Cyberangriffe über Dritte – die unterschätzte Gefahr

Immer öfter werden Unternehmen indirekt attackiert, über die Software-Supply-Chain und IT-Dienstleister.

[Translate to English:]

[Translate to English:]

2023 wird aus IT-Sicht für Unternehmen das gefährlichste Jahr überhaupt, da sind sich die Experten sicher. „Die Gefährdungslage im Cyberraum ist so hoch wie nie“, resümierte beispielsweise das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem letzten Bericht zur Lage der IT-Sicherheit in Deutschland. Und auch wir merken es am steigenden Beratungs- und Personalbedarf: Cyberangriffe nehmen weiter zu. Zum einen, da sie für Kriminelle immer einfacher zu realisieren sind. Zum anderen hat sich die Cybercrime-Industrie weiter professionalisiert, wie wir bereits in unserem letzten Blogbeitrag zum Thema Cybercrime-as-a-Service (CaaS) berichtet haben. Von Malware über Ramsonware bis DDos-Attacken reicht die Bandbreite der CaaS-Verbrechen, und Unternehmen sind gut beraten, sich darauf vorzubereiten und ihre IT-Security mit entsprechenden Experten auszurüsten. Zum Beispiel vom IT-Personaldienstleister ihres Vertrauens: GECO.

Hackerangriffe auf IT-Dienstleister und die Software-Supply-Chain nehmen zu

Doch mit dem Schutz der eigenen IT-Struktur ist es leider meist nicht mehr getan. Immer öfter werden lohnende Angriffsziele nämlich nicht direkt attackiert, sondern über Umwege – mit Angriffen auf die Supply-Chain-Software und IT-Dienstleister. Hacker nutzen gezielt Schwachstellen in den Anwendungen aus und schleusen Schadsoftware oder -tools in den Software-Entwicklungsprozess bzw. das Netzwerk der Dienstleister ein. Und diese nichts ahnenden Unternehmen geben sie dann als Teil der Lieferkette an ihre Kunden weiter.

So geschehen zum Beispiel bei einem der weltweit bekanntesten Cyberangriffe überhaupt, der SolarWinds-Attacke von 2020. Die russische Cybercrime-Organisation Nobelium hatte den IT-Überwachungsanbieter während eines Software-Updates angegriffen und Schadcode in eines seiner Software-Update-Pakete eingefügt. Mehr als 18 000 Kunden luden das infizierte Update, eine manipulierte Binärdatei, herunter – darunter der U.S. Postal Service und viele amerikanische Regierungsbehörden wie das US-Finanzministerium und sogar das Pentagon. Mehrere Monate blieb der Angriff unentdeckt, auf bis zu 100 Milliarden Dollar wurde der Schaden beziffert.

Schaut man in die Listen aktueller IT-Sicherheitsvorfälle im Netz, finden sich auch zahlreiche Attacken auf deutsche IT-Dienstleister und IT-Systemhäuser mit schwerwiegenden Folgen für deren Kunden. Diese Angriffe legten zum Beispiel Stadtwerke lahm, führten zu einem Datenklau von dpa-Mitarbeitern oder sorgten letzten Spätsommer wochenlang dafür, dass viele Industrie- und Handelskammern technisch außer Gefecht gesetzt waren, weil die IT-Systeme der IHK-GfI, des bundesweiten IT-Dienstleisters für die deutschen IHK, mit Schadsoftware infiltriert worden waren.

Attacken auf die Software-Lieferketten sind also ein reales und wachsendes Bedrohungsszenario und in Zeiten von Cloud-Infrastrukturen und Open-Source-Anwendungen leider nahezu unumgänglich, denn jedes Unternehmen ist auf eine funktionierende Software-Supply-Chain angewiesen. Laut Schätzungen von Gartner werden 45 Prozent der Unternehmen weltweit bis zum Jahr 2025 Attacken auf ihre Software-Supply-Chain erleben. Das wären dreimal so viele wie noch 2021.

Vertrauen ist gut, kein Vertrauen ist besser: Zero-Trust

Wie können Unternehmen nun angesichts dieser akuten Bedrohung ihre Software-Supply-Chain besser schützen – und Partnerunternehmen und Lieferanten dazu bewegen, ebenso (noch mehr) Wert auf solchen Schutz zu legen? Das lässt sich relativ schwer verallgemeinern, weil die Art und Weise der Attacken sehr vielfältig ist. Neben regelmäßigen Penetrationstests und Bedrohungsplänen, die auch die Drittanbieter miteinbeziehen, raten führende Security-Anbieter wie McAfee oder Cloudfare besonders zum Zero-Trust-Ansatz. Bei diesem geht es im Kern darum, allen Nutzern und Geräten im Netzwerk grundsätzlich mit Misstrauen zu begegnen, um Bedrohungen aus dem Inneren des Netzwerks besser entgegentreten zu können. Mit Zero-Trust behält die IT vor allem über ein ausgefeiltes Passwortmanagement und mit Authentifizierungsmechanismen die Kontrolle über sämtliche Zugänge zum Netzwerk und zu allen Anwendungen und Daten – aber möglichst ohne die User Experience und Perfomance zu beinträchtigen. Die IT bekommt so den bestmöglichen Überblick über die Datenverkehre und beschränkt Zugriffe auf besonders sensible Services und Daten ausschließlich auf jene, für die es absolut notwendig ist. Dies gilt auch und ganz besonders für die Supply-Chain: Mit Lieferantenzugriffskontrollen beispielsweise, bei denen man Dienstleistern nur Zugriff auf das gewährt, was unbedingt für den Auftrag benötigt wird, kann man Angriffe über Dritte recht effektiv verhindern.

Schützen Sie Ihr Unternehmen mit Security-Experten von GECO

Sie möchten Ihre Software-Supply-Chain besser absichern und suchen Experten, die sich damit auskennen? GECO hat Security-Spezialisten, die Ihre Systeme und Daten zuverlässig vor Cyberkriminalität schützen und passende Sicherheitsstrategien für Ihr Supply-Chain-Management entwickeln und implementieren. Wir beraten Sie gerne und freuen uns auf Ihren Anruf!