Supply-Chain-Angriffe
Drittanbieter gefährden Lieferketten
Foto: Lightspring - shutterstock.com
Von 2.958 IT-Entscheidungsträgern in 26 Ländern in Nord- und Südamerika, Europa und der APAC-Region glauben 79 Prozent, dass ihre Partner und Kunden ihr Unternehmen zu einem attraktiveren Ransomware-Ziel machen, so die neueste Studie des IT-Security-Anbieters Trend Micro.
52 Prozent der befragten Unternehmen geben an, dass sie einen Partner innerhalb ihrer Lieferkette haben, der schon einmal von Ransomware betroffen war. Zur Lieferkette gehören Anbieter von IT-Hardware, Software und Dienstleistungen, Open-Source-Systemen und nicht-digitale Anbieter wie Anwaltskanzleien oder Gebäudewartungsfirmen. All diese Unternehmen bilden ein Netz aus voneinander abhängigen Organisationen. "Lieferketten sind ein attraktives Ziel für Angreifer, weil sie entweder einen schlecht abgesicherten Zugangsvektor darstellen oder eine Gelegenheit bieten, ihre illegalen Gewinne zu vervielfachen, indem sie viele Organisationen über einen einzigen Lieferanten infizieren", heißt es in dem Forschungsbericht.
Lesetipp: Supply-Chain-Angriffe im Aufwind
Gefahr durch Drittanbieter
Das wohl brisanteste Beispiel für einen Supply-Chain-Angriff ist die Kompromittierung des IT-Dienstleisters Kaseya im Juli 2021. Mithilfe eines ausgeklügelten Angriffs nutzten Hacker eine interne Software-Schwachstelle aus, um bösartige Updates an die Kunden des Managed Service Providers weiterzugeben. Diese wiederum infizierten nachgelagerte Kunden mit Ransomware. Schätzungsweise 1.500 bis 2.000 Organisationen waren betroffen.
Ein weiteres junges Beispiel ist die Log4j-Schwachstelle, die Cyberkriminelle nach wie vor aktiv ausnutzen, um Schadsoftware in die Systeme von Unternehmen einzuschleusen. Das Problem dabei: Unternehmen können aufgrund komplexer Softwareabhängigkeiten nur schwer erkennen, wo die Java-Bibliothek Log4j in ihren Systemen läuft, schreiben die Analysten von Trend Micro. Viele DevOps-Teams würden zudem Komponenten von Drittanbietern verwenden, um die Markeinführungszeit für ihre Software zu verkürzen. Doch dies führe ebenfalls oft zu unbeabsichtigten Schwachstellen oder sogar zu absichtlich eingeschleuster Malware.
In einer Studie hat die Linux Foundation untersucht, wie sich der Einsatz von Drittanbietersoftware auf die Entwicklung von Anwendungen auswirkt. Sie kam zu dem Ergebnis, dass ein durchschnittliches Entwicklungsprojekt 49 Schwachstellen enthält. Diese umfassen im Schnitt 80 direkte Abhängigkeiten. Damit sind Komponenten oder Dienste gemeint, die direkt per Code aufgerufen werden. 40 Prozent der Anwendungsfehler würden in indirekten Abhängigkeiten gefunden. Diese seien weitaus schwieriger zu entdecken, da es sich hierbei um "die Abhängigkeiten der direkten Abhängigkeiten" handele, also beispielsweise die Lieferanten der Lieferanten.
Lesetipp: 7 Tools, die Ihre Softwarelieferkette absichern
Lieferketten absichern
Eine Wunderwaffe gegen Lieferkettenangriffe gibt es nicht. Dennoch nennt Trend Micro einige Möglichkeiten, wie CISOs den Schutz des eigenen Unternehmens verbessern können. Der erste Schritt zur Verbesserung der Sicherheit von Supply Chains sei es, sich mehr Transparenz zu verschaffen, zum einen darüber, welche Partner es im Ökosystem gibt und zum anderen darüber, welche Risiken diese darstellen. Allerdings sei es schwer, alle nötigen Informationen über externe Anbieter einzuholen, denn nur 47 Prozent der befragten Unternehmen teilen ihr Wissen über Ransomware-Angriffe mit ihren Lieferanten. Und weitere 25 Prozent teilen ebenfalls keine potenziell nützlichen Bedrohungsinformationen mit ihren Partnern. Die Analysten vermuten, dass dies daran liegt, dass die Sicherheitsteams überhaupt keine Informationen haben, die sie teilen können. Denn die Erkennungsraten für Ransomware-Aktivitäten seien besorgniserregend niedrig. Auch hierzu hat Trend Micro die Studienteilnehmer befragt:
Die Erkennungsrate von Ransomware Payloads liegt bei 63 Prozent,
die Exfiltration von Daten wurde in 49 Prozent der Fälle erkannt,
der Erstzugriff eines Cyberangriffs in 42 Prozent der Fälle und
die Erkennungsrate des Lateral Movements des Angreifers im Unternehmensnetzwerk liegt bei 31 Prozent.
Besonders wichtig ist laut der Studie das umfassende Verständnis der eigenen Lieferketten sowie der dazugehörigen Datenflüsse. So könnten Lieferanten, die ein besonderes Risiko für das eigene Unternehmen darstellen, besser identifiziert werden.
Weitere Maßnahmen, die Unternehmen und Lieferanten ergreifen sollten sind:
Implementieren Sie Last-Privilege-Richtlinien für alle Geräte und Dienste,
verwenden Sie die Multifaktor-Authentifizierung,
scannen Sie Open-Source-Komponenten vor ihrem Einsatz auf Schwachstellen,
nutzen Sie eine XDR-Lösung (Extended Detection and Response), um Bedrohungen frühzeitig zu erkennen,
setzen Sie Schutzmaßnahmen für E-Mails, Server, die Cloud, das Netzwerk und alle Endgeräte ein,
führen Sie regelmäßig Schulungen für Mitarbeiter durch,
sichern Sie Ihre Daten gemäß der 3-2-1-Regel,
führen Sie ein Attack Surface Management Tool ein,
verschlüsseln Sie Daten sowohl im Ruhezustand wie auch während der Übertragung und
testen Sie regelmäßig Ihre Notfallpläne.
Zudem sollten Unternehmen sich selbst kontinuierlich Audits unabhängiger Experten unterziehen und die Sicherheitsmaßnahmen neuer Lieferanten gründlich prüfen. (ms)
Lesetipp: Was Sie über Supply Chain Management wissen müssen
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.