Sicherheitsexperten sind alarmiert: Waren Lieferketten bereits 2021 eine lukrative Einnahmequelle für Cyberkriminelle, dürfte sich der Trend im neuen Jahr fortsetzen. Eine Schwachstelle, ein erfolgreicher Hack und ein kompromittiertes Opfer entlang der Kette genügen, um das lohnendste Ziel zu erreichen und in weitere Unternehmensnetzwerke vorzudringen. SolarWinds und Kaseya lassen grüßen. So einfach die Methoden der Angreifer sind, so komplex und unübersichtlich sind viele Lieferketten gestaltet. Wie kann es also gelingen, Lieferketten gegen die wachsenden Bedrohungen abzusichern? Und welche Faktoren gilt es dabei zu beachten?
Die Herausforderungen bei der Sicherheit der Lieferkette
Lieferketten durchgängig zu verwalten, gleicht einer Mammutaufgabe. Leider verlassen sich viele Unternehmen immer noch auf Vertrauen oder manuelle Tabellenkalkulationen, wenn es um den Schutz vor Cyberrisiken geht. Jedoch stellt die mangelnde Transparenz in Bezug auf die eigenen IT-Ressourcen und Abhängigkeit von Partnern und Lieferanten eine echte Gefahr für Unternehmen dar, unter anderem da sich heute mehr Drittanbieter in ihren Ökosystemen befinden als jemals zuvor. Daher gilt es zunächst, grundlegende Fragen zu beantworten: Wer sind die Lieferanten? Wie ist es um deren Sicherheit bestellt? Und wie nutzen sie ihre Daten?
Drittanbieter müssen in der Lage sein, ein umfassendes und genaues Inventar ihrer IT-Ressourcen bereitzustellen, um den Status der Endgeräte und die installierten Softwareversionen zu verstehen und um zeitnah Patches installieren zu können, um so die Risiken zu mindern. Da Softwaresicherheitslücken im Supply Chain Management oder in den Systemen der Zulieferer ebenso drastische Folgen haben können wie schlechte Informationssicherheitspraktiken, gilt es nicht nur, eine strenge Due-Diligence-Prüfung vor dem Onboarding durchzuführen, sondern auch die Beziehung regelmäßig neu zu bewerten. An dieser Stelle sollten verbindliche Sicherheitsstandards festgelegt werden.
Allerdings haken viele Unternehmen das Thema Supply Chain Security als einmaliges To-Do ab. Hinzu kommt, dass die Security Teams im Onboarding-Prozess oftmals zu spät eingeschaltet werden, als dass sie auftauchende Risiken noch ausmerzen könnten. Dabei genügt den Angreifern bisweilen eine einzige Schwachstelle: Haben sie sich erst einmal Zutritt verschafft, ist es ihnen möglich, sich bis zu den wertvollsten Daten eines Unternehmens hinzubewegen. Die Methode wird Lateral Movement genannt:
Hacker konzentrieren sich auf den Diebstahl und Missbrauch von Anmeldeinformationen und arbeiten sich über schleichende laterale Bewegungen im Netz zu den wichtigen Assets vor. Daher benötigen Unternehmen ein Maximum an Transparenz, um Zugriffsrechte und die damit verbundenen Schwachstellen zu analysieren. Des Weiteren gilt es für die IT-Sicherheitsteams zu prüfen, dass die eingesetzte Hardware keine betrügerischen Komponenten oder Schadsoftware enthält und nicht gefälscht ist, sodass beispielsweise eine Datenspeicherung durch Dritte erfolgen könnte. Softwaresicherheitslücken im Lieferkettenmanagement oder in den Systemen der Zulieferer könnten ebenfalls als Einfallstor für Kriminelle fungieren.
Zunehmende Anforderungen an Lieferketten
Was Angriffe auf Lieferketten also von anderen zielgerichteten Cyberattacken unterscheidet, ist die Tatsache, dass es eines Risikomanagements bedarf, das über die Unternehmensgrenzen hinweg Anwendung finden muss. Hierbei dürfen auch die cybersicherheitsrechtlichen Anforderungen an die Lieferkette nicht unter den Tisch fallen. Das NIST sieht in der Identifizierung, Bewertung und Abschwächung von Cyberrisiken in der Lieferkette einen entscheidenden Faktor zur Erreichung eines adäquaten IT-Sicherheitsniveaus und ruft ins Bewusstsein, dass die Globalisierung, das Outsourcing und die Digitalisierung zu einer zunehmenden Abhängigkeit innerhalb komplexer Lieferketten führen.
Nicht zuletzt SolarWinds und Kaseya haben das hohe Risikopotenzial von Cyberangriffen offengelegt. Durch die zunehmende Auslagerung der Angriffe auf Lieferketten reichen IT-Sicherheitsmaßnahmen, die sich ausschließlich auf das eigene Unternehmen konzentrieren, nicht mehr aus. So wird deutlich, dass rechtliche Vorgaben für die Cybersicherheit in der Supply Chain zunehmend an Bedeutung gewinnen. Da jedoch gesetzliche Regelungen und technische Maßnahmen das erforderliche Sicherheitsniveau nicht ausreichend abbilden können, müssen Unternehmen auf vertragliche Regelungen setzen, um Risiken weitestgehend einzudämmen. Am Ende des Tages werden die Unternehmen, die über die besten Sicherheitspraktiken verfügen, am erfolgreichsten agieren.
Supply Chain Best Practices
Die Cyberrisiken erstrecken sich über die Beschaffung, das Lieferantenmanagement, die Kontinuität und Qualität der Lieferkette sowie die Transportsicherheit. Daher gilt es, die richtigen Fragen an die Lieferanten zu stellen. Unter anderem ist es wichtig zu wissen, ob der Soft- und Hardwareentwicklungsprozess des Anbieters dokumentiert ist und die Eindämmung bekannter Schwachstellen im Produktdesign berücksichtigt wurde. Welche Kontrollen gibt es für die Verwaltung und Überwachung der Produktionsprozesse? Wie wird das Konfigurationsmanagement durchgeführt und inwiefern erfolgen Untersuchungen auf Schadsoftware? Welche Zugangskontrollen gibt es? Wie werden Kundendaten geschützt und gespeichert? Wie lange werden diese Daten aufbewahrt und werden sie vernichtet, wenn die Partnerschaft aufgelöst wird? Und wie gewährleistet der Anbieter die Sicherheit während des gesamten Produktlebenszyklus?
Um die Risiken zu minimieren, können Unternehmen Folgendes tun:
Fazit
Attacken auf Lieferketten haben sich im vergangenen Jahr als äußerst lohnenswerte Ziele für Cyberkriminelle erwiesen, und auch für 2022 prognostizieren Sicherheitsexperten, dass die Zahl der Angriffe in diesem Bereich weiter steigen wird. Unternehmen, die auf Plattformen und Dienste auf diversen Ebenen einer Lieferkette angewiesen sind, müssen ihre bisherigen Strategien überprüfen und sich dessen bewusst sein, dass die Sicherheit nicht an der eigenen Netzwerkgrenze aufhört.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…