrierungspflicht umfasse nicht nur eine Meldung an die BaFin, sondern auch umfassende Prüfpflichten – von der Risikoanalyse bis hin zur Auditfähigkeit.

Die Aufsicht könne künftig auch IT-Dienstleister kontrollieren, die nicht direkt reguliert sind. „DORA bringt IT-Dienstleister in die direkte Sichtbarkeit der Aufsicht“, erläutert Plate. Die Marktgrenze für Cyber-Sicherheit verschiebe sich – „wer im Geschäft bleiben möchte, muss sich der Regulierung anpassen“.

NIS-2- bzw. DORA-Compliance als Wettbewerbsvorteil nutzen

Besonders mittelständische Dienstleister stehen laut Plate vor der Aufgabe, ihre internen Prozesse auf neue Anforderungen auszurichten – etwa mit Zertifizierungen, Notfallplänen oder strukturierten Nachweisverfahren.

• Dabei könne eine frühzeitige Positionierung zum Vorteil werden. IT-Dienstleister sollten daher jetzt prüfen, wie gut sie auf regulatorische Anforderungen vorbereitet sind – und mögliche Lücken zügig schließen.

„IT-Compliance ist ein Differenzierungsmerkmal“, so Plates Fazit. Er rät: „Wer heute in Sicherheitsstandards investiert, stärkt die eigene Resilienz und gewinnt Vertrauen – auch bei neuen Auftragnehmern.“

Weitere Informationen zum Thema:

BaFin Bundesanstalt für Finanzdienstleistungsaufsicht, 11.04.2025
Informationsregister und Anzeigepflichten / Die BaFin informiert über Kapitel V, Abschnitt I, Artikel 28 Absatz 3 DORA

BaFin Bundesanstalt für Finanzdienstleistungsaufsicht, 09.04.2025
DORA – Digital Operational Resilience Act

datensicherheit.de, 17.03.2025
DORA in der Praxis: Stolpersteine und Empfehlungen für Unternehmen / Die Verordnung der EU soll die Cyberresilienz des Finanzsektors durch einheitliche und verbindliche Vorgaben verbessern

datensicherheit.de, 06.02.2025
Finanzsektor: Herausforderungen und zugleich Chancen durch DORA / Zahlreiche Unternehmen im Finanzsektor benutzen veraltete IT-Systeme, die nicht in der Lage sind, den hohen DORA-Anforderungen zu genügen

datensicherheit.de, 21.01.2025
DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen / Selbst Unternehmen außerhalb der EU fallen unter DORA, wenn sie Dienstleistungen für EU-Finanzunternehmen erbringen

datensicherheit.de, 16.01.2025
DORA zwingt Finanzinstitute zum Handeln, um operative Widerstandsfähigkeit zu sichern / DORA-Ziel ist es, den Finanzsektor besser vor den ständig wachsenden Cyber-Bedrohungen zu schützen

datensicherheit.de, 31.10.2024
Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor / Der „Digital Operational Resilience Act“ (DORA) verlangt von Unternehmen im Finanzsektor, ihre Prozesse im Vorfallsmanagement gründlich zu überprüfen

[datensicherheit.de, 11.04.2025] Laut einer Meldung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde in Kooperation mit dem Zentrum für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS) eine Strategie für die automatisierte Absicherung von Softwarelieferketten für die Verwaltung veröffentlicht. Das ZenDiS wurde 2022 durch das Bundesministerium des Innern und für Heimat (BMI) gegründet – als Kompetenz- und Servicezentrum soll es die Öffentliche Verwaltung auf Ebene von Bund, Ländern und Kommunen dabei unterstützen, ihre Handlungsfähigkeit im Digitalen Raum langfristig abzusichern – vor allem, indem kritische Abhängigkeiten von einzelnen Technologieanbietern aufgelöst werden. Dazu soll sich das ZenDiS in der ersten Ausbaustufe darauf konzentrieren, den Einsatz von Open-Source-Software in der Öffentlichen Verwaltung voranzutreiben.

Abbildung: openCode

„Sichere Softwarelieferketten: openCode als Baustein einer souveränen digitalen Infrastrukturldung“ steht zum Download bereit

Gemeinsame Initiative des ZenDiS und des BSI rückt Bedeutung sicherer und souveräner Softwarelieferketten in den Fokus

„In Zeiten zunehmender geopolitischer Spannungen wird die Gewährleistung der Sicherheit und Beständigkeit digitaler Infrastrukturen zu einem zentralen Baustein der Daseinsvorsorge.“ Mit einer gemeinsamen Initiative rücken das ZenDiS und das BSI nun die Bedeutung sicherer und souveräner Softwarelieferketten weiter in den Fokus.

• „Nahezu jede Software greift heute auf Hunderte oder gar Tausende bestehende Einzelkomponenten, Bibliotheken und Tools zurück. Die Gesamtheit dieser Komponenten bildet die Softwarelieferkette. Wird ein Teil dieser Kette kompromittiert oder fällt weg, entstehen erhebliche Risiken für alle Nutzenden.“

Eine vollständige Prüfung von Softwarelieferketten sei bislang angesichts ihrer Komplexität für einzelne Softwareanbieter kaum realisierbar. Dies erfordere einen grundlegend neuen Ansatz, welcher über die Möglichkeiten einzelner Organisationen hinausgehe und die Fachkenntnisse von Sicherheitsexperten, Entwicklern und Behörden gezielt bündele, standardisierte Prüfverfahren etabliere und gemeinsame Sicherheitsanalysen ermögliche.

„openCode“ als Kernbaustein für eine sichere digitale Infrastruktur – das „Badge“-Programm vom ZenDiS zeigt konkrete Möglichkeiten einer Prüfung auf

Zentraler Baustein sei die Plattform „openCode“. Diese etabliere verbindliche Sicherheitsstandards, mache Abhängigkeiten transparent und schaffe nachvollziehbare Herkunftsnachweise für kritische Softwarekomponenten. Dank der Transparenz von Open-Source könnten so viele der bisherigen, manuellen Prüfprozesse automatisiert und damit die Skalierbarkeit von Sicherheitsüberprüfungen der Softwarelieferkette erheblich verbessert werden.

• „Mit seinem jüngst gelaunchten ,Badge’-Programm zeigt das ZenDiS konkret, wie eine solche Prüfung realisiert werden kann. Dort werden Qualitätsmerkmale von auf ,openCode’ liegender Software – beispielsweise zu Wartung und Nachnutzung – automatisch aus dem Code abgeleitet.“

Derzeitige Ansätze zur Softwaresicherheit seien weitgehend reaktiv – „openCode“ könne einen präventiven Ansatz durch kontinuierliche, automatisierte Sicherheitsprüfungen und transparente Softwarelieferketten ermöglichen: Bei einem Sicherheitsvorfall könnten Artefakte und Betroffene zuverlässig identifiziert und Echtzeitlagebilder erstellt werden, so dass gezielt gewarnt werden könne. „So wird ,openCode’ zu einem Schlüsselelement einer resilienten digitalen Infrastruktur in Deutschland.“

Das ZenDiS betont die strategische Bedeutung: Entwicklung einer souveränen digitalen Infrastruktur für Daseinsvorsorge im 21. Jahrhundert unverzichtbar

Ihr Konzept für eine sichere und souveräne Softwarelieferkette haben das BSI und das ZenDiS in einem gemeinsamen Strategiepapier inklusive Umsetzungsplan dargelegt. Das Papier steht auf den Webseiten des ZenDiS sowie des BSI zum Download zur Verfügung. Rückmeldungen aus der Fachöffentlichkeit seien ausdrücklich erwünscht – Kontaktmöglichkeiten gibt es auf der „openCode“-Website.

• Die Präsidentin des BSI, Claudia Plattner, hebt die Bedeutung der Kooperation hervor: „Sichere Softwarelieferketten sind ein entscheidender Faktor für eine funktionierende Digitalisierung. Sie machen Abhängigkeiten deutlich und damit beherrschbar. Wir schaffen hier außerdem ein Angebot, dass uns dringend benötigte Skalierbarkeit ermöglicht, um Cyber-Sicherheit wirkungsvoll umzusetzen.“ Entscheidend dafür sei das gelungene Zusammenspiel vieler Akteure – „so wie wir es uns für die ,Cybernation Deutschland’ wünschen.“

• Leonhard Kugler, Leiter „Open-Source-Plattform“ beim ZenDiS, betont die strategische Bedeutung: „Die Entwicklung einer souveränen digitalen Infrastruktur ist für unsere Daseinsvorsorge im 21. Jahrhundert unverzichtbar. Mit ,openCode’ setzen wir einen wesentlichen Baustein, um die Sicherheit unserer Softwarelieferketten zu stärken und so die digitale Handlungsfähigkeit des Staates auch in einer komplexen geopolitischen Landschaft zu bewahren.“

Weitere Informationen zum Thema:

openCode
Sichere Softwarelieferketten: openCode als Baustein einer souveränen digitalen Infrastruktur

openCode
Die Plattform für Digitale Souveränität / openCode bringt Open Source in die deutsche Verwaltung. Gemeinsam entwickeln und teilen wir Software, die unsere digitale Zukunft selbstbestimmt gestaltet.

ZenDis
openCode

ZenDIs
Vision und Mission: Ein dauerhaft handlungsfähiger Staat in einer digital vernetzten Welt – das ist die Vision, die das ZenDiS mit seinen Mitarbeitenden Tag für Tag verfolgt

datensicherheit.de, 27.02.2025
Cyber Resilience Act – Absicherung der Software-Lieferkette / Cyberkriminelle nutzen zunehmend Schwachstellen in Entwicklungspipelines aus

datensicherheit.de, 30.10.2024
Cyber-Angriffe auf die Lieferkette: Unternehmen sollten Risiken erkennen und gezielt vorbeugen / Cyber-Angreifer nutzen hierzu bestehendes Vertrauen in Geschäftsbeziehungen und die Sicherheitsarchitektur aus

datensicherheit.de, 13.05.2024
Blinder Fleck der Cybersecurity: Software-Lieferketten als Einfallstor / Eine große Mehrheit der Unternehmen hatte einen Cyber-Vorfall innerhalb der vergangenen zwölf Monate

EIn Beitrag von unserem Gastautor Jiannis Papadakis, Director of Solutions Engineering bei Keyfactor

[datensicherheit.de, 27.02.2025] In den vergangenen Jahren mussten sich IT-Sicherheitsverantwortliche und ihre Teams zunehmend mit Cyberrisiken auseinandersetzen, die mit den Software-Lieferketten ihrer Anbieter und Partner in Zusammenhang stehen. Immer häufiger machen Cyberkriminelle Schwachstellen in Entwicklungspipelines, Open-Source-Komponenten und Drittanbieter-Integrationen zu einem integralen Bestandteil ihrer Angriffsvektoren. Laut einer Bitkom-Umfrage vom vergangenen Jahr wussten 2024 13 Prozent der befragten IT-Entscheider, von mindestens einem Lieferketten-Zulieferer ihres Unternehmens zu berichten, der in den vergangenen 12 Monaten mindestens einmal Opfer eines Cybersicherheitsvorfalls geworden war. Weitere 13 Prozent vermuteten es, 21 Prozent konnten es nicht ausschließen. Mit dem Cyber Resiliene Act hat die EU eine gesetzliche Regelung auf den Weg gebracht, die Unternehmen verpflichtet auf diese Bedrohungen zu reagieren.

Jiannis Papadakis, Director of Solutions Engineering bei Keyfactor, Bild: Keyfactor

Wachsendes Risko Software-Lieferkette

Um dem wachsenden Software-Lieferketten-Risiko zu begegnen, wurden in Europa in den vergangenen Jahren zahlreiche Gesetzesinitiativen auf den Weg gebracht und verabschiedet. Erinnert sei hier nur an NIS2 und DORA. Erst unlängst, am 11. Dezember, kam nun eine weitere gesetzliche Regelung hinzu: der Cyber Resilience Act (CRA). Er gilt für sämtliche Software, Firmware und verbundenen Geräte, die in der EU verkauft oder verwendet werden sollen. Hersteller werden in ihm in die Pflicht genommen, für die erforderliche Sicherheit ihrer Hard- und Softwareprodukte zu sorgen – und dies transparent. Käufern soll es so ermöglicht werden, fundiertere Kaufentscheidungen zu treffen, das Thema Sicherheit stärker in ihre Überlegungen mit einzubeziehen.

Erste Anforderungen müssen ab dem 11. September 2026 erfüllt werden

Erste Anforderungen des CRA müssen Anbieter schon ab dem 11. September 2026 erfüllen, das Groß ab dem 11. Dezember 2027. In Punkto Lieferkettensicherheit macht der CRA Vorgaben hinsichtlich der Risikobewertung und des Risikomanagements, der Sicherheitsmaßnahmen während der Produktentwicklung, der Sicherheit der Standardeinstellungen der Produkte sowie der Software Bill of Materials (SBOM) und der Konformitätsbewertung.

Eile ist geboten

Da es naturgemäß einige Zeit dauern wird, die internen Prozesse an die neuen Compliance-Vorgaben anzupassen, die entsprechenden Reporting-Strukturen einzurichten, kann IT-Entscheidern und Sicherheitsteams nur geraten werden, hier möglichst frühzeitig – am besten schon jetzt – zu beginnen. Vor allem auf drei Punkte sollten sie sich dabei konzentrieren: die Absicherung der gesamten DevOps-Toolchain, die Sicherstellung der Softwareauthentizität und die Etablierung von Maßnahmen zur Erhöhung der Transparenz.

1. Sicherheit in den gesamten Entwicklungszyklus einbetten – Die DevOps-Toolchain muss mit robusten kryptografischen Schutzmechanismen ausgestattet werden.
2. Software-Authentizität sicherstellen – Alle Softwarekomponenten müssen während des gesamten Entwicklungszyklus authentifiziert und verifiziert werden. Die Identitäten von Entwicklern, Anwendungen und Infrastrukturkomponenten müssen überprüfbar sein.
3. Transparenz und Rückverfolgbarkeit verbessern – Um einen vollständigen Einblick in und Überblick über die Herkunft von Software zu erhalten, muss auf Metadaten, wie die Software Bill of Materials (SBOMs), zugegriffen werden.

Umsetzen lässt sich all dies am effektivsten – und effizientesten – mit einer modernen Code Signing-Lösung. Denn diese lassen sich problemlos in CI/CD-Tools integrieren – ohne IT-Workflows und Build-Prozesse zu erschweren oder gar zu unterbrechen. Code kann so während seines gesamten Entwicklungszyklus effektiv überwacht und vor unbefugten Änderungen und Malware geschützt werden – und dies in Echtzeit. Darüber hinaus lässt sich die Durchsetzung von Sicherheitsrichtlinien so weitgehend automatisieren, was den eigenen Sicherheitsteams viel Arbeit abnimmt. Ausgestattet mit einem solchen Tool sollte es jedem Unternehmen möglich sein, die Risiken der eigenen Software-Lieferketten bis zur CRA-Deadline am 11. Dezember 2027 in den Blick und in den Griff zu bekommen.jiannis-papadakis-keyfactor_ab

Weitere Informationen zum Thema:

European Commission
Cyber Resilience Act

[datensicherheit.de, 23.11.2024] Das „Global Research and Analysis Team“ (GReAT) von Kaspersky hat nach eignen Angaben eine auf das PyPI-Repository (PyPI: „Python Package Index“) abzielende Supply-Chain-Angriffskampagne aufgedeckt – diese habe fast ein Jahr lang unbemerkt laufen können. „Die Angreifer nutzten funktionale KI-Chatbot-Tools als Köder, um schädliche Pakete mit einer modifizierten Version der ,JarkaStealer’-Malware zu verbreiten und um so Informationen abzugreifen.“ Betroffen seien Nutzer weltweit – darunter auch in Deutschland. PyPl habe die schädlichen Pakete inzwischen entfernt.

Kaspersky-GReAT konnte Gefahr mittels eigenen Systems zur Überwachung von Open-Source-Repositories aufdecken

Die schädlichen Pakete seien bereits seit November 2023 auf PyPI verfügbar gewesen und wurden demnach über 1.700 Mal in mehr als 30 Ländern heruntergeladen, bevor sie nun schlussendlich entdeckt und entfernt worden seien. Laut PyPI-Statistiken externer Monitoring-Dienste sei diese Kampagne in den USA, China, Frankreich, Deutschland und Russland am aktivsten gewesen – allerdings scheine sie nicht auf bestimmte Organisationen oder geographische Regionen abzuzielen: „Alle Betroffene scheinen Einzelanwender zu sein.“

Das Kaspersky-GReAT habe diese Bedrohung mithilfe des internen automatisierten Systems zur Überwachung von Open-Source-Repositories identifiziert. Die Pakete seien als „Python“-Wrapper für beliebte KI-Tools – insbesondere „ChatGPT“ von OpenAI und „Claude“ AI von Anthropic – getarnt worden. „Die Pakete stellten zwar legitime KI-Chatbot-Funktionen bereit, jedoch versteckte sich darin auch die Malware ,JarkaStealer’, die dann auf den Systemen der Nutzer installiert wurde.“

Kaspersky-GreAT: Entwickler der Malware vertrieb diese „as-a-Service“ über „Telegram“-Kanal und Bot-Shop

Der in „Java“ geschriebene „JarkaStealer“ könne Daten aus verschiedenen Browsern stehlen, Screenshots erstellen, Systeminformationen sammeln und Sitzungs-Token von Anwendungen wie „Telegram“, „Discord“, „Steam“ und sogar einem „Minecraft“-Cheat-Client abgreifen. Weiterhin verfüge diese Malware über Funktionen zum Beenden von Browser-Prozessen, so bei „Chrome“ und „Edge“, um auf gespeicherte Daten zuzugreifen und diese zu extrahieren. „Die gesammelten Informationen werden archiviert und auf den Server des Angreifers exfiltriert, bevor sie vom infizierten Computer gelöscht werden.“

Die Kaspersky-Experten hätten zudem feststellen können, dass:

• der ursprüngliche Entwickler der Malware diese über einen „Telegram“-Kanal und einen Bot-Shop als Malware-as-a-Service (MaaS) vertreibe;
• der Quellcode von „JarkaStealer auf GitHub“ veröffentlicht worden sei, so dass ihn jeder einsetzen könne;
• aufgrund von im Code der Malware und in der „Telegram“-Werbung gefundenen Sprachartefakten der Autor der Malware mit mittlerer bis hoher Wahrscheinlichkeit russischsprachig sei.

Kaspersky-GreAT rät bei Integration von Open-Source-Komponenten in Entwicklungsprozesse zu höchster Wachsamkeit

„Die Entdeckung dieses Supply-Chain-Angriffs unterstreicht die anhaltende Bedrohung, die von Angriffen auf die Software-Lieferkette ausgeht, und macht deutlich, dass bei der Integration von Open-Source-Komponenten in Entwicklungsprozesse höchste Wachsamkeit geboten ist“, verdeutlicht Leonid Bezvershenko, Sicherheitsforscher im Kaspersky-GreAT.

Er betont: „Wir raten Unternehmen, strenge Verifizierungs- und Integritätsprüfungen durchzuführen, um die Rechtmäßigkeit und Sicherheit der von ihnen verwendeten Software und damit einhergehenden Abhängigkeiten zu gewährleisten, insbesondere bei der Integration neuer Technologien wie KI.“

Nach Kaspersky-Hinweis an PyPI wurden schädliche Pakete aus dem Repository entfernt

Kaspersky habe seine Erkenntnisse an PyPI gemeldet – die schädlichen Pakete seien aus dem Repository entfernt worden. Das Unternehmen überwache weiterhin aktiv alle Aktivitäten im Zusammenhang mit „JarkaStealer“ sowie weitere verdächtige Uploads auf Open-Source-Plattformen, einschließlich PyPI, um die Software-Lieferkette zu schützen.

Die detaillierten Untersuchungen zu „JarkaStealer“ und seiner Verwendung bei dem jüngsten Angriff auf die PyPI-Lieferkette seien auf dem „Kaspersky Threat Intelligence Portal“ veröffentlicht worden. Darüber seien die Forschungsergebnisse von Kaspersky-GReAT zu Risiken in Open-Source-Ökosystemen in den „Kaspersky Open Source Software Threats Data Feed“ integriert. Dieser Feed solle Unternehmen dabei unterstützen, sich proaktiv vor Angriffen auf die Lieferkette zu schützen – „indem er in Echtzeit Informationen über schädliche Aktivitäten liefert, die auf Open-Source-Plattformen abzielen“.

Weitere Informationen zum Thema:

kaspersky
Kaspersky Open Source Software Threats Data Feed

[datensicherheit.de, 30.10.2024] Cyber-Angriffe auf die Lieferkette (Supply Chain) gelten als zu den erfolgreichsten Attacken zählenden, denn sie treffen Unternehmen direkt im Herzstück ihrer IT-Infrastruktur – im Rechenzentrum. Cyber-Angreifer nutzen hierzu bestehendes Vertrauen in Geschäftsbeziehungen und die Sicherheitsarchitektur aus, um etwa durch bösartige Software-Updates oder über Service-Provider Zugang zu sensiblen Daten zu erlangen. Nun aber kommt die neue NIS-2-Direktive ins Spiel. Richard Werner, „Security Advisor“ bei Trend Micro, beleuchtet in seiner aktuellen Stellungnahme verschiedene Angriffsszenarien und zeigt auf, mit welchen NIS-2-Maßnahmen Unternehmen sich besser davor schützen könnten.

Foto: Trend Micro

Richard Werner warnt: Geht ein Cyber-Angriff von innen aus, können sich die Täter meist mühelos ausbreiten!

Wegen der großen Tragweite sollten sich Unternehmen der Risiken von Cyber-Angriffen auf die Lieferkette unbedingt bewusst sein

„Angriffe auf die Lieferkette (Supply Chain) sind besonders gefährlich, weil sie darauf ausgelegt sind, Sicherheitsmechanismen auf Seiten der Verteidiger zu umgehen“, erläutert Werner. Beispielsweise seien bösartige Software-Updates deshalb so erfolgreich, weil ein Update meist in verschlüsselter Form direkt ins Rechenzentrum des Opfers eingeschleust werde.

Unternehmen verteidigten sich dagegen häufig von außen nach innen, wobei das Rechenzentrum selbst durch verschiedenen Sicherheitsebenen nach außen geschützt sei, oft aber nur noch minimale Sicherheitsvorkehrungen von innen nach außen beinhalte. Werner warnt: „Geht ein Angriff von innen aus, können sich die Täter meist mühelos ausbreiten. Es spielt dabei kaum eine Rolle, ob das Rechenzentrum virtuell oder ,cloud’-basiert aufgebaut ist.“

Wegen der großen Tragweite sollten sich Unternehmen der Risiken von Cyber-Angriffen auf die Lieferkette unbedingt bewusst sein. Dies fordere auch NIS-2 ein und verpflichte IT-Sicherheitsverantwortliche Vorkehrungen zu treffen, um Eintrittswahrscheinlichkeit und Auswirkung abzumildern.

4 Arten von Cyber-Angriffen auf die Lieferkette

Unternehmen, die unter NIS-2 fallen, müssten die Lieferkette als Risiko für die Cyber-Sicherheit berücksichtigen, bewerten und entsprechende Maßnahmen ergreifen Dabei sind laut Werner vor allem vier Formen von Angriffen auf die Lieferkette relevant:

• 1. Angriffsform: Bösartige Software-Updates
  „Diese Variante wandten die Kriminellen in den Angriffen ,NotPetya’ (2017), ,Kaseya’ (2021) und ,Solarwinds’ (2022) an.“ Dabei werde jeweils ein Hersteller mit großer Kundenanzahl infiltriert und dessen Update-Prozess gekapert. Statt einer normalen Aktualisierung werde ein Angriffswerkzeug an die Kunden übermittelt.

• 2. Angriffsform: Lieferkettenangriff über Service-Dienstleister
  Diese funktionierten ähnlich: „Hier wird meist die Installation des Dienstleisters zuerst angegangen. Die Opfer, vor allem dessen Kunden, haben dabei kaum Einflussmöglichkeit.“ Weltweit bekannt seien die Angriffe auf „Kaseya“ (2021) sowie „MoveIT“ (2023).

• 3. Angriffsform: „Island Hopping“
  „Diese Variante ist ein gezielterer Angriff. Hierbei wird ein Partner in der Lieferkette durch die Angreifer übernommen.“ Von dieser Basis aus würden Teilnehmer der Kette mittels normaler Kommunikationswege angegriffen. So könne zum Beispiel ein bösartiger Link oder E-Mail-Anhang aus einer vertrauenswürdigen Quelle geteilt werden. Die Gruppe „Emotet“ habe dieses Vorgehen bis zu ihrem Takedown (2021) automatisiert.

• 4. Angriffsform: Wiederverwendete Programmier-Ressourcen
  Um für Kunden immer wieder neue Funktionalität zur Verfügung zu stellen, müsse die Entwicklung meist schnell sein. Häufig werde dies durch die Wiederverwendung vorprogrammierter Funktionen oder Codefragmente kompensiert. „Daher werden bei Angriffen häufig verwendete Programmierressourcen missbraucht, um Malware an die Opfer über die Lieferkette zu verteilen.“ In einem Beispiel aus dem Jahr 2021 sei ein beliebtes NPM-Paket, „UAParser.js“, kompromittiert worden, was zur Verbreitung von Malware in Millionen von Projekten geführt habe. Deshalb forderten Experten eine „Software Bill of Material“ (SBOM), um betroffene Segmente schneller identifizieren zu können.

Cyber-Schutzmaßnahmen für die Lieferkette gemäß NIS-2

Per Gesetz müssten Unternehmen sich der Risiken von Bedrohungen für die Lieferkette bewusst sein und Vorkehrungen treffen, um deren Eintrittswahrscheinlichkeit und Auswirkung entsprechend abzumildern. Die NIS-2-Direktive gehe dabei über diese allgemeine Risikobetrachtung der Lieferkette hinaus. „Es geht nicht darum, ob ein Partner ausfällt, sondern um die ganz besonderen Risiken, die Aufgrund der Verbundenheit mit der IT entstehen.“ Zur Cyber-Risikodiskussion empfehlen sich laut Werner die folgenden Szenarien:

• Szenario: Absicherung
  Die eigenen Server könnten zum Ausgangspunkt eines Cyber-Angriffs werden, weswegen auch dort Sicherheitsmechanismen etabliert sein müssten, „die einen Eindringling entdecken (z.B. XDR) und die im Rechenzentrum befindlichen Systeme schützen“.

• 2. Szenario: Verhandlungen
  Unternehmen sollten gemeinsam mit ihren Partnern Herangehensweisen zu automatisierten Datenaustausch erarbeiten (z.B. Frühwarnsysteme). „Eines der Probleme bei ,MoveIT’ war, dass Kunden zwar von ihrem Service-Provider hörten, aber erst durch die Erpressungsversuche der Täter das Ausmaß klar wurde.“

Was Angriffe über die „Supply Chain“ zusätzlich gefährlich mache, sei die Vertrauensstellung eines Partners. So würden Sicherheitsmaßnahmen dadurch ausgehebelt. „Geht der Angreifer dabei geschickt vor, schöpft der Mitarbeiter keinen Verdacht und führt eingeforderte Aktionen unüberlegt durch. Schließlich führt er die Konversation mit einem ,vertrauten Menschen’.“

Neben rein technischen Maßnahmen sollten im offenen Austausch mit Partnern gemeinsam Cyber-Sicherheitsstrategien entwickelt werden

Lieferketten-Angriffe gehörten zu den erfolgreichsten Cyber-Waffen, welche jedes Unternehmen in unterschiedlichem Ausmaß betreffen könnten. Um Risiken zu minimieren, müssten Unternehmen potenzielle Gefahren abwägen und geeignete Schutzmaßnahmen ergreifen. Auch innerhalb von Netzwerken sollte der sogenannte Zero-Trust-Ansatz gelten, um Angriffe zu verhindern.

„Neben technischen Maßnahmen empfiehlt sich der offene Austausch mit Partnern, um gemeinsam Cyber-Sicherheitsstrategien zu entwickeln und Bedenken zu adressieren“, rät Werner abschließend. Dies sorge nicht nur für mehr Sicherheit innerhalb der Lieferkette, sondern wirke sich gleichzeitig positiv auf Geschäftsbeziehungen aus.

Weitere Informationen zum Thema:

datensicherheit.de, 01.07.2024
Cyber-Sicherheit entlang der Lieferkette: Unternehmen müssen sich wieder auf Grundlagen besinnen / Hacker missbrauchen Lieferketten, um gezielte Angriffe auf Unternehmen mit großen Kundendatenbeständen zu starten

datensicherheit.de, 13.05.2024
Blinder Fleck der Cybersecurity: Software-Lieferketten als Einfallstor / Eine große Mehrheit der Unternehmen hatte einen Cyber-Vorfall innerhalb der vergangenen zwölf Monate

datensicherheit.de, 19.04.2024
NIS-2: Die Bedeutung der Richtlinie für die Lieferkette / ESET-Podcast „WeTalkSecurity“ widmet sich der Rolle der Lieferkette im Kontext der NIS-2-Richtlinie

[datensicherheit.de, 01.07.2024] Unternehmen müssten sich wieder auf die Grundlagen der Cyber-Sicherheit besinnen, um zunehmende Angriffen auf die Lieferkette schützen – Andy Grolnick, „CEO“ von Graylog, erläutert den Hintergrund in seiner aktuellen Stellungnahme: „Software-Lieferketten haben sich zu komplizierten Netzen entwickelt, die in hohem Maße auf Open-Source-Bibliotheken angewiesen sind. Immer mehr Unternehmen lagern kritische Vorgänge an Drittanbieter aus, wodurch die Lieferketten noch komplexer werden.“ So hätten beispielsweise 98 Prozent der Unternehmen mit mindestens einem Drittanbieter zusammengearbeitet, „der in den letzten zwei Jahren von Sicherheitsverletzungen betroffen war“. Hacker nutzten nun diese Lieferketten, um gezielte Angriffe auf Unternehmen mit großen Kundendatenbeständen zu starten. Infolgedessen seien bekannte Telekommunikationsunternehmen Opfer von Cyber-Angriffen geworden. „Sie dienen als Repositorium für umfangreiche Verbraucher- und Unternehmensdaten und haben sich als vorrangige Ziele erwiesen.“ Ihre zentrale Rolle bei der Bereitstellung Kritischer Infrastrukturen (KRITIS) für den Energie-, IT- und Transportsektor mache sie unverzichtbar.

Foto: Graylog

Andy Grolnick warnt: Viele böswillige Akteure sehen in Telekommunikationsorganisationen ein Einfallstor…

Angriffe auf die Lieferkette, um Mittelstand, Behörden und ahnungslose Unternehmen zu infiltrieren

„Viele böswillige Akteure sehen in den Telekommunikationsorganisationen ein Einfallstor, um den Mittelstand, Behörden und ahnungslose Unternehmen zu infiltrieren, die sich bei ihren Kommunikationslösungen auf sie verlassen. Da sich die Bedrohungslandschaft weiterentwickelt, müssen Unternehmen sich wieder auf die Grundlagen der Cyber-Sicherheit besinnen“, stellt Grolnick klar.

Am 30. März 2024 z.B. habe AT&T seine Kunden gewarnt, dass die Daten von 7,6 Millionen aktuellen und 65,4 Millionen ehemaligen Konto-Inhabern Mitte dieses Monats im DarkWeb veröffentlicht worden seien. „Die Daten enthielten hochsensible Informationen, darunter Sozialversicherungsnummern, Konto-Passwörter sowie E-Mail-Adressen, Postanschriften und Telefonnummern.“

Ausmaß der Attacken entlang der Lieferkette besorgniserregend

Das Ausmaß dieser Art von Verstößen sei besorgniserregend. „Ebenso beunruhigend sind die Auswirkungen auf alle Organisationen, die mit dem Telekommunikationsanbieter verbunden sind. Wenn sich ein Cyber-Krimineller beispielsweise Zugang zu Telekommunikationskundendaten verschafft, die E-Mail-Adressen oder Telefonnummern von Mitarbeitenden eines bestimmten Unternehmens enthalten, könnte er diese Informationen nutzen, um gezielte Phishing-Kampagnen zu starten.“

Solche Kampagnen könnten personalisierte Nachrichten oder betrügerische E-Mails enthalten, welche darauf abzielten, die Mitarbeiter zur Preisgabe sensibler Informationen oder zur Installation von Malware auf ihren Geräten zu bewegen. „Wenn Telekommunikations-Kundendaten Informationen über die Geräte- oder Netzwerkkonfigurationen einer Person enthalten, könnten sie außerdem dazu verwendet werden, Schwachstellen in der allgemeinen Systemarchitektur auszunutzen“, verdeutlicht Grolnick warnend.

Hacker verfeinern Techniken zum Eindringen in Lieferketten und zum Angriff auf KRITIS

Unternehmen müssten also die Grundlagen der Cyber-Hygiene stärken, um sich vor Angriffen auf die Lieferkette zu schützen. „Da Hacker ihre Techniken zum Eindringen in Lieferketten und zum Angreifen auf Kritische Infrastrukturen immer weiter verfeinern, müssen Unternehmen ihre Abwehrmechanismen verstärken, um potenzielle Angriffe auf ihre eigenen Systeme abzuwehren.“ Dies erfordert demnach, dass sich Unternehmen auf grundlegende, bewährte Verfahren der Cyber-Sicherheitshygiene konzentrieren und sicherstellen, dass sie diese gut anwenden.

Grolnick rät: „Unternehmen sollten damit beginnen, die Sichtbarkeit innerhalb ihrer Netzwerkumgebung zu verbessern. Dies ist entscheidend, um Bedrohungen sofort zu entschärfen.“ Daher sollten Unternehmen robuste zentralisierte Protokollierungs- und Überwachungslösungen implementieren, um Benutzeraktivitäten zu verfolgen und eine nahtlose Kommunikation zwischen Systemen und Sicherheitskontrollen zu gewährleisten. Die Datenanalyse in Echtzeit ermögliche es Sicherheitsexperten, verdächtige Aktivitäten oder unregelmäßige Datenverkehrsmuster zu erkennen und so die Auswirkungen von Sicherheitsvorfällen zu identifizieren und zu minimieren.

Auswirkungen von Angriffen auf die Lieferkette abmildern

Der Aufbau forensischer Fähigkeiten sei für Unternehmen unerlässlich, um Sicherheitsverstöße zu untersuchen und die Ursachen von Cyber-Angriffen aufzudecken – „insbesondere in Fällen, in denen ihre Daten oder die Daten ihrer Mitarbeitenden durch eine Verletzung der Lieferkette gefährdet sind“. Die komplizierte Natur der Verbindungen zwischen Dritten erschwere die Identifizierung von Einbruchspunkten.

Unternehmen könnten die Auswirkungen von Angriffen auf die Lieferkette abmildern, indem sie Protokolle zur Sammlung detaillierter forensischer Beweise, zur Rationalisierung der Vorfallsanalyse, zur Identifizierung von Schwachstellen und zur unverzüglichen Einleitung von Maßnahmen erstellten.

Angriffe auf die Lieferkette erhebliche Bedrohung für Unternehmen jeder Größe

„Wie die jüngste Sicherheitslücke bei AT&T und ihre weitreichenden Folgen gezeigt haben, kann die Bedeutung grundlegender Cyber-Hygiene nicht hoch genug eingeschätzt werden“, betont Grolnick. Angriffe auf die Lieferkette seien auf dem Vormarsch und stellten eine erhebliche Bedrohung für Unternehmen jeder Größe dar. „Indem sie grundlegende Cyber-Sicherheitspraktiken wie robuste Protokollierungs-, Überwachungs- und Forensikfunktionen in den Vordergrund stellen, können Unternehmen ihren Schutz vor sich entwickelnden Cyber-Bedrohungen verstärken.“

Investitionen in diese Maßnahmen schützten nicht nur vor potenziellen Sicherheitsverletzungen, sondern erhöhten auch die allgemeine Widerstandsfähigkeit gegenüber immer raffinierteren Angriffen. Ein proaktiver Ansatz für die Cyber-Sicherheit sei von größter Bedeutung, um sowohl die Vermögenswerte des Unternehmens als auch die sensiblen Daten von Kunden und Partnern zu schützen. Grolnicks Fazit: „Da sich die Digitale Landschaft ständig weiterentwickelt, gilt nach wie vor das Sprichwort: ,Vorbeugen ist in der Tat besser als heilen’ (prevention is indeed better than cure).“

Weitere Informationen zum Thema:

AT&T, 30.03.2024
AT&T Addresses Recent Data Set Released on the Dark Web / AT&T has determined that AT&T data-specific fields were contained in a data set released on the dark web; source is still being assessed.

SecurityScorecard, 28.02.2024
Third-Party Breach Report Reveals Software Supply Chain as Top Target for Ransomware Groups

datensicherheit.de, 13.05.2024
Blinder Fleck der Cybersecurity: Software-Lieferketten als Einfallstor / Eine große Mehrheit der Unternehmen hatte einen Cyber-Vorfall innerhalb der vergangenen zwölf Monate

datensicherheit.de, 26.10.2021
Nobelium: Hacker-Gruppe nimmt IT-Lieferketten ins Visier / BlackBerry verfolgt und kommentiert jüngste Aktivitäten von Nobelium

datensicherheit.de, 21.02.2021
Potenzielles Next-Level-Geschäftsrisiko: Software-Lieferketten zunehmend fragiler / Für Cyber-Kriminellen zahlreiche Eintrittspunkte geöffnet, um ihre Schadsoftware einzuschleusen