[datensicherheit.de, 20.04.2025] Die neue Studie „Cyber Priority“ von DNV Cyber ist Branchen gewidmet, die als „wesentlich“ für das Funktionieren der Gesellschaft und der Wirtschaft gelten: Diese befinden sich offenkundig in einer Art „Wettrüsten“, da Bedrohungsakteure – Cyber-Kriminelle bzw. staatlich geförderte Hacker-Gruppen – auf digitale Schwachstellen der mit ihnen verbundenen Lieferanten abzielen. „Gerade in Europa werden die Regularien zur Cyber-Sicherheit durch die Behörden weiter verschärft, um die schnell wachsende Bedrohung auch in der Lieferkette zu adressieren.“ Zudem müssten Unternehmen dringend ihre Widerstandsfähigkeit gegen Cyber-Angriffe verbessern. Ein wichtiger Aspekt, der dabei häufig noch zu selten berücksichtigt werde, sei der Einsatz Künstlicher Intelligenz (KI).

Nur 13% der deutschen Befragten setzen KI in der Cyber-Sicherheit ihrer Organisation ein

Nur 13 Prozent der deutschen Befragten geben demnach an, KI in der Cyber-Sicherheit ihrer Organisation einzusetzen. „Weltweit lag dieser Wert doppelt so hoch (26%). Auch bei der Beurteilung der Vor- und Nachteile von KI zeigen sich Unterschiede zwischen Deutschland und anderen Märkten.“

So glaubten 15 Prozent der hierzulande Befragten, dass die Risiken von KI die Vorteile überwiegen würden – global hätten 22 Prozent diese Ansicht geäußert. Dennoch sähen in Deutschland 40 Prozent KI als notwendig an, um mit Bedrohungsakteuren Schritt zu halten (weltweit 47%).

Fokus auf Lieferketten: Drohende Cyber-Angriffen über integrierte Netzwerke, Komponenten, Software und Drittanbieter

Nur gut die Hälfte (53%) der weltweit befragten Experten im Bereich der Kritischen Infrastrukturen seien zuversichtlich, „dass ihr Unternehmen einen vollständigen Überblick über die Cyber-Sicherheitslücken hat, die ihre Lieferkette für ihr Geschäft birgt“. Diese Situation erhöhe das Risiko von Cyber-Angriffen über integrierte Netzwerke, Komponenten, Software und Drittanbieter.

Gleichzeitig betone die überwiegende Mehrheit der in Deutschland Befragten, dass eine starke Cyber-Sicherheit ein Wettbewerbsvorteil in der Gewinnung von Neukunden darstelle. Mehr als ein Drittel (36% international, 33% in Deutschland) glaube, dass Cyber-Angreifer ihre Lieferkette infiltriert haben könnten, „ohne dass Lieferanten dies gemeldet haben“ – so eine Erkenntnis einer Umfrage unter mehr als 1.150 Fachleuten aus Kritischen Infrastruktur-Branchen wie Energie, Schifffahrt, Fertigung und Gesundheitswesen.

Anforderungen an Cyber-Sicherheit in Beschaffungs- und Lieferantenverträgen stärker berücksichtigen

„Man kann nicht schützen, was man nicht kennt. Unternehmen müssen daher die Schwachstellen in ihren Lieferketten besser verstehen und Ansätze verfolgen, die eine größere Transparenz hinsichtlich der Lieferanten ermöglichen“, erläutert Auke Huistra, „Director of Industrial and OT Cybersecurity“ bei DNV Cyber.

„Um die Sicherheit der Lieferkette zu verbessern, sollten sie die Anforderungen an die Cyber-Sicherheit in Beschaffungs- und Lieferantenverträgen stärker berücksichtigen, den Fokus auf Sicherheit bei der Gestaltung von Prozessen und Anlagen erweitern und Cyber-Teams früher in Projekte einbeziehen.“ Laufende Tests sowie Erkennungs- und Reaktionsfähigkeiten seien unerlässlich, um die Auswirkungen von Vorfällen in der Lieferkette zu erkennen und zu reduzieren.

Lieferketten – attraktives Ziel für Cyber-Angriffe

Lieferketten seien ein attraktives Ziel für Cyber-Angriffe, da sie einen potenziellen Single-Entry-Point zu mehreren Organisationen und Systemen böten, einschließlich Kritischer Infrastrukturen. Dabei änderten die Cyber-Kriminellen ständig ihre Vorgehensweise und entwickelten immer ausgefeiltere Taktiken.

Hinzu komme, dass gut drei Viertel (76%) der Fachleute glaubten, dass die Cyber-Sicherheitsschulungen ihres Unternehmens nicht fortschrittlich genug seien, um Mitarbeiter auf anspruchsvollere Bedrohungen vorzubereiten – hierzulande teilten 70 Prozent der Befragten diese Ansicht.

Cyber-physische Angriffe ein zunehmendes Problem

„Organisationen, die Kritische Infrastrukturen betreiben, investieren mehr in Cyber-Sicherheit und unternehmen Schritte zur Absicherung von IT und ,Operational Technology’ (OT).“ Die daraus resultierenden, positiven Effekte dürften sich aber in Grenzen halten, wenn die Cyber-Sicherheit der Lieferkette einer Organisation nicht in ähnlicher Weise gestärkt werde, warnt DNV Cyber auf Basis der vorliegenden Studie. Sogenannte Cyber-physische Angriffe seien ein zunehmendes Problem, bei dem Angriffe auf digitale Technologien direkte Auswirkungen auf die „reale Welt“ physischer Anlagen und Operationen hätten.

„In Branchen der Kritischen Infrastruktur und OT-Umgebungen können die Folgen einer Sicherheitsverletzung besonders schwerwiegend sein: Für die Nationale Sicherheit, die Gesellschaft und die Wirtschaft. Alle Organisationen müssen daher ihre Lieferketten absichern“, betont Huistra. Denn auch die Lieferanten könnten entscheidend zur Verbesserung der Cyber-Sicherheit beitragen. „Es ist wichtig, dass Anlagenbetreiber die Anforderungen an Lieferanten auf Grundlage des Risikoprofils und der Vorschriften ihres Unternehmens festlegen, aber auch die tatsächliche Umsetzung dieser Anforderungen überprüfen.“ Die Zusammenarbeit entlang der Lieferkette sei entscheidend – dies schließe den Informationsaustauschs über Schwachstellen und Vorfälle mit ein.

Verschärfte Regulierung als zeitnahe Reaktion auf Cyber-Bedrohungen der Lieferkette

Regulierung sei der größte Treiber für Investitionen in der Cyber-Sicherheit für Kritische Infrastrukturen, so die aktuelle „Cyber Priority“-Studie. Gleichzeitig gehöre sie zu den stärksten Maßnahmen, um die Cyber-Resilienz zu stärken und das Risiko der Lieferkette zu adressieren. Die neue EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) befasse sich beispielsweise mit Risiken aus Lieferketten und Lieferantenbeziehungen.

Zusätzlich zur Absicherung der Lieferketten zeigt die „Cyber Priority“-Studie von DNV Cyber demnach, dass Kritische Infrastrukturen

• die OT-Sicherheit stärken,
• die Wachsamkeit der Mitarbeiter verbessern,
• eine Cyber-Kultur aufbauen und
• den Einsatz von KI in der Cyber-Sicherheit beschleunigen

sollten.

In diesem Zusammenhang stellt DNV Cyber detaillierte Cyber-Priority-Berichte zur Verfügung, welche sich mit den Sektoren „Energie“ und „Schifffahrt“ befassen.

Weitere Informationen zum Thema:

DNV CYBER
Energy Cyber Priority 2025: Addressing Evolving Risks, Enabling Transformation

DNV CYBER, 22.01.2025
Energieunternehmen steigern ihre Investitionen im Wettlauf um Cybersicherheit, um das „größte Risiko“ der Branche zu bewältigen

DNV CYBER, 13.11.2024
Neuer Bericht: Maritime Branche ist cyber-risikofreudiger, als andere Industrien / Maritime Cyber Priority 2024/25

DNV CYBER, 13.11.2024
Maritime appetite for cyber risk notably higher than other key industries, new report reveals

datensicherheit.de, 13.04.2025
DORA-Frist vom 14. und dem 28. April 2025: Lieferkettensicherheit als Herausforderung / DORA-Registrierungspflicht umfasst nicht nur die Meldung an die BaFin, sondern auch noch umfassende Prüfpflichten – von der Risikoanalyse bis hin zur Auditfähigkeit

datensicherheit.de, 11.04.2025
BSI und ZenDis: openCode-Leitfaden zur Strategie einer automatisierten Absicherung von Softwarelieferketten / Gemeinsame Veröffentlichung vom BSI und ZenDiS für die Verwaltung

datensicherheit.de, 27.02.2025
Cyber Resilience Act – Absicherung der Software-Lieferkette / Cyberkriminelle nutzen zunehmend Schwachstellen in Entwicklungspipelines aus

datensicherheit.de, 30.10.2024
Cyber-Angriffe auf die Lieferkette: Unternehmen sollten Risiken erkennen und gezielt vorbeugen / Cyber-Angreifer nutzen hierzu bestehendes Vertrauen in Geschäftsbeziehungen und die Sicherheitsarchitektur aus

datensicherheit.de, 19.04.2024
NIS-2: Die Bedeutung der Richtlinie für die Lieferkette / ESET-Podcast „WeTalkSecurity“ widmet sich der Rolle der Lieferkette im Kontext der NIS-2-Richtlinie

[datensicherheit.de, 13.04.2025] Der eco – Verband der Internetwirtschaft e.V. weist in einer aktuellen Stellungnahme darauf hin, dass zwischen dem 14. und dem 28. April 2025 Finanzinstitute in der EU ihre IT-Dienstleister bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) registriert haben müssen. Mit dem Inkrafttreten des „Digital Operational Resilience Act“ (DORA) geraten damit auch viele IT-Dienstleister ohne bisherige unmittelbare Regulierung in den Fokus von Aufsichtsbehörden. Gleichzeitig sorgt die bevorstehende Umsetzung der europäischen NIS-2-Richtlinie in weiteren Branchen für erhöhten Handlungsdruck, der sich auch auf die von DORA betroffenen Unternehmen beispielgebend auswirken könnte.

NIS-2-Rezeption am Markt könnte für Umgang mit DORA beispielgebend sein

„Etliche Dienstleister stehen aktuell vor der Aufgabe, Sicherheitsnachweise, Risikoanalysen und Vertragskonformität kurzfristig zu dokumentieren – oft, ohne dass sie bisher mit vergleichbaren Anforderungen konfrontiert waren“, berichtet Ulrich Plate, Leiter der eco-Kompetenzgruppe „Kritische Infrastrukturen“.

• Auch außerhalb des Finanzsektors zeige sich bereits eine zunehmende Dynamik: „Unternehmen, die künftig unter NIS-2 fallen, fordern schon heute von ihren Zulieferern konkrete Nachweise zur Cyber-Sicherheit.“ Diese Richtlinie verpflichtet Unternehmen unter anderem dazu, auch ihre IKT-Lieferkette auf ein Mindestmaß an Sicherheit zu verpflichten.

Plate: „Was wir beobachten, ist eine Art regulatorische Vorwirkung – viele Auftraggeber fordern vertraglich bereits heute de facto NIS-2-konforme Sicherheit, obwohl die Anforderungen noch nicht in nationales Recht überführt wurden.“

Vertragsdruck steigt – NIS-2 und künftig auch DORA als Treiber

Laut aktuellen Schätzungen werden rund 30.000 Unternehmen in Deutschland künftig direkt unter die NIS-2-Regelung fallen. Doch auch nicht unmittelbar betroffene Dienstleister könnten die Auswirkungen spüren: In der Praxis werden Verträge angepasst, Sicherheitsfragebögen verschickt und Anbieter nur bei entsprechender „Compliance“ beauftragt. „Zulieferer geraten häufig früher in die Pflicht als ihre Auftraggeber“, warnt Plate und betont: „Wer sich nicht vorbereitet, wird bei Ausschreibungen künftig nicht mehr berücksichtigt.“

• DORA konkretisiere diese Entwicklung im Finanzbereich mit einem klaren Stichtag. Die Registrierungspflicht umfasse nicht nur eine Meldung an die BaFin, sondern auch umfassende Prüfpflichten – von der Risikoanalyse bis hin zur Auditfähigkeit.

Die Aufsicht könne künftig auch IT-Dienstleister kontrollieren, die nicht direkt reguliert sind. „DORA bringt IT-Dienstleister in die direkte Sichtbarkeit der Aufsicht“, erläutert Plate. Die Marktgrenze für Cyber-Sicherheit verschiebe sich – „wer im Geschäft bleiben möchte, muss sich der Regulierung anpassen“.

NIS-2- bzw. DORA-Compliance als Wettbewerbsvorteil nutzen

Besonders mittelständische Dienstleister stehen laut Plate vor der Aufgabe, ihre internen Prozesse auf neue Anforderungen auszurichten – etwa mit Zertifizierungen, Notfallplänen oder strukturierten Nachweisverfahren.

• Dabei könne eine frühzeitige Positionierung zum Vorteil werden. IT-Dienstleister sollten daher jetzt prüfen, wie gut sie auf regulatorische Anforderungen vorbereitet sind – und mögliche Lücken zügig schließen.

„IT-Compliance ist ein Differenzierungsmerkmal“, so Plates Fazit. Er rät: „Wer heute in Sicherheitsstandards investiert, stärkt die eigene Resilienz und gewinnt Vertrauen – auch bei neuen Auftragnehmern.“

Weitere Informationen zum Thema:

BaFin Bundesanstalt für Finanzdienstleistungsaufsicht, 11.04.2025
Informationsregister und Anzeigepflichten / Die BaFin informiert über Kapitel V, Abschnitt I, Artikel 28 Absatz 3 DORA

BaFin Bundesanstalt für Finanzdienstleistungsaufsicht, 09.04.2025
DORA – Digital Operational Resilience Act

datensicherheit.de, 17.03.2025
DORA in der Praxis: Stolpersteine und Empfehlungen für Unternehmen / Die Verordnung der EU soll die Cyberresilienz des Finanzsektors durch einheitliche und verbindliche Vorgaben verbessern

datensicherheit.de, 06.02.2025
Finanzsektor: Herausforderungen und zugleich Chancen durch DORA / Zahlreiche Unternehmen im Finanzsektor benutzen veraltete IT-Systeme, die nicht in der Lage sind, den hohen DORA-Anforderungen zu genügen

datensicherheit.de, 21.01.2025
DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen / Selbst Unternehmen außerhalb der EU fallen unter DORA, wenn sie Dienstleistungen für EU-Finanzunternehmen erbringen

datensicherheit.de, 16.01.2025
DORA zwingt Finanzinstitute zum Handeln, um operative Widerstandsfähigkeit zu sichern / DORA-Ziel ist es, den Finanzsektor besser vor den ständig wachsenden Cyber-Bedrohungen zu schützen

datensicherheit.de, 31.10.2024
Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor / Der „Digital Operational Resilience Act“ (DORA) verlangt von Unternehmen im Finanzsektor, ihre Prozesse im Vorfallsmanagement gründlich zu überprüfen

[datensicherheit.de, 11.04.2025] Laut einer Meldung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde in Kooperation mit dem Zentrum für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS) eine Strategie für die automatisierte Absicherung von Softwarelieferketten für die Verwaltung veröffentlicht. Das ZenDiS wurde 2022 durch das Bundesministerium des Innern und für Heimat (BMI) gegründet – als Kompetenz- und Servicezentrum soll es die Öffentliche Verwaltung auf Ebene von Bund, Ländern und Kommunen dabei unterstützen, ihre Handlungsfähigkeit im Digitalen Raum langfristig abzusichern – vor allem, indem kritische Abhängigkeiten von einzelnen Technologieanbietern aufgelöst werden. Dazu soll sich das ZenDiS in der ersten Ausbaustufe darauf konzentrieren, den Einsatz von Open-Source-Software in der Öffentlichen Verwaltung voranzutreiben.

Abbildung: openCode

„Sichere Softwarelieferketten: openCode als Baustein einer souveränen digitalen Infrastrukturldung“ steht zum Download bereit

Gemeinsame Initiative des ZenDiS und des BSI rückt Bedeutung sicherer und souveräner Softwarelieferketten in den Fokus

„In Zeiten zunehmender geopolitischer Spannungen wird die Gewährleistung der Sicherheit und Beständigkeit digitaler Infrastrukturen zu einem zentralen Baustein der Daseinsvorsorge.“ Mit einer gemeinsamen Initiative rücken das ZenDiS und das BSI nun die Bedeutung sicherer und souveräner Softwarelieferketten weiter in den Fokus.

• „Nahezu jede Software greift heute auf Hunderte oder gar Tausende bestehende Einzelkomponenten, Bibliotheken und Tools zurück. Die Gesamtheit dieser Komponenten bildet die Softwarelieferkette. Wird ein Teil dieser Kette kompromittiert oder fällt weg, entstehen erhebliche Risiken für alle Nutzenden.“

Eine vollständige Prüfung von Softwarelieferketten sei bislang angesichts ihrer Komplexität für einzelne Softwareanbieter kaum realisierbar. Dies erfordere einen grundlegend neuen Ansatz, welcher über die Möglichkeiten einzelner Organisationen hinausgehe und die Fachkenntnisse von Sicherheitsexperten, Entwicklern und Behörden gezielt bündele, standardisierte Prüfverfahren etabliere und gemeinsame Sicherheitsanalysen ermögliche.

„openCode“ als Kernbaustein für eine sichere digitale Infrastruktur – das „Badge“-Programm vom ZenDiS zeigt konkrete Möglichkeiten einer Prüfung auf

Zentraler Baustein sei die Plattform „openCode“. Diese etabliere verbindliche Sicherheitsstandards, mache Abhängigkeiten transparent und schaffe nachvollziehbare Herkunftsnachweise für kritische Softwarekomponenten. Dank der Transparenz von Open-Source könnten so viele der bisherigen, manuellen Prüfprozesse automatisiert und damit die Skalierbarkeit von Sicherheitsüberprüfungen der Softwarelieferkette erheblich verbessert werden.

• „Mit seinem jüngst gelaunchten ,Badge’-Programm zeigt das ZenDiS konkret, wie eine solche Prüfung realisiert werden kann. Dort werden Qualitätsmerkmale von auf ,openCode’ liegender Software – beispielsweise zu Wartung und Nachnutzung – automatisch aus dem Code abgeleitet.“

Derzeitige Ansätze zur Softwaresicherheit seien weitgehend reaktiv – „openCode“ könne einen präventiven Ansatz durch kontinuierliche, automatisierte Sicherheitsprüfungen und transparente Softwarelieferketten ermöglichen: Bei einem Sicherheitsvorfall könnten Artefakte und Betroffene zuverlässig identifiziert und Echtzeitlagebilder erstellt werden, so dass gezielt gewarnt werden könne. „So wird ,openCode’ zu einem Schlüsselelement einer resilienten digitalen Infrastruktur in Deutschland.“

Das ZenDiS betont die strategische Bedeutung: Entwicklung einer souveränen digitalen Infrastruktur für Daseinsvorsorge im 21. Jahrhundert unverzichtbar

Ihr Konzept für eine sichere und souveräne Softwarelieferkette haben das BSI und das ZenDiS in einem gemeinsamen Strategiepapier inklusive Umsetzungsplan dargelegt. Das Papier steht auf den Webseiten des ZenDiS sowie des BSI zum Download zur Verfügung. Rückmeldungen aus der Fachöffentlichkeit seien ausdrücklich erwünscht – Kontaktmöglichkeiten gibt es auf der „openCode“-Website.

• Die Präsidentin des BSI, Claudia Plattner, hebt die Bedeutung der Kooperation hervor: „Sichere Softwarelieferketten sind ein entscheidender Faktor für eine funktionierende Digitalisierung. Sie machen Abhängigkeiten deutlich und damit beherrschbar. Wir schaffen hier außerdem ein Angebot, dass uns dringend benötigte Skalierbarkeit ermöglicht, um Cyber-Sicherheit wirkungsvoll umzusetzen.“ Entscheidend dafür sei das gelungene Zusammenspiel vieler Akteure – „so wie wir es uns für die ,Cybernation Deutschland’ wünschen.“

• Leonhard Kugler, Leiter „Open-Source-Plattform“ beim ZenDiS, betont die strategische Bedeutung: „Die Entwicklung einer souveränen digitalen Infrastruktur ist für unsere Daseinsvorsorge im 21. Jahrhundert unverzichtbar. Mit ,openCode’ setzen wir einen wesentlichen Baustein, um die Sicherheit unserer Softwarelieferketten zu stärken und so die digitale Handlungsfähigkeit des Staates auch in einer komplexen geopolitischen Landschaft zu bewahren.“

Weitere Informationen zum Thema:

openCode
Sichere Softwarelieferketten: openCode als Baustein einer souveränen digitalen Infrastruktur

openCode
Die Plattform für Digitale Souveränität / openCode bringt Open Source in die deutsche Verwaltung. Gemeinsam entwickeln und teilen wir Software, die unsere digitale Zukunft selbstbestimmt gestaltet.

ZenDis
openCode

ZenDIs
Vision und Mission: Ein dauerhaft handlungsfähiger Staat in einer digital vernetzten Welt – das ist die Vision, die das ZenDiS mit seinen Mitarbeitenden Tag für Tag verfolgt

datensicherheit.de, 27.02.2025
Cyber Resilience Act – Absicherung der Software-Lieferkette / Cyberkriminelle nutzen zunehmend Schwachstellen in Entwicklungspipelines aus

datensicherheit.de, 30.10.2024
Cyber-Angriffe auf die Lieferkette: Unternehmen sollten Risiken erkennen und gezielt vorbeugen / Cyber-Angreifer nutzen hierzu bestehendes Vertrauen in Geschäftsbeziehungen und die Sicherheitsarchitektur aus

datensicherheit.de, 13.05.2024
Blinder Fleck der Cybersecurity: Software-Lieferketten als Einfallstor / Eine große Mehrheit der Unternehmen hatte einen Cyber-Vorfall innerhalb der vergangenen zwölf Monate

EIn Beitrag von unserem Gastautor Jiannis Papadakis, Director of Solutions Engineering bei Keyfactor

[datensicherheit.de, 27.02.2025] In den vergangenen Jahren mussten sich IT-Sicherheitsverantwortliche und ihre Teams zunehmend mit Cyberrisiken auseinandersetzen, die mit den Software-Lieferketten ihrer Anbieter und Partner in Zusammenhang stehen. Immer häufiger machen Cyberkriminelle Schwachstellen in Entwicklungspipelines, Open-Source-Komponenten und Drittanbieter-Integrationen zu einem integralen Bestandteil ihrer Angriffsvektoren. Laut einer Bitkom-Umfrage vom vergangenen Jahr wussten 2024 13 Prozent der befragten IT-Entscheider, von mindestens einem Lieferketten-Zulieferer ihres Unternehmens zu berichten, der in den vergangenen 12 Monaten mindestens einmal Opfer eines Cybersicherheitsvorfalls geworden war. Weitere 13 Prozent vermuteten es, 21 Prozent konnten es nicht ausschließen. Mit dem Cyber Resiliene Act hat die EU eine gesetzliche Regelung auf den Weg gebracht, die Unternehmen verpflichtet auf diese Bedrohungen zu reagieren.

Jiannis Papadakis, Director of Solutions Engineering bei Keyfactor, Bild: Keyfactor

Wachsendes Risko Software-Lieferkette

Um dem wachsenden Software-Lieferketten-Risiko zu begegnen, wurden in Europa in den vergangenen Jahren zahlreiche Gesetzesinitiativen auf den Weg gebracht und verabschiedet. Erinnert sei hier nur an NIS2 und DORA. Erst unlängst, am 11. Dezember, kam nun eine weitere gesetzliche Regelung hinzu: der Cyber Resilience Act (CRA). Er gilt für sämtliche Software, Firmware und verbundenen Geräte, die in der EU verkauft oder verwendet werden sollen. Hersteller werden in ihm in die Pflicht genommen, für die erforderliche Sicherheit ihrer Hard- und Softwareprodukte zu sorgen – und dies transparent. Käufern soll es so ermöglicht werden, fundiertere Kaufentscheidungen zu treffen, das Thema Sicherheit stärker in ihre Überlegungen mit einzubeziehen.

Erste Anforderungen müssen ab dem 11. September 2026 erfüllt werden

Erste Anforderungen des CRA müssen Anbieter schon ab dem 11. September 2026 erfüllen, das Groß ab dem 11. Dezember 2027. In Punkto Lieferkettensicherheit macht der CRA Vorgaben hinsichtlich der Risikobewertung und des Risikomanagements, der Sicherheitsmaßnahmen während der Produktentwicklung, der Sicherheit der Standardeinstellungen der Produkte sowie der Software Bill of Materials (SBOM) und der Konformitätsbewertung.

Eile ist geboten

Da es naturgemäß einige Zeit dauern wird, die internen Prozesse an die neuen Compliance-Vorgaben anzupassen, die entsprechenden Reporting-Strukturen einzurichten, kann IT-Entscheidern und Sicherheitsteams nur geraten werden, hier möglichst frühzeitig – am besten schon jetzt – zu beginnen. Vor allem auf drei Punkte sollten sie sich dabei konzentrieren: die Absicherung der gesamten DevOps-Toolchain, die Sicherstellung der Softwareauthentizität und die Etablierung von Maßnahmen zur Erhöhung der Transparenz.

1. Sicherheit in den gesamten Entwicklungszyklus einbetten – Die DevOps-Toolchain muss mit robusten kryptografischen Schutzmechanismen ausgestattet werden.
2. Software-Authentizität sicherstellen – Alle Softwarekomponenten müssen während des gesamten Entwicklungszyklus authentifiziert und verifiziert werden. Die Identitäten von Entwicklern, Anwendungen und Infrastrukturkomponenten müssen überprüfbar sein.
3. Transparenz und Rückverfolgbarkeit verbessern – Um einen vollständigen Einblick in und Überblick über die Herkunft von Software zu erhalten, muss auf Metadaten, wie die Software Bill of Materials (SBOMs), zugegriffen werden.

Umsetzen lässt sich all dies am effektivsten – und effizientesten – mit einer modernen Code Signing-Lösung. Denn diese lassen sich problemlos in CI/CD-Tools integrieren – ohne IT-Workflows und Build-Prozesse zu erschweren oder gar zu unterbrechen. Code kann so während seines gesamten Entwicklungszyklus effektiv überwacht und vor unbefugten Änderungen und Malware geschützt werden – und dies in Echtzeit. Darüber hinaus lässt sich die Durchsetzung von Sicherheitsrichtlinien so weitgehend automatisieren, was den eigenen Sicherheitsteams viel Arbeit abnimmt. Ausgestattet mit einem solchen Tool sollte es jedem Unternehmen möglich sein, die Risiken der eigenen Software-Lieferketten bis zur CRA-Deadline am 11. Dezember 2027 in den Blick und in den Griff zu bekommen.jiannis-papadakis-keyfactor_ab

Weitere Informationen zum Thema:

European Commission
Cyber Resilience Act

[datensicherheit.de, 23.11.2024] Das „Global Research and Analysis Team“ (GReAT) von Kaspersky hat nach eignen Angaben eine auf das PyPI-Repository (PyPI: „Python Package Index“) abzielende Supply-Chain-Angriffskampagne aufgedeckt – diese habe fast ein Jahr lang unbemerkt laufen können. „Die Angreifer nutzten funktionale KI-Chatbot-Tools als Köder, um schädliche Pakete mit einer modifizierten Version der ,JarkaStealer’-Malware zu verbreiten und um so Informationen abzugreifen.“ Betroffen seien Nutzer weltweit – darunter auch in Deutschland. PyPl habe die schädlichen Pakete inzwischen entfernt.

Kaspersky-GReAT konnte Gefahr mittels eigenen Systems zur Überwachung von Open-Source-Repositories aufdecken

Die schädlichen Pakete seien bereits seit November 2023 auf PyPI verfügbar gewesen und wurden demnach über 1.700 Mal in mehr als 30 Ländern heruntergeladen, bevor sie nun schlussendlich entdeckt und entfernt worden seien. Laut PyPI-Statistiken externer Monitoring-Dienste sei diese Kampagne in den USA, China, Frankreich, Deutschland und Russland am aktivsten gewesen – allerdings scheine sie nicht auf bestimmte Organisationen oder geographische Regionen abzuzielen: „Alle Betroffene scheinen Einzelanwender zu sein.“

Das Kaspersky-GReAT habe diese Bedrohung mithilfe des internen automatisierten Systems zur Überwachung von Open-Source-Repositories identifiziert. Die Pakete seien als „Python“-Wrapper für beliebte KI-Tools – insbesondere „ChatGPT“ von OpenAI und „Claude“ AI von Anthropic – getarnt worden. „Die Pakete stellten zwar legitime KI-Chatbot-Funktionen bereit, jedoch versteckte sich darin auch die Malware ,JarkaStealer’, die dann auf den Systemen der Nutzer installiert wurde.“

Kaspersky-GreAT: Entwickler der Malware vertrieb diese „as-a-Service“ über „Telegram“-Kanal und Bot-Shop

Der in „Java“ geschriebene „JarkaStealer“ könne Daten aus verschiedenen Browsern stehlen, Screenshots erstellen, Systeminformationen sammeln und Sitzungs-Token von Anwendungen wie „Telegram“, „Discord“, „Steam“ und sogar einem „Minecraft“-Cheat-Client abgreifen. Weiterhin verfüge diese Malware über Funktionen zum Beenden von Browser-Prozessen, so bei „Chrome“ und „Edge“, um auf gespeicherte Daten zuzugreifen und diese zu extrahieren. „Die gesammelten Informationen werden archiviert und auf den Server des Angreifers exfiltriert, bevor sie vom infizierten Computer gelöscht werden.“

Die Kaspersky-Experten hätten zudem feststellen können, dass:

• der ursprüngliche Entwickler der Malware diese über einen „Telegram“-Kanal und einen Bot-Shop als Malware-as-a-Service (MaaS) vertreibe;
• der Quellcode von „JarkaStealer auf GitHub“ veröffentlicht worden sei, so dass ihn jeder einsetzen könne;
• aufgrund von im Code der Malware und in der „Telegram“-Werbung gefundenen Sprachartefakten der Autor der Malware mit mittlerer bis hoher Wahrscheinlichkeit russischsprachig sei.

Kaspersky-GreAT rät bei Integration von Open-Source-Komponenten in Entwicklungsprozesse zu höchster Wachsamkeit

„Die Entdeckung dieses Supply-Chain-Angriffs unterstreicht die anhaltende Bedrohung, die von Angriffen auf die Software-Lieferkette ausgeht, und macht deutlich, dass bei der Integration von Open-Source-Komponenten in Entwicklungsprozesse höchste Wachsamkeit geboten ist“, verdeutlicht Leonid Bezvershenko, Sicherheitsforscher im Kaspersky-GreAT.

Er betont: „Wir raten Unternehmen, strenge Verifizierungs- und Integritätsprüfungen durchzuführen, um die Rechtmäßigkeit und Sicherheit der von ihnen verwendeten Software und damit einhergehenden Abhängigkeiten zu gewährleisten, insbesondere bei der Integration neuer Technologien wie KI.“

Nach Kaspersky-Hinweis an PyPI wurden schädliche Pakete aus dem Repository entfernt

Kaspersky habe seine Erkenntnisse an PyPI gemeldet – die schädlichen Pakete seien aus dem Repository entfernt worden. Das Unternehmen überwache weiterhin aktiv alle Aktivitäten im Zusammenhang mit „JarkaStealer“ sowie weitere verdächtige Uploads auf Open-Source-Plattformen, einschließlich PyPI, um die Software-Lieferkette zu schützen.

Die detaillierten Untersuchungen zu „JarkaStealer“ und seiner Verwendung bei dem jüngsten Angriff auf die PyPI-Lieferkette seien auf dem „Kaspersky Threat Intelligence Portal“ veröffentlicht worden. Darüber seien die Forschungsergebnisse von Kaspersky-GReAT zu Risiken in Open-Source-Ökosystemen in den „Kaspersky Open Source Software Threats Data Feed“ integriert. Dieser Feed solle Unternehmen dabei unterstützen, sich proaktiv vor Angriffen auf die Lieferkette zu schützen – „indem er in Echtzeit Informationen über schädliche Aktivitäten liefert, die auf Open-Source-Plattformen abzielen“.

Weitere Informationen zum Thema:

kaspersky
Kaspersky Open Source Software Threats Data Feed

[datensicherheit.de, 30.10.2024] Cyber-Angriffe auf die Lieferkette (Supply Chain) gelten als zu den erfolgreichsten Attacken zählenden, denn sie treffen Unternehmen direkt im Herzstück ihrer IT-Infrastruktur – im Rechenzentrum. Cyber-Angreifer nutzen hierzu bestehendes Vertrauen in Geschäftsbeziehungen und die Sicherheitsarchitektur aus, um etwa durch bösartige Software-Updates oder über Service-Provider Zugang zu sensiblen Daten zu erlangen. Nun aber kommt die neue NIS-2-Direktive ins Spiel. Richard Werner, „Security Advisor“ bei Trend Micro, beleuchtet in seiner aktuellen Stellungnahme verschiedene Angriffsszenarien und zeigt auf, mit welchen NIS-2-Maßnahmen Unternehmen sich besser davor schützen könnten.

Foto: Trend Micro

Richard Werner warnt: Geht ein Cyber-Angriff von innen aus, können sich die Täter meist mühelos ausbreiten!

Wegen der großen Tragweite sollten sich Unternehmen der Risiken von Cyber-Angriffen auf die Lieferkette unbedingt bewusst sein

„Angriffe auf die Lieferkette (Supply Chain) sind besonders gefährlich, weil sie darauf ausgelegt sind, Sicherheitsmechanismen auf Seiten der Verteidiger zu umgehen“, erläutert Werner. Beispielsweise seien bösartige Software-Updates deshalb so erfolgreich, weil ein Update meist in verschlüsselter Form direkt ins Rechenzentrum des Opfers eingeschleust werde.

Unternehmen verteidigten sich dagegen häufig von außen nach innen, wobei das Rechenzentrum selbst durch verschiedenen Sicherheitsebenen nach außen geschützt sei, oft aber nur noch minimale Sicherheitsvorkehrungen von innen nach außen beinhalte. Werner warnt: „Geht ein Angriff von innen aus, können sich die Täter meist mühelos ausbreiten. Es spielt dabei kaum eine Rolle, ob das Rechenzentrum virtuell oder ,cloud’-basiert aufgebaut ist.“

Wegen der großen Tragweite sollten sich Unternehmen der Risiken von Cyber-Angriffen auf die Lieferkette unbedingt bewusst sein. Dies fordere auch NIS-2 ein und verpflichte IT-Sicherheitsverantwortliche Vorkehrungen zu treffen, um Eintrittswahrscheinlichkeit und Auswirkung abzumildern.

4 Arten von Cyber-Angriffen auf die Lieferkette

Unternehmen, die unter NIS-2 fallen, müssten die Lieferkette als Risiko für die Cyber-Sicherheit berücksichtigen, bewerten und entsprechende Maßnahmen ergreifen Dabei sind laut Werner vor allem vier Formen von Angriffen auf die Lieferkette relevant:

• 1. Angriffsform: Bösartige Software-Updates
  „Diese Variante wandten die Kriminellen in den Angriffen ,NotPetya’ (2017), ,Kaseya’ (2021) und ,Solarwinds’ (2022) an.“ Dabei werde jeweils ein Hersteller mit großer Kundenanzahl infiltriert und dessen Update-Prozess gekapert. Statt einer normalen Aktualisierung werde ein Angriffswerkzeug an die Kunden übermittelt.

• 2. Angriffsform: Lieferkettenangriff über Service-Dienstleister
  Diese funktionierten ähnlich: „Hier wird meist die Installation des Dienstleisters zuerst angegangen. Die Opfer, vor allem dessen Kunden, haben dabei kaum Einflussmöglichkeit.“ Weltweit bekannt seien die Angriffe auf „Kaseya“ (2021) sowie „MoveIT“ (2023).

• 3. Angriffsform: „Island Hopping“
  „Diese Variante ist ein gezielterer Angriff. Hierbei wird ein Partner in der Lieferkette durch die Angreifer übernommen.“ Von dieser Basis aus würden Teilnehmer der Kette mittels normaler Kommunikationswege angegriffen. So könne zum Beispiel ein bösartiger Link oder E-Mail-Anhang aus einer vertrauenswürdigen Quelle geteilt werden. Die Gruppe „Emotet“ habe dieses Vorgehen bis zu ihrem Takedown (2021) automatisiert.

• 4. Angriffsform: Wiederverwendete Programmier-Ressourcen
  Um für Kunden immer wieder neue Funktionalität zur Verfügung zu stellen, müsse die Entwicklung meist schnell sein. Häufig werde dies durch die Wiederverwendung vorprogrammierter Funktionen oder Codefragmente kompensiert. „Daher werden bei Angriffen häufig verwendete Programmierressourcen missbraucht, um Malware an die Opfer über die Lieferkette zu verteilen.“ In einem Beispiel aus dem Jahr 2021 sei ein beliebtes NPM-Paket, „UAParser.js“, kompromittiert worden, was zur Verbreitung von Malware in Millionen von Projekten geführt habe. Deshalb forderten Experten eine „Software Bill of Material“ (SBOM), um betroffene Segmente schneller identifizieren zu können.

Cyber-Schutzmaßnahmen für die Lieferkette gemäß NIS-2

Per Gesetz müssten Unternehmen sich der Risiken von Bedrohungen für die Lieferkette bewusst sein und Vorkehrungen treffen, um deren Eintrittswahrscheinlichkeit und Auswirkung entsprechend abzumildern. Die NIS-2-Direktive gehe dabei über diese allgemeine Risikobetrachtung der Lieferkette hinaus. „Es geht nicht darum, ob ein Partner ausfällt, sondern um die ganz besonderen Risiken, die Aufgrund der Verbundenheit mit der IT entstehen.“ Zur Cyber-Risikodiskussion empfehlen sich laut Werner die folgenden Szenarien:

• Szenario: Absicherung
  Die eigenen Server könnten zum Ausgangspunkt eines Cyber-Angriffs werden, weswegen auch dort Sicherheitsmechanismen etabliert sein müssten, „die einen Eindringling entdecken (z.B. XDR) und die im Rechenzentrum befindlichen Systeme schützen“.

• 2. Szenario: Verhandlungen
  Unternehmen sollten gemeinsam mit ihren Partnern Herangehensweisen zu automatisierten Datenaustausch erarbeiten (z.B. Frühwarnsysteme). „Eines der Probleme bei ,MoveIT’ war, dass Kunden zwar von ihrem Service-Provider hörten, aber erst durch die Erpressungsversuche der Täter das Ausmaß klar wurde.“

Was Angriffe über die „Supply Chain“ zusätzlich gefährlich mache, sei die Vertrauensstellung eines Partners. So würden Sicherheitsmaßnahmen dadurch ausgehebelt. „Geht der Angreifer dabei geschickt vor, schöpft der Mitarbeiter keinen Verdacht und führt eingeforderte Aktionen unüberlegt durch. Schließlich führt er die Konversation mit einem ,vertrauten Menschen’.“

Neben rein technischen Maßnahmen sollten im offenen Austausch mit Partnern gemeinsam Cyber-Sicherheitsstrategien entwickelt werden

Lieferketten-Angriffe gehörten zu den erfolgreichsten Cyber-Waffen, welche jedes Unternehmen in unterschiedlichem Ausmaß betreffen könnten. Um Risiken zu minimieren, müssten Unternehmen potenzielle Gefahren abwägen und geeignete Schutzmaßnahmen ergreifen. Auch innerhalb von Netzwerken sollte der sogenannte Zero-Trust-Ansatz gelten, um Angriffe zu verhindern.

„Neben technischen Maßnahmen empfiehlt sich der offene Austausch mit Partnern, um gemeinsam Cyber-Sicherheitsstrategien zu entwickeln und Bedenken zu adressieren“, rät Werner abschließend. Dies sorge nicht nur für mehr Sicherheit innerhalb der Lieferkette, sondern wirke sich gleichzeitig positiv auf Geschäftsbeziehungen aus.

Weitere Informationen zum Thema:

datensicherheit.de, 01.07.2024
Cyber-Sicherheit entlang der Lieferkette: Unternehmen müssen sich wieder auf Grundlagen besinnen / Hacker missbrauchen Lieferketten, um gezielte Angriffe auf Unternehmen mit großen Kundendatenbeständen zu starten

datensicherheit.de, 13.05.2024
Blinder Fleck der Cybersecurity: Software-Lieferketten als Einfallstor / Eine große Mehrheit der Unternehmen hatte einen Cyber-Vorfall innerhalb der vergangenen zwölf Monate

datensicherheit.de, 19.04.2024
NIS-2: Die Bedeutung der Richtlinie für die Lieferkette / ESET-Podcast „WeTalkSecurity“ widmet sich der Rolle der Lieferkette im Kontext der NIS-2-Richtlinie

[datensicherheit.de, 01.07.2024] Unternehmen müssten sich wieder auf die Grundlagen der Cyber-Sicherheit besinnen, um zunehmende Angriffen auf die Lieferkette schützen – Andy Grolnick, „CEO“ von Graylog, erläutert den Hintergrund in seiner aktuellen Stellungnahme: „Software-Lieferketten haben sich zu komplizierten Netzen entwickelt, die in hohem Maße auf Open-Source-Bibliotheken angewiesen sind. Immer mehr Unternehmen lagern kritische Vorgänge an Drittanbieter aus, wodurch die Lieferketten noch komplexer werden.“ So hätten beispielsweise 98 Prozent der Unternehmen mit mindestens einem Drittanbieter zusammengearbeitet, „der in den letzten zwei Jahren von Sicherheitsverletzungen betroffen war“. Hacker nutzten nun diese Lieferketten, um gezielte Angriffe auf Unternehmen mit großen Kundendatenbeständen zu starten. Infolgedessen seien bekannte Telekommunikationsunternehmen Opfer von Cyber-Angriffen geworden. „Sie dienen als Repositorium für umfangreiche Verbraucher- und Unternehmensdaten und haben sich als vorrangige Ziele erwiesen.“ Ihre zentrale Rolle bei der Bereitstellung Kritischer Infrastrukturen (KRITIS) für den Energie-, IT- und Transportsektor mache sie unverzichtbar.

Foto: Graylog

Andy Grolnick warnt: Viele böswillige Akteure sehen in Telekommunikationsorganisationen ein Einfallstor…

Angriffe auf die Lieferkette, um Mittelstand, Behörden und ahnungslose Unternehmen zu infiltrieren

„Viele böswillige Akteure sehen in den Telekommunikationsorganisationen ein Einfallstor, um den Mittelstand, Behörden und ahnungslose Unternehmen zu infiltrieren, die sich bei ihren Kommunikationslösungen auf sie verlassen. Da sich die Bedrohungslandschaft weiterentwickelt, müssen Unternehmen sich wieder auf die Grundlagen der Cyber-Sicherheit besinnen“, stellt Grolnick klar.

Am 30. März 2024 z.B. habe AT&T seine Kunden gewarnt, dass die Daten von 7,6 Millionen aktuellen und 65,4 Millionen ehemaligen Konto-Inhabern Mitte dieses Monats im DarkWeb veröffentlicht worden seien. „Die Daten enthielten hochsensible Informationen, darunter Sozialversicherungsnummern, Konto-Passwörter sowie E-Mail-Adressen, Postanschriften und Telefonnummern.“

Ausmaß der Attacken entlang der Lieferkette besorgniserregend

Das Ausmaß dieser Art von Verstößen sei besorgniserregend. „Ebenso beunruhigend sind die Auswirkungen auf alle Organisationen, die mit dem Telekommunikationsanbieter verbunden sind. Wenn sich ein Cyber-Krimineller beispielsweise Zugang zu Telekommunikationskundendaten verschafft, die E-Mail-Adressen oder Telefonnummern von Mitarbeitenden eines bestimmten Unternehmens enthalten, könnte er diese Informationen nutzen, um gezielte Phishing-Kampagnen zu starten.“

Solche Kampagnen könnten personalisierte Nachrichten oder betrügerische E-Mails enthalten, welche darauf abzielten, die Mitarbeiter zur Preisgabe sensibler Informationen oder zur Installation von Malware auf ihren Geräten zu bewegen. „Wenn Telekommunikations-Kundendaten Informationen über die Geräte- oder Netzwerkkonfigurationen einer Person enthalten, könnten sie außerdem dazu verwendet werden, Schwachstellen in der allgemeinen Systemarchitektur auszunutzen“, verdeutlicht Grolnick warnend.

Hacker verfeinern Techniken zum Eindringen in Lieferketten und zum Angriff auf KRITIS

Unternehmen müssten also die Grundlagen der Cyber-Hygiene stärken, um sich vor Angriffen auf die Lieferkette zu schützen. „Da Hacker ihre Techniken zum Eindringen in Lieferketten und zum Angreifen auf Kritische Infrastrukturen immer weiter verfeinern, müssen Unternehmen ihre Abwehrmechanismen verstärken, um potenzielle Angriffe auf ihre eigenen Systeme abzuwehren.“ Dies erfordert demnach, dass sich Unternehmen auf grundlegende, bewährte Verfahren der Cyber-Sicherheitshygiene konzentrieren und sicherstellen, dass sie diese gut anwenden.

Grolnick rät: „Unternehmen sollten damit beginnen, die Sichtbarkeit innerhalb ihrer Netzwerkumgebung zu verbessern. Dies ist entscheidend, um Bedrohungen sofort zu entschärfen.“ Daher sollten Unternehmen robuste zentralisierte Protokollierungs- und Überwachungslösungen implementieren, um Benutzeraktivitäten zu verfolgen und eine nahtlose Kommunikation zwischen Systemen und Sicherheitskontrollen zu gewährleisten. Die Datenanalyse in Echtzeit ermögliche es Sicherheitsexperten, verdächtige Aktivitäten oder unregelmäßige Datenverkehrsmuster zu erkennen und so die Auswirkungen von Sicherheitsvorfällen zu identifizieren und zu minimieren.

Auswirkungen von Angriffen auf die Lieferkette abmildern

Der Aufbau forensischer Fähigkeiten sei für Unternehmen unerlässlich, um Sicherheitsverstöße zu untersuchen und die Ursachen von Cyber-Angriffen aufzudecken – „insbesondere in Fällen, in denen ihre Daten oder die Daten ihrer Mitarbeitenden durch eine Verletzung der Lieferkette gefährdet sind“. Die komplizierte Natur der Verbindungen zwischen Dritten erschwere die Identifizierung von Einbruchspunkten.

Unternehmen könnten die Auswirkungen von Angriffen auf die Lieferkette abmildern, indem sie Protokolle zur Sammlung detaillierter forensischer Beweise, zur Rationalisierung der Vorfallsanalyse, zur Identifizierung von Schwachstellen und zur unverzüglichen Einleitung von Maßnahmen erstellten.

Angriffe auf die Lieferkette erhebliche Bedrohung für Unternehmen jeder Größe

„Wie die jüngste Sicherheitslücke bei AT&T und ihre weitreichenden Folgen gezeigt haben, kann die Bedeutung grundlegender Cyber-Hygiene nicht hoch genug eingeschätzt werden“, betont Grolnick. Angriffe auf die Lieferkette seien auf dem Vormarsch und stellten eine erhebliche Bedrohung für Unternehmen jeder Größe dar. „Indem sie grundlegende Cyber-Sicherheitspraktiken wie robuste Protokollierungs-, Überwachungs- und Forensikfunktionen in den Vordergrund stellen, können Unternehmen ihren Schutz vor sich entwickelnden Cyber-Bedrohungen verstärken.“

Investitionen in diese Maßnahmen schützten nicht nur vor potenziellen Sicherheitsverletzungen, sondern erhöhten auch die allgemeine Widerstandsfähigkeit gegenüber immer raffinierteren Angriffen. Ein proaktiver Ansatz für die Cyber-Sicherheit sei von größter Bedeutung, um sowohl die Vermögenswerte des Unternehmens als auch die sensiblen Daten von Kunden und Partnern zu schützen. Grolnicks Fazit: „Da sich die Digitale Landschaft ständig weiterentwickelt, gilt nach wie vor das Sprichwort: ,Vorbeugen ist in der Tat besser als heilen’ (prevention is indeed better than cure).“

Weitere Informationen zum Thema:

AT&T, 30.03.2024
AT&T Addresses Recent Data Set Released on the Dark Web / AT&T has determined that AT&T data-specific fields were contained in a data set released on the dark web; source is still being assessed.

SecurityScorecard, 28.02.2024
Third-Party Breach Report Reveals Software Supply Chain as Top Target for Ransomware Groups

datensicherheit.de, 13.05.2024
Blinder Fleck der Cybersecurity: Software-Lieferketten als Einfallstor / Eine große Mehrheit der Unternehmen hatte einen Cyber-Vorfall innerhalb der vergangenen zwölf Monate

datensicherheit.de, 26.10.2021
Nobelium: Hacker-Gruppe nimmt IT-Lieferketten ins Visier / BlackBerry verfolgt und kommentiert jüngste Aktivitäten von Nobelium

datensicherheit.de, 21.02.2021
Potenzielles Next-Level-Geschäftsrisiko: Software-Lieferketten zunehmend fragiler / Für Cyber-Kriminellen zahlreiche Eintrittspunkte geöffnet, um ihre Schadsoftware einzuschleusen

[datensicherheit.de, 13.05.2024] Laut einer aktuellen BlackBerry-Studie werden deutsche Unternehmen immer wieder von Lücken in und Angriffen auf ihre Software-Lieferkette überrascht. Diese basiert demnach auf einer Umfrage unter hundert deutschen IT- und Cybersecurity-Entscheidern. In den vergangenen zwölf Monaten hätten 81 Prozent der befragten Unternehmen einen Angriff auf oder eine Schwachstelle innerhalb ihrer Software-Lieferkette festgestellt. „Ein erfolgreicher Angriff kann schwerwiegende Folgen für das Geschäft haben!“

Cyber-Angriffe auf deutsche Unternehmen jeder Größe keine Seltenheit mehr

Angriffe auf deutsche Unternehmen jeder Größe seien keine Seltenheit und die meisten Entscheider verfolgten bereits eine Strategie, um sich abzusichern. Dennoch zeige diese neue Studie, „dass die Software-Lieferkette ein Blinder Fleck in der Sicherheitsstrategie der meisten Unternehmen darstellt“. Denn knapp vier von fünf Unternehmen (79%) seien im vergangenen Jahr – 2023 – auf einen Teil ihrer Software-Lieferkette aufmerksam gemacht worden, „der ihnen vorher unbekannt und der ungeschützt war“. Die größten Gefahrenpotenziale bergen laut BlackBerry Schwachstellen in Web-Browsern (30%) und Betriebssystemen (27%).

„Ein besorgniserregender toter Winkel, denn die Befragten berichten von ernsten Konsequenzen.“ Die meisten seien Opfer von Datenverlust (57%), hätten finanzielle Einbußen erlebt (53%) und den Verlust von Geistigem Eigentum (51%). Hinzu kämen die Beeinträchtigung des Geschäfts (47%) und ein Reputationsschaden (40%). Um sich vollständig von einem Angriff zu erholen, bräuchten 59 Prozent der Unternehmen meistens länger als eine Woche.

SBOM hilft Unternehmen, Cyber-Schwachstellen in der Software-Lieferkette zu ermitteln

Aus dieser Studie gehe hervor, dass Entscheider vor allem auf Datenverschlüsselung (54%), Schulungen für Mitarbeiter zum Sicherheitsbewusstsein (39%) und eine „Vulnerability Disclosure Policy“ (39%) setzten, um ihre Software-Versorgungskette abzusichern. Eine „Vulnerability Disclosure Policy“ solle festlegen, „wie ein Ethischer Hacker seine Informationen über entdeckte Schwachstellen in Systemen ermitteln und weitergeben soll“.

Eine sehr effektive Methode, um einem Angriff vorzubeugen, nutzten lediglich knapp ein Drittel der befragten – die „Software Bill of Materials“ (SBOM) werde nur von 34 Prozent der Unternehmen eingesetzt. In einer solchen Digitalen Stückliste seien alle eingekauften oder verwendeten Software-Bausteine aufzuführen. Eine SBOM erlaube es schnell und einfach, einen Überblick über die eigene Software zu erhalten, „sie zu auf Schwachstellen hin zu untersuchen und die Cyber-Sicherheit auszubauen“. Die Lösung erlaube es Akteuren, „Licht in die Dunkelstellen ihrer Lieferketten zu bringen“.

Unternehmen können SBOM mit modernen Lösungen automatisch erstellen und wirksam ihre Cyber-Sicherheit stärken

„Auf die Frage, warum die Unternehmen eine Lösung nicht einsetzen, die ihre Cyber-Sicherheitslage verbessern kann, machten die Umfrageteilnehmer ein mangelndes technisches Verständnis (39%), den Fachkräftemangel (37%) und das Fehlen wirksamer Tools (34%) verantwortlich.“ Es fehle den Unternehmen sowohl an den nötigen Arbeitsstunden als auch an dem nötigen Wissen, um die Software-Lieferkette abzusichern.

Moderne Lösungen leisteten einen wichtigen Beitrag, um zuverlässig eine SBOM automatisch zu erstellen. Sie dienten zudem häufig dazu, Software auf Schwachstellen und handwerkliche Fehler zu überprüfen. „Dank ihrer Genauigkeit vermeiden die Lösungen dabei ,False Positives’, was viel Aufwand und Zeit spart.“ Unternehmen hätten mit Lösungen dieser Art die Chance, wirksam ihre Cyber-Sicherheit zu stärken, ohne sich vom Fachkräftemangel und fehlendem Know-how ausbremsen zu lassen. „Die Studie zeigt, dass bisher nicht einmal jedes fünfte Unternehmen diesen Weg geht.“

Software-Lieferkette als Einfallstor für Cyber-Angreifer gilt es ernstzunehmen

Der kommende Cyber-Sicherheitsstandart NIS-2 trete im Oktober 2024 in Kraft und doch zeige der Report, dass sich ein Graben zwischen Vorgaben und der Prioritäten der Studienteilnehmer auftue. 64 Prozent der befragten Unternehmen in der Deutschland müssten sich an die kommenden Vorgaben halten und 54 Prozent fühlten sich „sehr gut“ oder „gut“ auf die neuen Richtlinien vorbereitet. NIS-2 gebe vor, dass betroffene Unternehmen den Behörden innerhalb von 24 Stunden nach einem Angriff diesen melden müssten. Trotzdem gebt die große Mehrheit der Unternehmen (71%) an, das sie mehr als einen Tag benötigten, um eine Sicherheitslücke zu identifizieren. „Damit würden sie die Standards nicht erfüllen und stehen etwaigen Konsequenzen gegenüber.“

Auf lokale Unternehmen kämen somit große Sicherheitsherausforderungen zu. Die Software-Lieferkette sei ein Einfallstor für Angreifer, welches die meisten Entscheider bis jetzt vernachlässigten. Eine SBOM sei eine zuverlässige Sicherheitsmaßnahme, welche vielen Organisationen helfen könne, sich trotz des Fachkräftemangels abzusichern.

Weitere Informationen zum Thema:

datensicherheit.de, 07.05.2024
Cyber Resilience Act: Verstöße können Unternehmen CE-Kennzeichnung kosten / Hersteller, Importeure und Händler sollten umgehend cyber-sicherheitskonforme Prozesse schaffen und automatisieren

datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zur Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf

datensicherheit.de, 01.06.2023
Neuer TeleTrusT-Leitfaden: Cloud Supply Chain Security / TeleTrusT warnt vor Attacken über vertrauenswürdig eingestufte Komponenten und IT-Services Dritter

[datensicherheit.de, 19.04.2024] Die NIS-2-Richtlinie bringt offensichtlich auch neue Anforderungen an die Lieferkette mit sich – laut ESET ein schwieriges Thema, denn schließlich sei der Begriff „Lieferkette“ nicht in dieser Richtlinie definiert. „Was kommt auf Unternehmen und ihre Zulieferer zu und wie können diese sich dafür wappnen?“ Dieser und weiteren Fragen widmet sich Christian Lueg in der aktuellen Episode von „WeTalkSecurity“ mit dem IT-Rechtsanwalt Stefan Sander – Sander ist demnach Fachanwalt für Informationstechnologierecht und gilt aufgrund seiner Doppelqualifikation (abgeschlossenes IT-Studium und Fachanwalt für IT-Recht) deutschlandweit als „gefragter Ansprechpartner für rechtliche Themen rund um IT und Datenschutz“.

Abbildung: ESET

ESET-Podcast „WETALKSECURITY“, Episode 21 vom 18.04.2024

Englischer Begriff der Supply Chain von der Bedeutung umfangreicher als das deutsche Wort Lieferkette

Im Podcast wird erläutert, dass der englische Begriff „Supply Chain“ sich als Teilbereich der Logistik über den Fluss von Waren oder Dienstleistungen – vom Rohmaterial-Lieferanten bis zum Endverbraucher – erstreckt, mithin alle Prozesse, Aktivitäten, Ressourcen und Organisationen umfasst, die daran beteiligt sind, Produkte oder Dienstleistungen von ihrer Entstehung bis zu ihrer Auslieferung an den Kunden zu bewegen. Im Unterschied zum klassischen deutschen Begriff „Lieferkette“ ist „Supply Chain“ also weiter gefasst und beinhaltet auch Aspekte wie Informationsfluss, Finanzierung, Koordination und Zusammenarbeit zwischen den verschiedenen Partnern entlang der Kette – also die gesamte Versorgung.

Die NIS-2-Richtlinie verknüpft nun ihre Pflichten nicht explizit mit der Zugehörigkeit eines Unternehmens zur Lieferkette – was überraschen könnte. Unternehmen, insbesondere „Managed Service Provider“ (MSPs), welche IT-Dienstleistungen bereitstellen, sind im Anwendungsbereich dieser Richtlinie. „Dies geschieht nicht aufgrund ihrer Position in der Lieferkette, sondern aufgrund einer spezifischen Regelung des Gesetzgebers für den MSP-Sektor.“

Betroffenheit von Unternehmen basiert nicht nur auf deren Rolle in der Lieferkette

Im Wesentlichen gebe es zwei Hauptvoraussetzungen zu beachten: Erstens müsse eine Wirtschaftstätigkeit in einen spezifischen Sektor fallen, wobei es irrelevant sei, ob es sich um eine Mutter-, Tochter- oder Schwestergesellschaft handelt – solange die Aktivität in einem regulierten Sektor stattfindet. Zweitens erwähne der Gesetzgeber in Anhang 1 der Richtlinie den IT-Sektor als „besonders kritisch“: Damit würden MSPs in diesem Sektor reguliert, während andere Sektoren wie das produzierende Gewerbe weniger streng reguliert seien. „Zusammengefasst bedeutet dies, dass die Betroffenheit von Unternehmen nicht nur auf deren Rolle in der Lieferkette basiert, sondern vielmehr darauf, ob ihre Aktivitäten in einen regulierten Sektor fallen.“

Spannend werde es vor allem für den deutschen Mittelstand: „Unternehmen, die zwischen 50 und 249 Mitarbeiter beschäftigen, gehören per definitionem dazu, alles was darüber ist, kann man als Großunternehmen bezeichnen. Es kommt aber ein weiteres Kriterium hinzu: Jahresumsatz und Jahresbilanzsumme.“ Unternehmen überschritten den Schwellenwert, „wenn sie beide Kriterien reißen oder nur eines davon, was dazu führt, dass sie nicht mehr als KMU gelten“. Die Mitarbeiteranzahl sei ein hartes Kriterium, während für die wirtschaftlichen Kennzahlen sowohl Jahresumsatz als auch Jahresbilanzsumme betrachtet würden. Das Ziel sei es, eine faire Behandlung zu gewährleisten. Die EU habe dazu einen Leitfaden herausgebracht, an dem Unternehmen sich orientieren könnten (s.u.).

Betroffene Unternehmen unter den Vorgaben von NIS-2 müssen geeignete Maßnahmen treffen, um die Lieferkette zu schützen

Um kleine Unternehmen (d.h. mit weniger als 50 Mitarbeitern) zu fördern, fielen diese nicht unter die NIS-2-Richtlinie – „außer sie gehören zu einem Konzern oder einer Konzerngruppe“ (die Gesamtzahl der Mitarbeiter addiere sich hier aus allen Mitarbeitern aller Unternehmen der Gruppe). „Wenn also das eigene Unternehmen nur 20 Mitarbeiter hat, die Muttergesellschaft aber 5.000, zählen diese 5.000 zu den eigenen hinzu – das Unternehmen fällt somit unter NIS-2 (bei einem Beteiligungsverhältnis von über 50 Prozent).“ Komplizierter werde es bei Partnerbeteiligungen, also Beteiligungen von 25 bis 50 Prozent. Entsprechend dieser Beteiligungsquote würden Kennzahlen wie Mitarbeiteranzahl und wirtschaftliche Zahlen mit zugerechnet.

„Nicht jedes Unternehmen, das als Zulieferer für ein großes fungiert, fällt automatisch unter NIS-2.“ Es könne aber vorkommen, dass größere Unternehmen von ihren Zulieferern erwarteten der Richtlinie zu entsprechen. „Wenn das eigene Unternehmen unter die Vorgaben von NIS-2 fällt, muss es automatisch geeignete Maßnahmen treffen, um die Lieferkette zu schützen.“ Im Umkehrschluss müssten sich Unternehmen auch vor Gefahren schützen, welche aus anderen Teilen der Lieferkette kommen könnten. Dies treffe insbesondere auf die IT-Sicherheit zu. Der Gedanke dahinter sei: „Die Volkswirtschaft und Arbeitsplätze vor Gefahren zu schützen, die aus der Störung der Lieferkette entstehen.“

Maßnahmen zur Sicherung der Lieferkette zu ergreifen bedeutet, sowohl eigene Systeme als auch die der Lieferanten zu schützen

„Wer keine Angst vor Gesetzestexten hat, kann in die Artikel 20, 21 und 23 der Richtlinie schauen.“ Artikel 21 beschreibe die Technischen und Organisatorischen Maßnahmen (TOM) in puncto Risikomanagement, „die mit der Richtlinie auf Unternehmen zukommen werden“. Im Kern gehe es darum, die größtmögliche Qualität vorzuweisen. Weitere Informationen dazu gebe es im ESET-Whitepaper zum Stand der Technik und zu NIS-2 (s.u.). Selbst regulierte Unternehmen seien gemäß Artikel 21 Absatz 2 verpflichtet, Maßnahmen zur Sicherung ihrer Lieferkette zu ergreifen. „Dies bedeutet, dass sie sowohl ihre eigenen Systeme als auch die ihrer Lieferanten schützen müssen.“

Aus Sanders Sicht reichen die Maßnahmen aus – „eine NIS-3-Richtlinie müssen Unternehmen in Europa erst einmal nicht befürchten“. Abschließend rät er dringend, sich rechtzeitig um die Umsetzung von NIS-2 kümmern – „nicht nur, um auf der sicheren Seite zu sein, sondern auch, weil eine starke IT-Sicherheit dem eigenen Unternehmen zugutekommt“.

Link zum Podcast und weitere Informationen zum Thema:

WETALKSECURITY, 18.04.2024
Die NIS2-Richtlinie und die Auswirkungen auf die Lieferkette / Herausforderungen und Möglichkeiten für Unternehmen

eSET, März 2024
WHITEPAPER: IT-Security auf dem Stand der Technik 2. Auflage / Wie sind Unternehmen, CISOs, Vorstände und Geschäftsführer in Zukunft sicher aufgestellt?

WETALKSECURITY, 14.06.2023
Stand der Technik in der IT-Sicherheit: Lösungsansätze und Tipps aus der Praxis

EUROPÄISCHE KOMMISSION
Benutzerleitfaden zur Definition von KMU

datensicherheit.de, 16.04.2024
NIS-2-Umsetzung: Bernhard Kretschmer warnt vor Chaos / Bis 17. Oktober 2024 müssen die EU-Mitgliedstaaten die Zweite Auflage der „Network and Information Security Directive“ (NIS-2) in nationales Recht umgesetzt haben

datensicherheit.de, 10.04.2024
Basis für Cyber-Versicherungen: NIS-2-Richtlinie treibt IT-Mindestvorgaben für Unternehmen / Ab Oktober 2024 könnte der Abschluss einer Cyber-Versicherung für Unternehmen möglicherweise noch schwieriger werden

[datensicherheit.de, 07.12.2023] BlueVoyant veröffentlicht die Ergebnisse der vierten Ausgabe seiner jährlichen globalen Umfrage zum Cyber-Risikomanagement in der Lieferkette. Die Studie für das Jahr 2023 zeigt, dass die Zahl der Cyberangriffe auf die Lieferketten von Unternehmen weiter ansteigt, wobei in diesem Jahr durchschnittlich 4,16 Angriffe gemeldet werden, die sich negativ auf den Geschäftsbetrieb auswirken – ein Anstieg um 26 % gegenüber der durchschnittlichen Zahl von 3,29 Angriffen im Jahr 2022.

„Angriffe auf externe Anbieter und Partner sind eine ständige Bedrohung“, sagt Joel Molinoff, Global Head of Supply Chain Defense bei BlueVoyant. „Unsere Daten deuten darauf hin, dass das Ausmaß des Problems zunimmt, da immer mehr Unternehmen und Zulieferer Opfer von Cyberangriffen werden. Das Problem ist den Organisationen bewusst, aber der Standardansatz für das Risikomanagement von Drittanbietern erweist sich als unzureichend. Die Unternehmen müssen jetzt ihre Energien auf Methoden konzentrieren, die proaktiv die Risiken in der Lieferkette beleuchten und reduzieren.“

Zunahme der Sicherheitsverletzungen in den Lieferketten trotz Cyber-Risikomanagement

In allen Branchen, mit Ausnahme des Bereichs Finanzdienstleistungen, stieg die Zahl der Sicherheitsverletzungen in den Lieferketten, die sich negativ auf das Unternehmen auswirkten. Trotz der Aussage der Umfrageteilnehmer, dass das Cyber-Risikomanagement in der Lieferkette eine strategische Priorität darstellt, nehmen die Sicherheitsverletzungen zu.

Zu den wichtigsten Ergebnissen der Untersuchung gehören: 

• Erhöhte Überwachungsfrequenz von Risiken: 47 % der Befragten werden ihre Lieferkette im Jahr 2023 monatlich oder öfter auf Cyberrisiken überwachen, verglichen mit 41 % im Jahr 2022.
• Verstärkter Einsatz von KI: Das Thema der Künstlichen Intelligenz ist auf dem Technologiemarkt sehr präsent, einschließlich der Nutzung von KI für die Cyberabwehr, aber auch im Hinblick auf die Nutzung von KI durch Cyberkriminelle, um Unternehmen anzugreifen. Die Befragten gaben an, dass sie wahrscheinlich KI zur Überwachung ihrer digitalen Lieferkette einsetzen werden, sich aber lieber auf eine Kombination aus KI und menschlichen Analysten verlassen wollen. Mehr als die Hälfte (55 %) gab an, dass sie die Automatisierung nur zur Verwaltung bestimmter Aspekte ihres Cyberrisikos gegenüber Drittanbietern nutzen.
• Erhöhte Budgets und Ressourcen: 85 % der Befragten gaben an, dass ihr Budget für Cyberrisiken von Drittanbietern in den letzten zwölf Monaten aufgestockt wurde, wobei 51 % angaben, dass sie zusätzliche interne Ressourcen bereitstellen werden, und 46 % wahrscheinlich externe Ressourcen hinzuziehen werden.
• Verstärkte Unterweisungen der Geschäftsleitung: 44 % der Befragten gaben an, die Geschäftsleitung im Jahr 2023 monatlich oder öfter zu informieren, verglichen mit 38 % im Jahr 2022.

Trotz der verstärkten Aufsicht und regelmäßigeren Überwachung hat sich ein ernstzunehmendes Problem herausgestellt: Anbieter in der Lieferkette müssen dazu gebracht werden, Risiken rechtzeitig zu beseitigen, nachdem sie auf eine Schwachstelle oder ein Sicherheitsproblem aufmerksam gemacht wurden. Nur 19 % der Befragten arbeiten aktiv mit ihren Zulieferern zusammen, um sicherzustellen, dass die Probleme behoben werden. Der Rest verlässt sich hauptsächlich darauf, dass die Zulieferer das Problem beheben, und setzt sich damit Risiken aus.

„Angesichts der nicht enden wollenden Schlagzeilen und behördlichen Auflagen, die die Aufmerksamkeit auf Cyberrisiken in der Lieferkette lenken, ist es schwer zu ignorieren, wie wichtig es ist, die richtigen Schutzmaßnahmen zu ergreifen“, so Brendan Conlon, Chief Operating Officer von BlueVoyant’s Supply Chain Defense. „Unternehmen sollten ihre aktuellen Ansätze überprüfen und Möglichkeiten zur Steigerung der Effizienz und der kontinuierlichen Abdeckung identifizieren – nicht nur bei der Erkennung von neu auftretenden Schwachstellen und Risiken, sondern auch bei der schnellen Beseitigung von Bedrohungen in Zusammenarbeit mit betroffenen Drittunternehmen.“

Die Studie wurde vom unabhängigen Marktforschungsunternehmen Opinion Matters durchgeführt und erfasste die Ansichten und Erfahrungen von 2.100 (300 davon in DACH) Chief Technology Officers (CTOs), Chief Security Officers (CSOs), Chief Operating Officers (COOs), Chief Information Officers (CIOs), Chief Info Security Officers (CISOs) und Chief Procurement Officers (CPOs), die für die Lieferkette und das Cyber-Risikomanagement in Unternehmen mit mehr als 1.000 Mitarbeitern aus einer Reihe von Branchen verantwortlich sind. Dazu gehören: Unternehmensdienstleistungen, Finanzdienstleistungen, Gesundheitswesen und Pharmazie, Fertigung, Versorgungsunternehmen und Energiewirtschaft sowie die Verteidigungsindustrie. Die Studie umfasst 11 Länder: USA, Kanada, Deutschland, Österreich, Schweiz, Frankreich, die Niederlande, das Vereinigte Königreich, Australien, die Philippinen und Singapur. Die vorangegangene Studie aus dem Jahr 2022 wurde ebenfalls von Opinion Matters durchgeführt.

Weitere Informationen zum Thema:

BlueVoyant
Forschungsbericht „The State of Supply Chain Defense: Annual Global Insights Report“

datensicherheit.de, 25.05.2022
Lieferkette im Visier: Cyber-Kriminelle missbrauchen Vertrauen zwischen Unternehmen