Was ist eine Supply-Chain-Attack?

Eine Supply Chain Attack (Lieferkettenangriff) bezeichnet das Einschleusen schädlicher Komponenten oder Bibliotheken in Produkte entlang der Lieferkette.

Diese Methode ist sehr erfolgreich, wenn es darum geht, sensible Daten zu stehlen, Zugang zu hochsensiblen Umgebungen zu erlangen oder aus der Ferne die Kontrolle über spezifische Systeme zu übernehmen. Besonders anfällig sind Software- und Hardware-Anbieter, deren Endprodukte auf Zulieferkomponenten basieren.

Eine solide Supply Chain Security hilft, solche Schwachstellen frühzeitig zu erkennen und zu beseitigen.

Supply-Chain-Angriffe bzw. Supply Chain Attacks im technologischen Bereich konzentrieren sich auf Software-Verkäufer und Hardware-Hersteller. Angreifer suchen nach unsicherem Code, unsicheren Infrastrukturpraktiken und unsicheren Netzwerkprozessen, die es ihnen erlauben, schädliche Komponenten einzuschleusen. Wenn ein Herstellungsprozess von der Entwicklung (oder Produktion) bis zur Installation mehrere Schritte umfasst, hat ein Angreifer (oder eine Angreifergruppe) mehrere Gelegenheiten, ihren eigenen schädlichen Code in das Endprodukt einzubringen.

Manche Hersteller, Verkäufer und Entwickler stellen Produkte zur Verfügung, die von tausenden Kunden genutzt werden. Wenn ein Angreifer es schafft, auch nur einen dieser Lieferanten zu kompromittieren, bekommt er potenziell Zugriff auf tausende ahnungslose Opfer. Dazu gehören Technologieunternehmen, Regierungen, externe Sicherheitsfirmen und mehr. Auf diese Weise verschafft ein Supply-Chain-Angriff Angreifern das Potential, auf eine Vielzahl kleiner und großer Unternehmen zuzugreifen, statt nur eine einzelne Zielorganisation zu kompromittieren. Eine solche Supply Chain Attack ist deshalb besonders perfide, weil sie sich hinter legitimen Komponenten versteckt und von den Betroffenen oft zu spät erkannt wird. Still und unbemerkt können sie so große Mengen an Daten extrahieren.

Bei einem Hardware-Lieferkettenangriff kann es vorkommen, dass ein Hersteller einen schädlichen Microchip auf einer Leiterplatte verbaut, die dann wiederum genutzt wird, um Server und andere Netzwerkkomponenten herzustellen. Mithilfe dieses Chips können Angreifer Daten abhören oder Fernzugriff auf die Unternehmensinfrastruktur erlangen.

Im Falle eines Software-Lieferkettenangriffs kann ein Entwickler von Bibliotheken, der schädliche Absichten verfolgt, Code so ändern, dass dieser in der Anwendung des Kunden schädliche Aktionen ausführt. Die Bibliothek kann dann für Cryptojacking oder Datendiebstahl missbraucht werden, oder sie lässt eine Hintertür offen, mit Hilfe derer ein Angreifer in das Unternehmensnetzwerk eindringen kann. Solche Supply Chain Attacks stellen ein wachsendes Risiko für Unternehmen dar, insbesondere wenn keine gründliche Prüfung externer Abhängigkeiten erfolgt.

In vielen der größten Supply-Chain-Attacks ist E-Mail-Betrug der primäre Vektor, mit dem der Angriff beginnt. Business-E-Mail-Compromise funktioniert gut für Angreifer, die im Vorfeld die notwendige Recherchearbeit leisten und so viel wie möglich über ihre Zielorganisation in Erfahrung bringen. Denn dann können sie zielgerichtet E-Mails an wichtige Mitarbeiter schicken (z.B. in der Finanzabteilung) und diese anweisen, eine Rechnung zu bezahlen oder Geld zu überweisen. Die Absenderadresse sieht dann genauso aus wie die vom CEO oder Besitzer, und ist so geschrieben, dass sie dem Empfänger ein Gefühl der Dringlichkeit vermittelt. In manchen Szenarien kompromittiert der Angreifer den E-Mail-Account einer Führungskraft und nutzt diesen, um Phishing-E-Mails an Angestellte der gleichen Organisation zu versenden.

Jede Organisation, deren Infrastruktur auf Drittanbietern beruht, ist anfällig für Supply Chain Attacks – insbesondere bei fehlender Supply Chain Security. Es gibt jedoch vier hauptsächliche Arten von Angriffen, die Sie kennen sollten. Die drei Arten von Supply Chain Attacks sind:

• Diese Form der Bedrohung erfordert in der Regel eine Kooperation mit Herstellern und Händlern, um manipulierte Komponenten auf Leiterplatten zu bringen. Hersteller erhalten dabei einen Designplan, an den sie sich halten müssen, um die Bauteile zu fertigen. Hat ein Hersteller jedoch schädliche Absichten, kann er einfach eine zusätzliche Komponente auf der Leiterplatte anbringen, die Daten abfängt und an den Angreifer überträgt.
• Software-Lieferkettenbedrohungen: Organisationen nutzen Softwareanbieter, um ihre Produkte im Netzwerk zu installieren und Funktionen wie das Monitoring von Servern und die täglichen Aufgaben der Nutzer zu ermöglichen. Anwendungen mit unbekannten Schwachstellen ermöglichen es einem Bedrohungsakteur, zahlreiche Supply Chain Attacks auf die Systeme der Organisation durchzuführen.
• Digitale Lieferkettenbedrohungen: Um die Entwicklungsdauer zu reduzieren, nutzen Softwareentwickler geläufige Drittanbieter-Bibliotheken, um bestimmte Funktionen in ihrer Anwendung auszuführen. Sollte der Entwickler einer solchen externen Bibliothek schädlichen Code in das Produkt einschleusen, macht sich jeder Softwarehersteller, der die infizierte Bibliothek nutzt, anfällig für eine potenzielle Supply Chain Attack mit weitreichenden Folgen.
• Business-E-Mail-Compromise: Hierbei schickt ein Angreifer Nachrichten mit gefakten Rechnungen an Angestellte in der Finanzabteilung, um sie dazu zu bringen, sie zu bezahlen. Andere Angreifer könnten HR-Angestellte dazu verleiten, Arbeitslöhne auf das Konto des Angreifers zu zahlen, indem sie sich als Angestellte ausgeben. Falls ein Angreifer eine Unternehmens-E-Mail-Adresse gehackt hat, kann er sich in bestehende Gespräche einklinken und die Empfänger dazu bringen, sensible Daten herauszugeben oder Geld an ein vom Angreifer kontrolliertes Konto zu überweisen.

Oft fehlt Organisationen das Bewusstsein für die Mechanismen einer Supply Chain Attack – und sie erkennen einen Cyberangriff erst, wenn der Schaden bereits eingetreten ist und keine klaren Maßnahmen zur Verfügung stehen. Die Auswirkungen einer Supply Chain Attack können für Einnahmen, Reputation und Lieferantenbeziehungen eines Unternehmens verheerend sein.

Die drei größten Auswirkungen von Supply-Chain-Attacks sind:

• Datenverletzungen und Veröffentlichung von Unternehmensdaten: In vielen Supply-Chain-Angriffen, insbesondere bei Hardware-Angriffen, hört der schädliche Code Daten ab und schickt diese an einen vom Angreifer kontrollierten Server. Jegliche Daten, die durch ein infiziertes System gehen, können verletzt werden. Das betrifft auch das Stehlen von Zugangsdaten zu Accounts mit hohen Berechtigungen für spätere Angriffe.
• Installation von Malware: Schädlicher Code innerhalb einer Anwendung kann genutzt werden, um Malware herunterzuladen und auf dem Unternehmensnetzwerk zu installieren. Ransomware, Rootkits, Keylogger, Viren und andere Malware kann im Rahmen einer Supply-Chain-Attack über eingeschleusten Code installiert werden.
• Finanzielle Verluste: Falls ein Angestellter getäuscht wird und Geld an ein Bankkonto überweist oder betrügerische Rechnungen begleicht, entsteht der betroffenen Organisation mitunter ein Schaden in Millionenhöhe.

Jeder Verkäufer, der für sein Produkt Drittanbieter nutzt, ist anfällig für Lieferkettenangriffe. In allgemeinen Angriffen konzentrieren sich Bedrohungsakteure auf ein beliebiges Angriffsziel, nicht ein spezifisches Unternehmen. In fortschrittlichen Angriffen konzentrieren sich Angreifer jedoch auf Regierungsinstitutionen oder große Organisationen, die Milliarden wert sind. Bei Angriffen, die von einer Regierung in Auftrag gegeben wurden, nimmt ein Angreifer Regierungen und deren Infrastruktur ins Visier. Diese Angriffe können Leben kosten, wenn die Malware kritische Systeme zum Absturz bringt.

Sicherheitsanbieter sind perfekte Ziele. Denn Organisationen müssen Sicherheitsanbietern vertrauen, ihre Daten und Reputation zu schützen. Indem sie heimlich schädlichen Code in die Software und Kontrollen von externen Sicherheitsanbietern einschleusen, können Angreifer im Stillen Daten aus großen Unternehmensnetzwerken extrahieren und an ein von ihnen kontrolliertes Netzwerk schicken. Bei den Daten, die anfällig für solche Angriffe sind, handelt es sich um Finanzdaten, personenbezogene Daten, Patientenakten oder Mitarbeiterinformationen.

Ein Managed-Server-Provider (MSP) ist ein weiteres häufiges Angriffsziel. Diese Unternehmen unterstützen die Infrastruktur von Organisationen und setzen dazu Monitoring-Systeme ein. Zugriff auf einen MSP zu haben, gibt einem Angreifer Zugang zu MSP-Zugangsdaten und damit zur Infrastruktur des Kunden. Eine weitere Option für den Angreifer ist es, Kreditkartennummern von Zahlungsdashboards und Kundenservice-Systemen zu stehlen.

Open Source eignet sich zwar bestens zur Zusammenarbeit zwischen Entwicklern, um gemeinsam ihren Code zu verbessern. Wenn andere Entwickler zur Codebasis beitragen, sollte der Code auf Sicherheitsprobleme geprüft werden. Denn Sicherheitsprobleme könnten absichtlich oder unabsichtlich in der Codebasis landen. Da die meisten Open-Source-Projekte für andere Entwickler öffentlich einsehbar sind, kann es vorkommen, dass ein Angreifer eine Sicherheitslücke erkennt, bevor es jemand mit hilfreichen Absichten tut. Der Angreifer kann dann Code schreiben, der die Sicherheitslücke ausnutzt, wodurch alle Unternehmen, die den Open-Source-Code nutzen, angreifbar werden.

Jede Organisation, bei der die interne Hierarchiestruktur auf Social Media oder der Unternehmenswebsite gepostet wird, ist anfällig für BEC. Denn ein Angreifer kann eine Liste an Accounts mit hohen Privilegien zusammenstellen und diese für Phishing, Social Engineering oder das Täuschen von Angestellten mit Hilfe falscher Rechnungen verwenden. Nach der Reconnaissance-Phase kann ein Angreifer sich als eine andere Person ausgeben, mit der er Angestellte täuscht und dazu bringt, Geld zu überweisen oder die Rechnungen zu bezahlen. In manchen Fällen besteht auch ein Risiko für die Lieferanten eines Unternehmens. Ein Angreifer kann den E-Mail-Account eines Lieferanten kompromittieren und nutzen, um gezielt Angestellte mit hohen Privilegien anzuschreiben.

Mehrere Angriffe aus dem echten Leben wurden bereits gegen die Lieferkette eingesetzt, sind der allgemeinen Öffentlichkeit jedoch nicht weiter bekannt, weil sie Entwickler und Unternehmen betreffen. In den Beispielen sind hauptsächlich Unternehmensadministratoren betroffen, denen die Aufgabe zufällt, Sicherheitslücken einzudämmen, zu entfernen und mit den Folgen umzugehen, die Lieferanten mit einem Lieferkettenangriff verursacht haben.

Einige echte Beispiele, bei denen große Unternehmen betroffen waren, sind:

• SolarWinds: 2020 schleusten Angreifer eine Hintertür in den Prozess ein, mit dem SolarWinds-Updates verbreitet werden, wodurch aus der Ferne auf die Produktionsserver von Unternehmen und Regierungsinstitutionen zugegriffen werden konnte.
• Kaseya: Hier infizierte die REvil-Ransomware MSP-Software, mit der tausende Kundenumgebungen verwaltet wurden, was zur Folge hatte, dass Angreifer 70 Millionen Dollar von MSP-Kunden forderten.
• Codecov: Angreifer infizierten den Codecov-Bash-Uploader und ließen diesen automatische Berichte an Kunden schicken. Die Skripte enthielten schädlichen Code, der es den Angreifern ermöglichte, Daten von Codecov-Servern abzuhören und zu stehlen.
• NotPetya: Bei NotPetya handelte es sich um Fake-Ransomware, die Nutzer aufforderte, eine Gebühr zu bezahlen; jedoch gab es keinen einzigen Fall, in dem ein Nutzer nach Zahlung des Lösegelds den privaten Schlüssel zur Entschlüsselung der Daten erhielt, sodass Opfer auf dem Verlust ihrer Daten sowie einem finanziellen Schaden sitzen blieben. Der Angriff begann, als eine ukrainische Aktualisierungsanwendung mit schädlichem Code infiziert wurde.
• British Airways: British Airways erlitt eine Datenverletzung, nachdem der Magecart-Lieferantenangriff ihr Transaktionssystem kompromittierte und sensible Informationen preisgab.
• Kommunale Wohnungsgenossenschaften: Angreifer spooften die Domain eines Händlers und verleiteten Non-Profit-Angestellte dazu, sensible Daten preiszugeben, die es den Angreifern ermöglichten, 1 Million Pfund an Mieten einzuheimsen.

Da Lieferkettenangriffe Entwickler und Hersteller außerhalb Ihrer Kontrolle betreffen, lassen sie sich sehr schwer stoppen. Eine vorausschauende Supply Chain Security ist deshalb unerlässlich. Sie sollten immer Code und Hardware prüfen, bevor Sie sie in Ihrer Infrastruktur installieren. Sicherheitsfachkräfte werden außerdem Penetration Testing für diese Komponenten durchführen, um sicherzugehen, dass sie keine unvorhergesehenen Sicherheitslücken aufweisen, die absichtlich in Ihr System eingeschleust oder aus Versehen eingeführt wurden.

Auch wenn Supply-Chain-Attacks außerhalb Ihrer Kontrolle liegen, können Sie trotzdem einige Strategien anwenden, mit denen Sie verhindern, zum nächsten Opfer zu werden. Diese Strategien sind:

• Richten Sie einen Honeypot ein: Ein Honeypot beinhaltet Fake-Daten, die jedoch aussehen wie sensible, wertvolle Daten. Der Honeypot funktioniert wie ein Stolperdraht, der Administratoren darüber alarmiert, dass ein System gerade angegriffen oder kompromittiert wird. Honeypots sollten so funktionieren und aussehen wie normale Systeme und Daten und sollten über Monitoring verfügen, damit Administratoren erkennen können, wie ein Angreifer in die Umgebung eindringen konnte.
• Begrenzen Sie die Zahl an privilegierten Accounts: Bei vielen Supply Chain Attacks bewegen sich Angreifer lateral durch das Netzwerk, nachdem sie einen Account mit hohen Berechtigungen kompromittiert haben. Indem Sie diese Art von Zugang nur wenigen Accounts vorbehalten und sicherstellen, dass Accounts nur auf Daten zugreifen können, die sie zur Erfüllung ihrer Aufgaben brauchen, begrenzen sie das Risiko.
• Weiterbildung des Personals: Es reduziert erwiesenermaßen Ihr Risiko, wenn Ihre Mitarbeiter darauf trainiert sind, die Bedeutung von Cybersicherheit zu verstehen und wissen, wie sie Insider-Bedrohungen erkennen und abwehren können. Security-Awareness-Training trägt dazu bei, dass Individuen bestimmte Praktiken zur Gewährleistung der Sicherheit einer Organisation verstehen und befolgen.
• Setzen Sie ein Identity-Access-Management-(IAM)-System ein: Ein IAM bietet ein zentralisiertes Dashboard, mit dem Administratoren über die gesamte Umgebung hinweg Datenzugriffe kontrollieren und Accounts erstellen sowie deaktivieren können. Der Vorteil hierbei ist, dass Administratoren Berechtigungen im Netzwerk besser verwalten und potenziellen Missbrauch erkennen können, da sie sich an einer Stelle befinden.
• Arbeiten Sie mit einer Zero-Trust-Architektur (ZTA): Statt authentifizierten Nutzern zu vertrauen, arbeitet eine Zero-Trust-Umgebung mit der Annahme, dass alle Anwendungen und Nutzer Angreifer sein könnten und verlangt eine nochmalige Autorisierung und Authentifizierung für jede Zugriffsanfrage auf Daten.
• Identifizieren Sie anfällige Ressourcen: Im Zuge einer Risikobewertung wird ein Experte alle Ressourcen im Netzwerk prüfen und identifizieren, welche am anfälligsten sind und das meiste Risiko darstellen. Administratoren können dann Cybersicherheitskontrollen priorisieren, sodass sie die riskanteste Infrastruktur und Ressourcen, die Angreifer besonders ins Visier nehmen könnten, verstärkt schützen.
• Minimieren Sie den Zugriff auf sensible Daten: Bei sensiblen Daten wie geistigem Eigentum und Geschäftsgeheimnissen müssen Organisationen den Zugriff auf Nutzer mit hohen Privilegien einschränken und sowohl erfolgreiche als auch erfolglose Zugriffsanfragen überwachen, um Kompromittierungen zu erkennen.
• Überwachen Sie den Zugriff durch Händler und Ressourcen: Drittanbieter stellen bei Lieferkettenangriffen das größte Risiko dar. Viele Anbieter sind sich nicht bewusst, dass sie ein Angriffsziel sein könnten und damit ein Risiko für Ihre Kunden sind, weshalb Zugänge und Installationen von Drittanbieter-Ressourcen auf Sicherheitslücken geprüft werden sollten.
• Wenden Sie strenge Schatten-IT-Regeln an: Schatten-IT-Ressourcen sind Geräte, denen die Berechtigung fehlt, auf das Netzwerk zuzugreifen, es aber trotzdem tun. Dieses Problem stellt ein Risiko dar, wenn die Organisation zusätzlich eine Bring-Your-Own-Device-(BYOD)-Richtlinie hat, die es Angestellten erlaubt, sich mit ihren eigenen Computern oder Mobilgeräten zu verbinden. Diese Geräte sollten engmaschig überwacht werden und Antivirensoftware installiert haben.
• Achten Sie auf Insider-Bedrohungen: Menschliche Fehler sind ein primärer Angriffsvektor für Phishing- und Social-Engineering-Bedrohungen. Ihre Risikoerhebung und -analyse sollte potenzielle Insider-Risiken und menschliche Fehlerquellen identifizieren, die zu einer schweren Datenverletzung oder Kompromittierung Ihres Systems führen können.
• Nutzen Sie E-Mail-Sicherheit, um gespoofte Absender abzuwehren: Ihre E-Mail-Server sollten gespoofte Absender davon abhalten, in den Posteingang Ihrer Nutzer zu gelangen, und Künstliche Intelligenz einsetzen, um gespoofte Domains und bekannte Angriffswebseiten zu blockieren.
• Trainieren Sie Angestellte, schädliche Nachrichten zu erkennen: Die Weiterbildung von Angestellten ist der Schlüssel zur Reduktion von menschlichen Fehlern. Simulierte Phishing-Angriffe versetzen Mitarbeiter in die Lage, Phishing-Angriffe und Social Engineering zu erkennen.
• Etablieren Sie Richtlinien für das Bezahlen von Rechnungen: Um falsche Rechnungen zu vermeiden, etablieren Sie feste Regeln, nach denen Sie Rechnungen validieren und Autorisierung einholen, bevor Geld überwiesen wird – egal, welches Bankkonto.

Um genau zu verstehen, wie und wo Ihre Organisation anfällig für Supply-Chain-Angriffe ist, müssen Sie als erstes eine sorgfältige Prüfung in Form einer internen Risikobewertung durchführen. Nach dem SolarWinds-Lieferkettenangriff ist vielen Organisationen bewusst geworden, wie wichtig Risikobewertungen sind, um die interne Umgebung vor äußeren Bedrohungen zu schützen.

Während einer Risikobewertung identifizieren spezielle Fachkräfte nicht nur Risiken, sondern helfen der Organisation auch, ihre Supply Chain Security gezielt zu verbessern. Das Eindämmen von Risiken involviert ordentliche Cybersicherheitskontrollen und eine Zero-Trust-Umgebung, um Bedrohungen effektiv zu stoppen. In vielen Fällen muss die Organisation ihre Autorisierungskontrollen und Nutzerberechtigungen neu ausrichten, um Risiken zu reduzieren.

Proofpoint-Mitarbeiter sind Experten in Supply-Chain-Attacks und kennen sich genauestens damit aus, welche Risiken diese Bedrohungen für den Schutz Ihrer Daten, Ihre Compliance und Cybersicherheitsmaßnahmen darstellen. Wir bieten weitreichende Dienstleistungen, um einen primären Angriffsvektor zu schützen – E-Mail. Wir schützen bereits die Lieferkette in mehreren Branchen wie dem Gesundheitswesen, Finanzdienstleistungen, Bildung, Industrie und mehr.