Angriffe über die eigene Lieferkette: Wie schützt man sich vor gehackten Partnern?

Bei Supply Chain Attacken oder Lieferkettenangriffen werden nicht nur einzelne Unternehmen, sondern auch beängstigend oft ihre Lieferketten, zum Beispiel Kooperations-, oder Handelspartner ins Visier genommen. Sie dringen so meist unbemerkt in die vermeintlich geschützte Software Ihrer eigenen Firma ein. Dabei nutzen Cyberkriminelle die Schwachstellen in der Lieferkette, um Systeme zu infiltrieren oder Schadsoftware in ein Unternehmen zu schleusen. Dadurch kann auch die Lieferkette unterbrochen werden und es kommt zu Versorgungslücken.

Wie funktionieren Supply-Chain-Angriffe?

Besonders stark angegriffen werden Logistik- und Pharmaunternehmen sowie die Lebensmittel-, Energie- und Technologiesektoren. Gemäss der Agentur der Europäischen Union für Cybersicherheit ENISA stellen vor allem Managed Service Provider lukrative Ziele für Cyberkriminelle dar. Mit besonders drastischen Folgen dienen auch Software-Lieferketten als Einstiegstor in die Unternehmensnetzwerke.

Für einen derartigen Angriff gehen Täter oft nach einem bestimmten Muster vor, indem sie nach nach Schwachstellen in der Lieferkette eines Unternehmens suchen. Beispielsweise nach mit dem Unternehmen kooperierenden Dienstleistern oder Lieferanten, deren Informationssicherheit nicht all zu hoch ist. Um Zugang zum eigentlichen Ziel des Angriffs zu erhalten, nutzen Cyberkriminelle beispielsweise auch technische Sicherheitsmängel in den Systemen des Dienstleisters. Eine einzige Schwachstelle reicht aus, um das Netzwerk zu infiltrieren. Häufig bleibt der unerlaubte Zugriff wochen-, monate- oder gar jahrelang unbemerkt.

Oft werden die Beschäftigten des Lieferanten oder Dienstleisters, beispielsweise mit Phishing-Mails, gefälschten Apps oder Fake-Websites ins Visier genommen. Mittels Social-Engineerings können Menschen zu sicherheitskritischen Handlungen verführt werden. Angreifende ermöglicht es damit im Namen von Dienstleistern E-Mails oder gefälschte Update-Aufforderungen zu verschicken, über welche Schadsoftware geladen wird, ohne dass das Unternehmen Verdacht schöpft.

Laut Nationalem Zentrum für Cybersicherheit NCSC können Angriffe auf die Lieferkette weitreichende Probleme in der ganzen Supply Chain bringen und sogar zu einem Produktionsstopp führen. International grosse Schlagzeilen machte der Supply Chain-Angriff auf das Softwareunternehmen Kaseya Mitte 2021. Dahinter soll die Ransomewaregruppe Revil stehen, die von den einzelnen Managed-Service-Anbietern fünf Millionen US-Dollar forderte. 

Kettenreaktionen und Attacken – meist ist der Mensch schuld

Ein Angriff auf einen einzelnen Lieferanten kann eine Kettenreaktion auslösen, welche ein komplettes Netzwerk von Anbietern und damit die Wertschöpfungskette gefährdet, so infoGuard. Über die, in den letzten Jahren rasant zunehmenden Supply-Chain-Attacken, schreibt auch der Versicherungskonzern Allianz in seinem «Cyber Report 2021». Viele Angriffe zielen dabei nicht auf die Technik, sondern auf Menschen, ist im Whitepaper zum Thema Supply Chain von der deutschen Next-Generation Security-Awareness-Plattform SoSafe zu lesen.

Der «Data Breach Investigation Report 2022» von Verizon nennt die hohe Zahl von 82 Prozent der Mitarbeitenden, die beispielsweise einfache Bedienfehler tätigen. Die Angriffe können auch über ausgereifte Social-Engineering-Techniken wie Spear-Phishing-Mails erfolgen. Eine weitere Möglichkeit ist das Vishing, wo Stimmen technisch manipuliert werden, um Opfer in Gesprächen aufs Glatteis zu führen. Dabei steht die emotionale Manipulation der Opfer, aber besonders gefährlich, auch die virtuellen Kontakte der Betroffenen im Mittelpunkt.

Wichtig: Cyber-Security-Awareness-Training für Firmen

Mit 82 Prozent verschuldet der Faktor Mensch mögliche Lieferkettenangriffe. Allein mittels Cyber-Security-Awareness-Training mit Übungen, Schulungen und realitätsnahen Simulationen werden Mitarbeitende darauf geschult, worauf sie besonders achten müssen. Anhand einer umfassenden Sicherheitskultur verfügen Mitarbeitende im Notfall über das notwendige Wissen und Können, um mit Cybergefahren umzugehen. Mithilfe solcher Schulungsmassnahmen lassen sich, laut SoSafe, Cyberrisiken um bis zu 90 Prozent senken, ohne dass die Prämien für Cyberversicherungen ins Unermessliche steigen.

Binci Heeb

Lesen Sie auch: Cyberkriminalität immer professioneller