Sashkin - stock.adobe.com
Angriffe auf die IT-Lieferkette und Schutzmaßnahmen
Angriffe auf die Softwarelieferkette eines Unternehmens können verheerende Folgen haben. Dennoch erfährt diese Angriffsfläche häufig noch nicht die notwendige Aufmerksamkeit.
Die eigenen Daten effektiv zu nutzen, verwalten und schützen, gehört zu den wichtigsten strategischen Kompetenzen von Organisationen. Sind die Firmendaten nicht ausreichend geschützt, kann ein Cyberangriff verheerende Folgen haben: Angriffe auf Unternehmen verursachten in Deutschland im Jahr 2023 Schäden von rund 206 Milliarden Euro. Die sichere Verwaltung aller Daten zu jedem Zeitpunkt ist also zentral für Organisationen. Gleichzeitig haben Organisationen jedoch auch ein wachsendes Netzwerk an Lieferanten, das eigene IT Systeme nutzt oder in der Softwareumgebung des Auftraggebers arbeitet. Das birgt ein gefährliches Einfallstor für IT Angriffe. Sie zu kennen und bereits im Vorfeld adressieren zu können ist somit essenziell in der IT Sicherheitsstrategie für Unternehmen.
Die häufigsten Arten von IT Angriffen auf die Lieferkette
Unternehmen müssen im Rahmen ihrer Schutz-, Erkennungs- und Governance-Programme sechs branchendefinierte Arten von Angriffen auf Softwareanbieter kennen. Diese werden so auch vom US-amerikanischen Institute of Standards and Technology im IT Sicherheitsrahmen NIST CSF 2.0 Framework angegeben.
- Einschleusung von Schadcode: Bei der häufigsten Angriffsart dringt ein Angreifer in die Serverumgebung eines Upstream-Anbieters ein und schleust schädliche Nutzdaten, etwa kompromittierter Code oder Malware, in dessen Softwarecode-Repository ein. Der kompromittierte Inhalt wird dann als vertrauenswürdig verteilt. Angreifer können zwischengeschaltete Elemente wie die Software-Update-Umgebung eines Unternehmens ins Visier nehmen und die Bereitstellungselemente gefährden, nicht die Software des Unternehmens.
- Versteckte Backdoor-Angriffe: Angreifer modifizieren den Software-Quellcode des Unternehmens, indem sie eine versteckte Hintertür einbauen. Sobald der Kunde die geänderte Software bereitstellt, können sich Angreifer unbefugten Zugriff auf seine Systeme verschaffen.
- Abhängigkeits- (oder Namespace-)Verwirrungsangriffe: Wenn interne Entwickler verknüpfte Abhängigkeiten verwenden, die in einem öffentlichen Open-Source-Repository nicht vorhanden sind, bietet das eine weitere Gelegenheit für Angreifer: Er registriert dann eine Abhängigkeit mit demselben Namen und einer höheren Versionsnummer in einem öffentlichen Open-Source-Repository. Diese kann dann in das Software-Build abgerufen werden und die Software kompromittieren.
- Gestohlene SSL- und Code-Signing-Zertifikate: Hierbei kompromittiert der Angreifer die privaten Schlüssel, um Benutzer zu authentifizieren, wenn er eine Verbindung zu sicheren Websites und Cloud-Diensten herstellt.
- Kompromittierung der CI/CD-Umgebung: Angreifer können bösartige Malware in Automatisierungsumgebungen für Continuous Integration und Continuous Delivery/Deployment (CI/CD) einschleusen und legitime Code-Repositories (zum Beispiel BitBucket oder GitHub) klonen.
- Social-Engineering-Angriff: Angreifer können Social Engineering nutzen, um das Vertrauen der Mitarbeitenden zu missbrauchen: Sie bringen eine Einzelperson oder eine Gruppe dazu, Schadcode in Builds einzuschleusen, von denen sie glauben, dass sie vertrauenswürdig sind.
Die Lieferkette effektiv gegen Cyberkriminelle schützen
Um sich vor diesen häufigen Angriffen auf die Lieferkette zu schützen, müssen Unternehmen robuste Sicherheitskontrollen etablieren und diese auch bei ihren Lieferanten genau prüfen.
Dazu gehören Maßnahmen wie Lieferantenbewertung, Lieferkettentransparenz, Codeüberprüfung, Schwachstellenscan, Abhängigkeitsmanagement, sichere Zusammenarbeit und Datenfreigabe.
Lieferantenbewertung und -sichtbarkeit: Führen Sie eine gründliche Überprüfung der Cybersicherheitspraktiken von Lieferanten und Anbietern durch, überprüfen Sie die Einhaltung von Sicherheitsstandards (zum Beispiel NIST CSF, NIST 800-53) und überprüfen Sie die von Dritten durchgeführten Penetrationstests der Lieferanten. Führen Sie eine jährliche Überprüfung der Sicherheitspraktiken von Drittanbietern durch, die ihre Lieferkette umfassen (zum Beispiel SOC2 Typ II, PCI und so weiter).
„Die Lieferkette darf nicht als rein extern betrachtet werden, sondern muss ein wichtiger Teil der Cybersicherheitsstrategie für Unternehmen sein.“
Larry Jarvis, Iron Mountain
Sicherer Entwicklungslebenszyklus: Stellen Sie sicher, dass nur autorisierte Personen mit den geringsten Berechtigungen auf die Code-Repositories zugreifen, um sensiblen Quellcode zu schützen und unbefugten Zugriff zu verhindern. Automatisieren Sie die CI/CD-Pipeline, die vor dem Erstellen, Zusammenführen oder Bereitstellen in der Produktionsumgebung Sicherheitsprüfungen durchführt (zum Beispiel kein Passwort im Code, OWASP-Fehler, Schwachstellen).
Sichere Kommunikation und Zusammenarbeit: Arbeiten Sie mit Lieferanten über einen sicheren Kanal zusammen und stellen Sie sicher, dass Daten verschlüsselt und sicher übertragen werden. Stellen Sie sicher, dass nur authentifiziertes und autorisiertes Lieferantenpersonal auf Ihr System zugreifen kann, idealerweise über Lieferantenportale. Überprüfen Sie die vom Anbieter bereitgestellten Patches oder Updates in einer kontrollierten Umgebung, bevor Sie sie unternehmensweit bereitstellen.
Abhängigkeiten analysieren und Anomalien erkennen: Analysieren Sie die Abhängigkeiten von Anwendungen, einschließlich Bibliotheken und Komponenten von Drittanbietern. Das Erkennen nicht autorisierter oder unerwarteter Änderungen an Abhängigkeiten kann dabei helfen, Angriffe auf die Lieferkette zu erkennen. Wenn ein Supply-Chain-Angriff zu abnormalem Verhalten oder Aktivitäten innerhalb einer Anwendung führt, können Tools zur Anomalieerkennung Warnungen auslösen, die auf Abweichungen vom erwarteten Verhalten basieren.
Sicherheitsbewusstseinsschulung: Informieren Sie Ihre Mitarbeiter über gängige Social-Engineering-Taktiken, einschließlich Phishing und Vishing. Bei Social-Engineering-Angriffen wird häufig die menschliche Psyche ausgenutzt. Daher sind kontinuierliche Aufklärung, Sensibilisierung und Wachsamkeit von entscheidender Bedeutung.
IT Sicherheit ganzheitlich denken
Die Lieferkette darf nicht als rein extern betrachtet werden, sondern muss ein wichtiger Teil der Cybersicherheitsstrategie für Unternehmen sein. Nur wenn sie gemeinsam mit den Unternehmenseigenen Daten und Systemen gedacht wird, sind Organisationen und ihre Assets nachhaltig gegen Cyberkriminalität geschützt.
Über den Autor:
Larry Jarvis ist Chief Information Security Officer bei Iron Mountain.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.