Supply-Chain-Angriffe

Drittanbieter gefährden Lieferketten

Eine Studie von Trend Micro zeigt, wie gefährlich es sein kann, wenn Supply Chains nicht ausreichend gegen Ransomware geschützt sind.
Von 
CSO | 14. September 2022 05:21 Uhr
Zur Supply Chain gehören alle Zulieferer, Dienstleister und Kunden, mit denen ein Unternehmen weltweit zusammenarbeitet.
Zur Supply Chain gehören alle Zulieferer, Dienstleister und Kunden, mit denen ein Unternehmen weltweit zusammenarbeitet.
Foto: Lightspring - shutterstock.com

Von 2.958 IT-Entscheidungsträgern in 26 Ländern in Nord- und Südamerika, Europa und der APAC-Region glauben 79 Prozent, dass ihre Partner und Kunden ihr Unternehmen zu einem attraktiveren Ransomware-Ziel machen, so die neueste Studie des IT-Security-Anbieters Trend Micro.

52 Prozent der befragten Unternehmen geben an, dass sie einen Partner innerhalb ihrer Lieferkette haben, der schon einmal von Ransomware betroffen war. Zur Lieferkette gehören Anbieter von IT-Hardware, Software und Dienstleistungen, Open-Source-Systemen und nicht-digitale Anbieter wie Anwaltskanzleien oder Gebäudewartungsfirmen. All diese Unternehmen bilden ein Netz aus voneinander abhängigen Organisationen. "Lieferketten sind ein attraktives Ziel für Angreifer, weil sie entweder einen schlecht abgesicherten Zugangsvektor darstellen oder eine Gelegenheit bieten, ihre illegalen Gewinne zu vervielfachen, indem sie viele Organisationen über einen einzigen Lieferanten infizieren", heißt es in dem Forschungsbericht.

Lesetipp: Supply-Chain-Angriffe im Aufwind

Gefahr durch Drittanbieter

Das wohl brisanteste Beispiel für einen Supply-Chain-Angriff ist die Kompromittierung des IT-Dienstleisters Kaseya im Juli 2021. Mithilfe eines ausgeklügelten Angriffs nutzten Hacker eine interne Software-Schwachstelle aus, um bösartige Updates an die Kunden des Managed Service Providers weiterzugeben. Diese wiederum infizierten nachgelagerte Kunden mit Ransomware. Schätzungsweise 1.500 bis 2.000 Organisationen waren betroffen.

Ein weiteres junges Beispiel ist die Log4j-Schwachstelle, die Cyberkriminelle nach wie vor aktiv ausnutzen, um Schadsoftware in die Systeme von Unternehmen einzuschleusen. Das Problem dabei: Unternehmen können aufgrund komplexer Softwareabhängigkeiten nur schwer erkennen, wo die Java-Bibliothek Log4j in ihren Systemen läuft, schreiben die Analysten von Trend Micro. Viele DevOps-Teams würden zudem Komponenten von Drittanbietern verwenden, um die Markeinführungszeit für ihre Software zu verkürzen. Doch dies führe ebenfalls oft zu unbeabsichtigten Schwachstellen oder sogar zu absichtlich eingeschleuster Malware.

In einer Studie hat die Linux Foundation untersucht, wie sich der Einsatz von Drittanbietersoftware auf die Entwicklung von Anwendungen auswirkt. Sie kam zu dem Ergebnis, dass ein durchschnittliches Entwicklungsprojekt 49 Schwachstellen enthält. Diese umfassen im Schnitt 80 direkte Abhängigkeiten. Damit sind Komponenten oder Dienste gemeint, die direkt per Code aufgerufen werden. 40 Prozent der Anwendungsfehler würden in indirekten Abhängigkeiten gefunden. Diese seien weitaus schwieriger zu entdecken, da es sich hierbei um "die Abhängigkeiten der direkten Abhängigkeiten" handele, also beispielsweise die Lieferanten der Lieferanten.

Lesetipp: 7 Tools, die Ihre Softwarelieferkette absichern

Lieferketten absichern

Eine Wunderwaffe gegen Lieferkettenangriffe gibt es nicht. Dennoch nennt Trend Micro einige Möglichkeiten, wie CISOs den Schutz des eigenen Unternehmens verbessern können. Der erste Schritt zur Verbesserung der Sicherheit von Supply Chains sei es, sich mehr Transparenz zu verschaffen, zum einen darüber, welche Partner es im Ökosystem gibt und zum anderen darüber, welche Risiken diese darstellen. Allerdings sei es schwer, alle nötigen Informationen über externe Anbieter einzuholen, denn nur 47 Prozent der befragten Unternehmen teilen ihr Wissen über Ransomware-Angriffe mit ihren Lieferanten. Und weitere 25 Prozent teilen ebenfalls keine potenziell nützlichen Bedrohungsinformationen mit ihren Partnern. Die Analysten vermuten, dass dies daran liegt, dass die Sicherheitsteams überhaupt keine Informationen haben, die sie teilen können. Denn die Erkennungsraten für Ransomware-Aktivitäten seien besorgniserregend niedrig. Auch hierzu hat Trend Micro die Studienteilnehmer befragt:

  • Die Erkennungsrate von Ransomware Payloads liegt bei 63 Prozent,

  • die Exfiltration von Daten wurde in 49 Prozent der Fälle erkannt,

  • der Erstzugriff eines Cyberangriffs in 42 Prozent der Fälle und

  • die Erkennungsrate des Lateral Movements des Angreifers im Unternehmensnetzwerk liegt bei 31 Prozent.

Besonders wichtig ist laut der Studie das umfassende Verständnis der eigenen Lieferketten sowie der dazugehörigen Datenflüsse. So könnten Lieferanten, die ein besonderes Risiko für das eigene Unternehmen darstellen, besser identifiziert werden.

Weitere Maßnahmen, die Unternehmen und Lieferanten ergreifen sollten sind:

  • Implementieren Sie Last-Privilege-Richtlinien für alle Geräte und Dienste,

  • verwenden Sie die Multifaktor-Authentifizierung,

  • scannen Sie Open-Source-Komponenten vor ihrem Einsatz auf Schwachstellen,

  • nutzen Sie eine XDR-Lösung (Extended Detection and Response), um Bedrohungen frühzeitig zu erkennen,

  • setzen Sie Schutzmaßnahmen für E-Mails, Server, die Cloud, das Netzwerk und alle Endgeräte ein,

  • führen Sie regelmäßig Schulungen für Mitarbeiter durch,

  • sichern Sie Ihre Daten gemäß der 3-2-1-Regel,

  • führen Sie ein Attack Surface Management Tool ein,

  • verschlüsseln Sie Daten sowohl im Ruhezustand wie auch während der Übertragung und

  • testen Sie regelmäßig Ihre Notfallpläne.

Zudem sollten Unternehmen sich selbst kontinuierlich Audits unabhängiger Experten unterziehen und die Sicherheitsmaßnahmen neuer Lieferanten gründlich prüfen. (ms)

Lesetipp: Was Sie über Supply Chain Management wissen müssen

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Apurva Venkat ist Hauptkorrespondentin für die indischen Ausgaben von CIO, CSO und Computerworld. Zuvor berichtete sie für ISMG, IDG India, Bangalore Mirror und Business Standars über neue technologische Entwicklungen sowie Tech-Unternehmen, Startups, Fintech, E-Commerce und Cybersicherheit.