Was ist eine Supply-Chain-Attack?

Eine Supply Chain Attack (Lieferkettenangriff) ist eine sehr effektive Möglichkeit, durch das Einschleusen von schädlichen Bibliotheken oder Komponenten in ein Produkt Wissen des Entwicklers, Herstellers oder Endnutzers Sicherheitsbarrieren zu durchbrechen. Diese Methode ist sehr erfolgreich, wenn es darum geht, sensible Daten zu stehlen, Zugang zu hochsensiblen Umgebungen zu erlangen oder aus der Ferne die Kontrolle über spezifische Systeme zu übernehmen. Am anfälligsten sind große Software-Entwickler und Hardware-Händler, die ihr Endprodukt aus den Produkten von Zulieferern zusammenstellen.

Supply-Chain-Angriffe im technologischen Bereich konzentrieren sich auf Software-Verkäufer und Hardware-Hersteller. Angreifer suchen nach unsicherem Code, unsicheren Infrastrukturpraktiken und unsicheren Netzwerkprozessen, die es ihnen erlauben, schädliche Komponenten einzuschleusen. Wenn ein Herstellungsprozess von der Entwicklung (oder Produktion) bis zur Installation mehrere Schritte umfasst, hat ein Angreifer (oder eine Gruppe an Angreifern) mehrere Gelegenheiten, ihren eigenen schädlichen Code in das Endprodukt einzubringen.

Manche Hersteller, Verkäufer und Entwickler stellen Produkte zur Verfügung, die von tausenden Kunden genutzt werden. Wenn ein Angreifer es schafft, auch nur einen dieser Lieferanten zu kompromittieren, bekommt er potenziell Zugriff auf tausende ahnungslose Opfer. Dazu gehören Technologieunternehmen, Regierungen, externe Sicherheitsfirmen und mehr. Auf diese Weise verschafft ein Supply-Chain-Angriff Angreifern das Potential, auf eine Vielzahl kleine wie große Unternehmen zuzugreifen, statt nur eine einzelne Zielorganisation zu kompromittieren. So können sie still und unbemerkt große Mengen an Daten extrahieren.

Bei einem Hardware-Lieferkettenangriff kann es vorkommen, dass ein Hersteller einen schädlichen Microchip auf einer Leiterplatte verbaut, die dann wiederum genutzt wird, um Server und andere Netzwerkkomponenten herzustellen. Mithilfe dieses Chips können Angreifer Daten abhören oder Fernzugriff auf die Unternehmensinfrastruktur erlangen.

Im Falle eines Software-Lieferkettenangriffs kann ein Entwickler von Bibliotheken, der schädliche Absichten verfolgt, Code so ändern, dass dieser in der Anwendung des Kunden schädliche Aktionen ausführt. Die Bibliothek kann dann für Cryptojacking oder Datendiebstahl missbraucht werden, oder sie lässt eine Hintertür offen, mithilfe derer ein Angreifer in das Unternehmensnetzwerk eindringen kann.

In vielen der größten Supply-Chain-Bedrohungen ist E-Mail-Betrug der primäre Vektor, mit dem der Angriff beginnt. Business-E-Mail-Compromise funktioniert gut für Angreifer, die im Vorfeld die notwendige Recherchearbeit leisten und so viel wie möglich über ihre Zielorganisation in Erfahrung bringen. Denn dann können sie zielgerichtet E-Mails an wichtige Mitarbeiter schicken (z.B. in der Finanzabteilung) und diese anweisen, eine Rechnung zu bezahlen oder Geld zu überweisen. Die Absenderadresse sieht dann genauso aus wie die vom CEO oder Besitzer, und ist so geschrieben, dass sie dem Empfänger ein Gefühl der Dringlichkeit vermittelt. In manchen Szenarien kompromittiert der Angreifer den E-Mail-Account einer Führungskraft und nutzt diesen, um Phishing-E-Mails an Angestellte der gleichen Organisation zu versenden.

Jede Organisation, deren Infrastruktur auf Drittanbietern beruht, ist anfällig für Supply-Chain-Angriffe. Es gibt jedoch vier hauptsächliche Arten von Angriffen, die Sie kennen sollten. Die drei Arten von Supply-Chain-Angriffen sind:

• Physische Lieferkettenbedrohungen: Physische Lieferkettenbedrohungen erfordern in der Regel eine Kooperation mit Herstellern und Händlern, um Komponenten auf Leiterplatten zu bringen. Hersteller bekommen einen Designplan, an den sie sich halten müssen, um Komponenten zu bauen. Hat ein Hersteller schädliche Absichten, kann er einfach eine zusätzliche Komponente auf der Leiterplatten anbringen, die Daten abhört und an den Angreifer sendet.
• Software-Lieferkettenbedrohungen: Organisationen nutzen Softwareanbieter, um ihre Produkte im Netzwerk zu installieren und Funktionen wie das Monitoring von Servern und die täglichen Aufgaben der Nutzer zu ermöglichen. Anwendungen mit unbekannten Schachstellen ermöglichen es einem Bedrohungsakteur, zahlreiche Angriffe auf die Systeme der Organisation durchzuführen.
• Digitale Lieferkettenbedrohungen: Um die Entwicklungsdauer zu reduzieren, nutzen Softwareentwickler geläufige Drittanbieter-Bibliotheken, um bestimmte Funktionen in ihrer Anwendung auszuführen. Sollte der Entwickler einer solchen externen Bibliothek schädlichen Code in das Produkt einschleusen, macht sich jeder Softwarehersteller, der die infizierte Bibliothek nutzt, anfällig.
• Business-E-Mail-Compromise: Hierbei schickt ein Angreifer Nachrichten mit gefakten Rechnungen an Angestellte in der Finanzabteilung, um sie dazu zu bringen, sie zu bezahlen. Andere Angreifer könnten HR-Angestellte dazu verleiten, Arbeitslöhne auf das Konto des Angreifers zu zahlen, indem sie sich als ein Angestellter ausgeben. Falls ein Angreifer eine Unternehmens-E-Mail-Adresse gehackt hat, kann er sich in bestehende Gespräche einklinken und die Empfänger dazu bringen, sensible Daten herauszugeben oder Geld an ein vom Angreifer kontrolliertes Konto zu überweisen.

Viele Organisationen sind sich nicht bewusst, wie eine Supply-Chain-Attack funktioniert, sodass sie auch nicht wissen, wie sie sich verhalten sollen, wenn sie Opfer eines solchen Angriffs werden. Die Auswirkungen eines Lieferkettenangriffs können für Einnahmen, Reputation und Lieferantenbeziehungen eines Unternehmens verheerend sein.

Die drei größten Auswirkungen von Supply-Chain-Angriffen sind:

• Datenverletzungen und Veröffentlichung von Unternehmensdaten: In vielen Supply-Chain-Angriffen, insbesondere bei Hardware-Angriffen, hört der schädliche Code Daten ab und schickt diese an einen vom Angreifer kontrollierten Server. Jegliche Daten, die durch ein infiziertes System gehen, können verletzt werden. Das betrifft auch das Stehlen von Zugangsdaten zu Accounts mit hohen Berechtigungen für spätere Angriffe.
• Installation von Malware: Schädlicher Code innerhalb einer Anwendung kann genutzt werden, um Malware herunterzuladen und auf dem Unternehmensnetzwerk zu installieren. Ransomware, Rootkits, Keylogger, Viren und andere Malware kann im Rahmen eines Lieferkettenangriffs über eingeschleusten Code installiert werden.
• Finanzielle Verluste: Falls ein Angestellter getäuscht wird und Geld an ein Bankkonto überweist oder betrügerische Rechnungen begleicht, entsteht der betroffenen Organisation mitunter ein Schaden in Millionenhöhe.

Jeder Verkäufer, der für sein Produkt Drittanbieter nutzt, ist anfällig für Lieferkettenangriffe. In allgemeinen Angriffen konzentrieren sich Bedrohungsakteure auf ein beliebiges Angriffsziel, nicht ein spezifisches Unternehmen. In fortschrittlichen Angriffen konzentrieren sich Angreifer jedoch auf Regierungsinstitutionen oder große Organisationen, die Milliarden wert sind. Bei Angriffen, die von einer Regierung in Auftrag gegeben wurden, nimmt ein Angreifer Regierungen und deren Infrastruktur ins Visier. Diese Angriffe können Leben kosten, wenn die Malware kritische Systeme zum Absturz bringt.

Sicherheitsanbieter sind perfekte Ziele. Denn Organisationen müssen Sicherheitsanbietern vertrauen, ihre Daten und Reputation zu schützen. Indem sie heimlich schädlichen Code in die Software und Kontrollen von externen Sicherheitsanbietern einschleusen, können Angreifer im Stillen Daten aus großen Unternehmensnetzwerken extrahieren und an ein von ihnen kontrolliertes Netzwerk schicken. Bei den Daten, die anfällig für solche Angriffe sind, handelt es sich um Finanzdaten, personenbezogene Daten, Patientenakten oder Mitarbeiterinformationen.

Ein Managed-Server-Provider (MSP) ist ein weiteres häufiges Angriffsziel. Diese Unternehmen unterstützen die Infrastruktur von Organisationen und setzen dazu Monitoring-Systeme ein. Zugriff auf einen MSP zu haben, gibt einem Angreifer Zugang zu MSP-Zugangsdaten und damit zur Infrastruktur des Kunden. Eine weitere Option für den Angreifer ist es, Kreditkartennummern von Zahlungsdashboards und Kundenservice-Systemen zu stehlen.

Open Source eignet sich zwar bestens zur Zusammenarbeit zwischen Entwicklern, um gemeinsam ihren Code zu verbessern. Wenn andere Entwickler zur Codebasis beitragen, sollte der Code auf Sicherheitsprobleme geprüft werden. Denn Sicherheitsprobleme könnten absichtlich oder unabsichtlich in der Codebasis landen. Da die meisten Open-Source-Projekte für andere Entwickler öffentlich einsehbar sind, kann es vorkommen, dass ein Angreifer eine Sicherheitslücke erkennt, bevor es jemand mit hilfreichen Absichten tut. Der Angreifer kann dann Code schreiben, der die Sicherheitslücke ausnutzt, wodurch alle Unternehmen, die den Open-Source-Code nutzen, angreifbar werden.

Jede Organisation, bei der die interne Hierarchiestruktur auf Social Media oder der Unternehmenswebsite gepostet wird, ist anfällig für BEC. Denn ein Angreifer kann eine Liste an Accounts mit hohen Privilegien zusammenstellen und diese für Phishing, Social Engineering oder das Täuschen von Angestellten mithilfe falscher Rechnungen verwenden. Nach der Reconnaissance-Phase kann ein Angreifer sich als eine andere Person ausgeben, mit der er Angestellte täuscht und dazu bringt, Geld zu überweisen oder die Rechnungen zu bezahlen. In manchen Fällen besteht auch ein Risiko für die Lieferanten eines Unternehmens. Ein Angreifer kann den E-Mail-Account eines Lieferanten kompromittieren und nutzen, um gezielt Angestellte mit hohen Privilegien anzuschreiben.

Mehrere Angriffe aus dem echten Leben wurden bereits gegen die Lieferkette eingesetzt, sind der allgemeinen Öffentlichkeit jedoch nicht weiter bekannt, weil sie Entwickler und Unternehmen betreffen. In den Beispielen sind hauptsächlich Unternehmensadministratoren betroffen, denen die Aufgabe zufällt, Sicherheitslücken einzudämmen, zu entfernen und mit den Folgen umzugehen, die Lieferanten mit einem Lieferkettenangriff verursacht haben.

Einige echte Beispiele, bei denen große Unternehmen betroffen waren, sind:

• SolarWinds: 2020 schleusten Angreifer eine Hintertür in den Prozess ein, mit dem SolarWinds-Updates verbreitet werden, wodurch aus der Ferne auf die Produktionsserver von Unternehmen und Regierungsinstitutionen zugriffen werden konnte.
• Kaseya: Hier infizierte die REvil-Ransomware MSP-Software, mit der tausende Kundenumgebungen verwaltet wurden, was zur Folge hatte, dass Angreifer 70 Millionen Dollar von MSP-Kunden forderten.
• Codecov: Angreifer infizierten den Codecov-Bash-Uploader und ließen diesen automatische Berichte an Kunden schicken. Die Skripte enthielten schädlichen Code, der es den Angreifern ermöglichte, Daten von Codecov-Servern abzuhören und zu stehlen.
• NotPetya: Bei NotPetya handelte es sich um Fake-Ransomware, die Nutzer aufforderte, eine Gebühr zu bezahlen; jedoch gab es keinen einzigen Fall, in dem ein Nutzer nach Zahlung des Lösegelds den privaten Schlüssel zur Entschlüsselung der Daten erhielt, sodass Opfer auf dem Verlust ihrer Daten sowie einem finanziellen Schaden sitzen blieben. Der Angriff begann, als eine ukrainische Aktualisierungsanwendung mit schädlichem Code infiziert wurde.
• British Airways: British Airways erlitt eine Datenverletzung, nachdem der Magecart-Lieferantenangriff ihr Transaktionssystem kompromittierte und sensible Informationen preisgab.
• Kommunale Wohnungsgenossenschaften: Angreifer spooften die Domain eines Händlers und verleiteten Non-Profit-Angestellte dazu, sensible Daten preiszugeben, die es den Angreifern ermöglichten, 1 Million Pfund an Mieten einzuheimsen.

Da Lieferkettenangriffe Entwickler und Hersteller außerhalb Ihrer Kontrolle betreffen, lassen sie sich sehr schwer stoppen. Sie sollten jedoch immer Code und Hardware prüfen, bevor Sie sie in Ihrer Infrastruktur installieren. Sicherheitsfachkräfte werden außerdem Penetration Testing für diese Komponenten durchführen, um sicherzugehen, dass sie keine unvorhergesehenen Sicherheitslücken aufweisen, die absichtlich in Ihr System eingeschleust oder aus Versehen eingeführt wurden.

Auch wenn Supply-Chain-Attacks außerhalb Ihrer Kontrolle liegen, können Sie trotzdem einige Strategien anwenden, mit denen Sie verhindern, zum nächsten Opfer zu werden. Diese Strategien sind:

• Richten Sie einen Honeypot ein: Ein Honeypot beeinhaltet Fake-Daten, die jedoch aussehen wie sensible, wertvolle Daten. Der Honeypot funktioniert wie ein Stolperdraht, der Administratoren darüber alarmiert, dass ein System gerade angegriffen oder kompromittiert wird. Honeypots sollten so funktionieren und aussehen wie normale Systeme und Daten und sollten über Monitoring verfügen, damit Administratoren erkennen können, wie ein Angreifer in die Umgebung eindringen konnte.
• Begrenzen Sie die Zahl an privilegierten Accounts: Bei vielen Supply-Chain-Attacks bewegen sich Angreifer lateral durch das Netzwerk, nachdem sie einen Account mit hohen Berechtigungen kompromittiert haben. Indem Sie diese Art von Zugang nur wenigen Accounts vorbehalten und sicherstellen, dass Accounts nur auf Daten zugreifen können, die sie zur Erfüllung ihrer Aufgaben brauchen, begrenzen sie das Risiko.
• Weiterbildung des Personals: Es reduziert erwiesenermaßen Ihr Risiko, wenn Ihre Mitarbeiter darauf trainiert sind, die Bedeutung von Cybersicherheit zu verstehen und wissen, wie sie Insider-Bedrohungen erkennen und abwehren können. Security-Awareness-Training trägt dazu bei, dass Individuen bestimmte Praktiken zur Gewährleistung der Sicherheit einer Organisation verstehen und befolgen.
• Setzen Sie ein Identity-Access-Management-(IAM)-System ein: Ein IAM bietet ein zentralisiertes Dashboard, mit dem Administratoren über die gesamte Umgebung hinweg Datenzugriffe kontrollieren und Accounts erstellen sowie deaktivieren können. Der Vorteil hierbei ist, dass Administratoren Berechtigungen im Netzwerk besser verwalten und potenziellen Missbrauch erkennen können, da sie sich an einer Stelle befinden.
• Arbeiten Sie mit einer Zero-Trust-Architektur (ZTA): Statt authentifizierten Nutzern zu vertrauen, arbeitet eine Zero-Trust-Umgebung mit der Annahme, dass alle Anwendungen und Nutzer Angreifer sein könnten und verlangt eine nochmalige Autorisierung und Authentifizierung für jede Zugriffsanfrage auf Daten.
• Identifizieren Sie anfällige Ressourcen: Im Zuge einer Risikobewertung wird ein Experte alle Ressourcen im Netzwerk prüfen und identifizieren, welche am anfälligsten sind und das meiste Risiko darstellen. Administratoren können dann Cybersicherheitskontrollen priorisieren, sodass sie die riskanteste Infrastruktur und Ressourcen, die Angreifer besonders ins Visier nehmen könnten, verstärkt schützen.
• Minimieren Sie den Zugriff auf sensible Daten: Bei sensiblen Daten wie geistigem Eigentum und Geschäftsgeheimnissen müssen Organisationen den Zugriff auf Nutzer mit hohen Privilegien einschränken und sowohl erfolgreiche als auch erfolglose Zugriffsanfragen überwachen, um Kompromittierungen zu erkennen.
• Überwachen Sie den Zugriff durch Händler und Ressourcen: Drittanbieter stellen bei Lieferkettenangriffen das größte Risiko dar. Viele Anbieter sind sich nicht bewusst, dass sie ein Angriffsziel sein könnten und damit ein Risiko für Ihre Kunden sind, weshalb Zugänge und Installationen von Drittanbieter-Ressourcen auf Sicherheitslücken geprüft werden sollten.
• Wenden Sie strenge Schatten-IT-Regeln an: Schatten-IT-Ressourcen sind Geräte, denen die Berechtigung fehlt, auf das Netzwerk zuzugreifen, es aber trotzdem tun. Dieses Problem stellt ein Risiko dar, wenn die Organisation zusätzlich eine Bring-Your-Own-Device-(BYOD)-Richtlinie hat, die es Angestellten erlaubt, sich mit ihren eigenen Computern oder Mobilgeräten zu verbinden. Diese Geräte sollten engmaschig überwacht werden und Antivirensoftware installiert haben.
• Achten Sie auf Insider-Bedrohungen: Menschliche Fehler sind ein primärer Angriffsvektor für Phishing- und Social-Engineering-Bedrohungen. Ihre Risikoerhebung und -analyse sollte potenzielle Insider-Risiken und menschliche Fehlerquellen identifizieren, die zu einer schweren Datenverletzung oder Kompromittierung Ihres Systems führen können.
• Nutzen Sie E-Mail-Sicherheit, um gespoofte Absender abzuwehren: Ihre E-Mail-Server sollten gespoofte Absender davon abhalten, in den Posteingang Ihrer Nutzer zu gelangen, und Künstliche Intelligenz einsetzen, um gespoofte Domains und bekannte Angriffswebseiten zu blockieren.
• Trainieren Sie Angestellte, schädliche Nachrichten zu erkennen: Die Weiterbildung von Angestellten ist der Schlüssel zur Reduktion von menschlichen Fehlern. Simulierte Phishing-Angriffe versetzen Mitarbeiter in die Lage, Phishing-Angriffe und Social Engineering zu erkennen.
• Etablieren Sie Richtlinien für das Bezahlen von Rechnungen: Um falsche Rechnungen zu vermeiden, etablieren Sie feste Regeln, nach denen Sie Rechnungen validieren und Autorisierung einholen, bevor Geld überwiesen wird – egal an welches Bankkonto.

Um genau zu verstehen, wie und wo Ihre Organisation anfällig für Supply-Chain-Angriffe ist, müssen Sie als erstes eine sorgfältige Prüfung in Form einer internen Risikobewertung durchführen. Nach dem SolarWinds-Lieferkettenangriff ist vielen Organisationen bewusst geworden, wie wichtig Risikobewertungen sind, um die interne Umgebung vor äußeren Bedrohungen zu schützen.

Während einer Risikobewertung identifizieren spezielle Fachkräfte nicht nur Risiken, sondern helfen der Organisation auch, diese zu reduzieren. Das Eindämmen von Risiken involviert ordentliche Cybersicherheitskontrollen und eine Zero-Trust-Umgebung, um Bedrohungen effektiv zu stoppen. In vielen Fällen muss die Organisation ihre Autorisierungskontrollen und Nutzerberechtigungen neu ausrichten, um Risiken zu reduzieren.

Proofpoint-Mitarbeiter sind Experten in Supply-Chain-Attacks und kennen sich genauestens damit aus, welche Risiken diese Bedrohungen für den Schutz Ihrer Daten, Ihre Compliance und Cybersicherheitsmaßnahmen darstellen. Wir bieten weitreichende Dienstleistungen, um einen primären Angriffsvektor zu schützen – E-Mail. Wir schützen bereits die Lieferkette in mehreren Branchen wie dem Gesundheitswesen, Finanzdienstleistungen, Bildung, Industrie und mehr.