CyberCompare

Supply Chain Attacks steigen 2021 um ein Vierfaches

Angriffe auf Lieferketten haben im Jahr 2020 an Zahl und Raffinesse zugenommen, und dieser Trend setzt sich 2021 fort, wie der aktuelle Report der European Union Agency for Cybersecurity (ENISA) aufzeigt. Schätzungen zufolge wird es im Jahr 2021 viermal mehr Angriffe auf Lieferketten geben als im Jahr 2020. Da die Hälfte der Angriffe auf Advanced Persistence Threat (APT)-Akteure zurückzuführen ist, übersteigen deren Komplexität und Ressourcen bei weitem die der üblichen, nicht zielgerichteten Angriffe. Es ist naheliegend, dass die Angreifer aufgrund von stärkeren Sicherheitsmaßnahmen seitens der Unternehmen, auf Lieferanten ausweichen. Daher müssen neue Schutzmaßnahmen implementiert werden, die insbesondere die Zulieferer mit einbeziehen, schlussfolgert die ENISA. Der Bericht stützt sich auf 24 Supply Chain Attacks, die von Januar 2020 bis Anfang Juli 2021 registriert wurden.

Wie werden Lieferketten angegriffen?

Die nachstehenden Kategorien umfassen die Angriffstechniken, die bei den 24 untersuchten Fällen am häufigsten verwendet wurden. Es liegt auf der Hand, dass bei einem bestimmten Angriff mehr als eine Technik angewandt worden sein kann und dass die Unternehmen in einigen Fällen nicht genau wissen, wie sich die Angreifer Zugang zu ihrer Infrastruktur verschafft haben.

supplc chain security

Der Bericht identifiziert auch an welcher Stelle die Zulieferer angegriffen wurden. Daraus lässt sich wiederum ableiten, welches Endziel die Cyberkriminellen mit dem Angriff verfolgten:

  • vorhandene Software, z. B. vom Anbieter verwendete Software, Webserver, Anwendungen, Datenbanken, Überwachungssysteme, Cloud-Anwendungen, Firmware (umfasst keine Software-Bibliotheken)
  • Programmbibliothek, z.B. Softwarepakete, die von Drittanbietern wie npm, ruby usw. installiert werden.
  • Code, z.B. Quellcode oder Software des Opfers
  • Konfigurationen, z. B. Passwörter, API-Schlüssel, Firewall-Regeln, URLs.
  • Daten, z. B. Informationen über den Anbieter, Werte von Sensoren, Zertifikate, personenbezogene Daten von Kunden oder Anbietern selbst, personenbezogene Daten.
  • Prozesse, z. B. Aktualisierungen, Sicherungen oder Validierungsprozesse, Signaturzertifikatsprozesse.
  • Hardware, z. B. vom Anbieter hergestellte Hardware, Chips, Ventile,
  • Personen, z. B. Zielpersonen mit Zugang zu Daten und Infrastruktur

Die ENISA betrachtet die Angriffe in einem Lebenszyklus-Modell: Supply Chain Attacks können somit als zwei miteinander verknüpfte APT-Angriffe betrachtet werden. Der erste Angriff zielt auf einen oder mehrere Lieferanten, der zweite auf die Kunden.

In mindestens elf der im ENISA Bericht untersuchten Fälle konnte dieses Vorgehen bestätigt werden. Die meisten Angriffe zielten darauf ab, den Code (66 %), die Daten (20 %) und die Prozesse (12 %) der Lieferanten zu kompromittieren. Die angegriffenen Assets der Lieferanten werden dann als Angriffsvektor genutzt, um die Kunden zu attackieren. Hierzu hat die ENISA in ihrem Bericht weitere Kategorien definiert:

Danach erfolgen die Angriffe meist durch

  1. einen Vertrauensmissbrauch des Kunden in den Anbieter (62 %)

  2. den Einsatz von Malware (62 %).

Unabhängig von der verwendeten Technik zielen die meisten Supply Chain Attacks darauf ab, sich Zugang zu Kundendaten (58 %), wichtigen Personen innerhalb des Unternehmens (16 %) und finanziellen Ressourcen (8 %) zu verschaffen.

Interessant ist: Bei 66 % der analysierten Supply Chain Attacks wussten die Lieferanten nicht oder machten nicht transparent, wie genau sie angegriffen wurden. Ganz anders sieht es bei den Endkunden aus: Hier wussten nur etwa 9 % nicht, wie die Angriffe erfolgten. Diese Diskrepanz macht deutlich, wie es um den Entwicklungsstand der Berichterstattung über Cybersicherheitsvorfälle bei Zulieferern und auf der anderen Seite bei Unternehmen, die mit Endkunden zu tun haben, bestellt ist.

In Anbetracht der Tatsache, dass 83 % der Zulieferer im Technologiesektor tätig sind, zeigt der Bericht zwei Möglichkeiten auf, warum die Zulieferer nichts genaueres über die Cyberangriffe „wussten“: Entweder lag es an unzureichenden Cyber-Security Maßnahmen, oder sie weigerten sich ihr Wissen über die Angriffe weiterzugeben. Zu beachten sei aber auch die steigende Komplexität und Raffinesse der Angriffe. Sie können ein frühes Erkennen und damit eine umfangreiche Untersuchung der Cybervorfälle behindern.

Neben diesen Spekulationen ist eines sicher: Angriffe auf Lieferketten nutzen die Verflechtung der globalen Märkte aus. Wenn mehrere Kunden auf ein und denselben Lieferanten angewiesen sind, werden die Folgen eines Cyberangriffs auf diesen Lieferanten verstärkt und können zu weitreichenden nationalen oder sogar internationalen Auswirkungen führen. Je besser Unternehmen vor Cyberangriffen geschützt sind, desto mehr richtet sich die Aufmerksamkeit der Cyberkriminellen auf die Zulieferer. Die Rechnung ist einfach: Die Zulieferer werden zum schwächsten Glied in der Kette. Gleichzeitig verlangen die Kunden Produkte, die sicher sind und kostengünstig bleiben – zwei Anforderungen, die nicht immer miteinander vereinbar sind.

Wie manage ich das Cyber-Risiko in einer Lieferkette?

  • Identifizieren und dokumentieren Sie Lieferanten und Dienstleister
  • Definieren Sie Risikokriterien für verschiedene Arten von Lieferanten und Dienstleistern (z. B. welche Abhängigkeiten von Lieferanten und Kunden gibt es, kritische Softwareabhängigkeiten, Single Points of Failure)
  • Bewerten Sie Risiken in der Lieferkette anhand der Auswirkungen auf die Business Continuity und deren Anforderungen
  • Legen Sie Maßnahmen zur Risikobehandlung auf der Grundlage bewährter Verfahren fest
  • Überwachen Sie die Risiken und Bedrohungen in der Lieferkette auf Basis interner und externer Informationsquellen sowie der Ergebnisse aus der Leistungsüberwachung und -überprüfung der Lieferanten
  • Schulen Sie ihr Personal – machen Sie es auf die Risiken aufmerksam

Den detaillierten ENISA Bericht können Sie hier lesen: https://www.enisa.europa.eu/publications/threat-landscape-for-supply-chain-attacks

Sie denken über Cyber-Sicherheitsmaßnahmen nach? CyberCompare hat geprüfte Anbieter im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote. Sprechen Sie uns an (Mail an uns) oder testen Sie Ihr Cyberrisikoprofil mit unserer Diagnostik.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.