Deutschland
 

Was ist ein Supply-Chain-Angriff?

Lieferketten sind ein beliebtes Ziel für Hacker. Durch Schnittstellen und kollaborative Infrastrukturen entstehen Risiken, die Unternehmen bewältigen müssen.
Von 
CSO | 27. März 2023 05:32 Uhr
Zur Lieferkette gehören alle Personen, Organisationen, Ressourcen, Aktivitäten und Technologien, die an der Erstellung und dem Verkauf eines Produkts beteiligt sind.
Zur Lieferkette gehören alle Personen, Organisationen, Ressourcen, Aktivitäten und Technologien, die an der Erstellung und dem Verkauf eines Produkts beteiligt sind.
Foto: metamorworks - shutterstock.com

Unter einem Supply-Chain-Angriff versteht man einen Cyberangriff, der nicht direkt auf Unternehmen erfolgt, sondern indirekt über die Lieferkette durchgeführt wird. Dafür nutzen Angreifer geringere Security-Standards von Dienstleistern oder bestehende Schwachstellen in gemeinsam genutzten IT-Systemen aus, um Malware einzuschleusen und sich so Zugang zu verschaffen. Im Vergleich zu direkten Cyberangriffen passieren Supply-Chain-Attacken oft unter dem Radar der Security-Abteilung und werden erst mit Zeitverzögerung erkannt. Lange Lieferketten mit global agierenden Dienstleistern erschweren zudem den Schutz der Systeme und das Schließen von Sicherheitslücken.

Jetzt kostenlos für den CSO-Newsletter anmelden

Welche Arten von Supply-Chain-Angriffen gibt es?

Die Lieferkette wird heute als dynamisches Netzwerk aus Unternehmen verstanden, die an vielen Punkten des Wertschöpfungsprozesses beteiligt sind - beispielsweise bei der Lieferung von Vorprodukten und Betriebsmitteln, dem Transport oder dem Vertrieb. Durch die Globalisierung und die sehr arbeitsteiligen Prozesse nimmt die Größe und Komplexität von Lieferketten seit Jahren kontinuierlich zu. Das Risiko für Supply-Chain-Angriffe ist damit an allen Schnittstellen und bei allen beteiligten Akteuren eine reale Gefahr.

Ein Supply-Chain-Angriff kann Unternehmen auf zwei unterschiedliche Weisen treffen. Erstens in Form eines Angriffs auf einen Dienstleister der Lieferkette, mit dem gemeinsame IT-Systeme genutzt werden -beispielsweise ein Managed Service Provider, der die Bereitstellung und den Betrieb von Netzwerkarchitektur, Server- oder Cloud-Systemen managed. Das zweite Angriffsfeld entsteht durch Veränderungen in Software-Lösungen. Durch Patches oder Software-Updates kann Malware in die Systeme eingeschleust werden, die anschließend weitere Lösungen infiltriert. So können sich Angreifer Zugang zu Netzwerken erschleichen und die Sicherheitssysteme aushebeln.

Die Rekonstruktion von Supply-Chain-Angriffen hat vielfach gezeigt, dass sich Angreifer vor der Attacke sehr genau mit der Lieferkette und deren Sicherheitsstandards auseinandergesetzt haben. Gerade die Schnittstellen und Security-Unterschiede in einer Supply Chain sind ein Risikotreiber. Kleinere Unternehmen in der Lieferkette haben vielfach ein geringeres Schutzniveau als ihre Auftraggeber. Genau darin liegt einer der Vorteile für Angreifer, weil der Zugang zum eigentlichen Ziel einfacher herstellbar ist.

Ein prominentes Beispiel war 2017 der russische Angriff auf die ukrainische Steuer-Software MeDoc. Durch ein bösartiges Update konnten Hacker Zugriff auf die Software erhalten, die von allen in der Ukraine aktiven Unternehmen eingesetzt werden musste. Ein weiteres Beispiel war der Angriff auf das amerikanische Unternehmen Solarwinds. Durch eine Software-Änderung erhielten die Angreifer Zugang über eine Hintertür, die dann angeblich genutzt wurde, um die Netzwerke der Sicherheitsfirma Mandiant sowie Microsoft zu infiltrieren.

Lesetipp: Solarwinds-CISO im Interview

Wie können Unternehmen ihre Supply Chain schützen?

Auch wenn es kein Allheilmittel gibt, um die eigene Lieferkette vollständig gegen Angriffe zu schützen, so können Unternehmen an einigen Stellschrauben drehen. Das ist erstens die vertragliche Perspektive, indem Dienstleister in der Lieferkette zur Einhaltung bestimmter Auflagen rechtlich verpflichtet werden. Um diesen Schutz zu erreichen, müssen noch vor Vertragsabschluss Informationen über Sicherheitsstandards sowie verwendete Lösungen eingeholt, evaluiert und definiert werden. Dafür bedarf es einer beiderseitigen Transparenz, um die Ökosysteme der Partner zu prüfen und zu bewerten.

Ebenfalls sinnvoll sind Nachweise über Zertifizierungen, die den beteiligten Unternehmen bei der Definition von gemeinsamen Standards viel Zeit und Aufwand ersparen können. Im Automobilsektor sind das im Bereich der Informationssicherheit beispielsweise die ISO 27001 oder TISAX. Diese Zertifizierungen, deren Einhaltung in turnusmäßigen Audits überprüft werden muss, sollten ebenfalls vertraglich definiert werden. Dadurch können Unternehmen die Anforderungen an die Informationssicherheit eindeutig und langfristig festlegen.

Eine dritte Möglichkeit sind Pentests (auch Penetration Testing genannt), bei denen Security-Experten die IT-Systeme auf mögliche Schwachstellen testen. Dazu werden verschiedene Formen von Cyberangriffen simuliert, um die Resilienz der Systeme zu erkennen und Informationen zu sammeln. Diese Daten werden analysiert, um Lücken zu erkennen und die Sicherheit zu verbessern.

Um im Unternehmen das richtige Mindset zu implementieren, haben sich zudem Zero-Trust-Konzepte als wirkungsvoller Weg herausgestellt. Ihr Grundsatz liegt in der Regel, jeden Anwender, jedes Device und jede Lösung als generell nicht-vertrauenswürdig einzustufen. Das reduziert Sicherheitsrisiken und senkt deshalb auch das Risiko eines Supply-Chain-Angriffs.

Lesetipp: Lieferkette per Blockhain und KI überwachen

Welche Anforderungen ergeben sich aus dem Lieferkettengesetz?

Anfang 2023 ist in Deutschland das Lieferkettensorgfaltspflichtengesetz (LkSG) in Kraft getreten. Das LkSG verpflichtet Unternehmen zur Sorgfalt beim Management ihrer Lieferkette. Der Fokus der gesetzgeberischen Intention liegt darauf, "menschenrechtlichen oder umweltbezogenen Risiken vorzubeugen oder sie zu minimieren oder (…) zu beenden" (§ 3 Abs. 1 LkSG). Doch auch das Thema Cybersicherheit zählt mittelbar zu den Sorgfaltspflichten, etwa durch die Pflicht zur Einrichtung eines Risikomanagementsystems (§ 4 LkSG) sowie kontinuierlicher Risikoanalysen in der Lieferkette (§ 5 Abs. 4 LkSG). Eine sorgfältige Planung der Cyber-Strategie und eine Risikoanalyse der Lieferkette sind daher gerade in digitalen Unternehmen eine unverzichtbare Management-Anforderung.

Lesetipp: So wird Ihre Lieferkette resilient

Zusätzliche Vorteile des Supply-Chain-Managements

Heutzutage ist nahezu jedes Unternehmen auf ein Netzwerk an Lieferanten angewiesen, um effizient zu produzieren und innovative Produkte und Dienstleistungen anbieten zu können. Das aktive Management der Lieferkette steht daher bei jedem Unternehmen auf dem Aufgabenzettel. Nur so lässt sich sicherstellen, dass der Lieferant auch im Interesse des eigenen Unternehmens handelt und die Vereinbarungen eingehalten werden.

Da Supply-Chain-Management also generell durchgeführt werden muss, kann auch die Einhaltung der Mindestanforderungen im Bereich Cybersecurity integriert werden. Der zusätzliche Aufwand ist im Vergleich zu dem potenziellen Schaden eines Supply-Chain-Angriffs gering. Zudem bietet das kontinuierliche Controlling der Lieferkette auch den betriebswirtschaftlichen Vorteil, Wertschöpfungsketten, Informationsflüsse und Integrationsentscheidungen stetig zu optimieren und dadurch Kosten einzusparen.

Lesetipp: 3 Supply-Chain-Management-Beispiele

Sebastian Ganschow ist Director Cybersecurity Solutions bei NTT Ltd. in Deutschland.
Folgen: