Angesichts eines Anstiegs von Angriffen auf Lieferketten sind Least Privilege Access Policy, Netzwerksegmentierung, DevSecOps-Praktiken und automatisierte Bedrohungsabwehr die Eckpfeiler für die Sicherheit eines Unternehmens geworden. Lothar Geuenich, Regional Director Central Europe/DACH bei Check Point beschreibt, wie Cyber-Kriminelle das Vertrauen zwischen den Unternehmen ausnutzen.
In den letzten Jahren war die Lieferkette eines der Hauptziele von Cyber-Kriminellen. Grund dafür war vor allem die Umstellung der Arbeitswelt wegen der Pandemie-Maßnahmen. Fernarbeit und Cloud-Nutzung nahmen rasch zu, obwohl viele Firmen nicht gut vorbereitet waren. Infolgedessen sind die Sicherheitskräfte überfordert und nicht in der Lage, mit den Bedrohungen Schritt zu halten.
Laut unserem Sicherheitsbericht 2022 ist die Zahl der Angriffe auf die Lieferkette im Jahr 2021 im Vergleich zum Vorjahr um 650 Prozent gestiegen. Ein viel beachteter Angriff aus dem letzten Jahr ist die SolarWinds-Attacke, als sich eine Gruppe von Verbrechern den Zugang zur Produktionsumgebung von SolarWinds verschaffte und eine Hintertür in Updates für das Produkt zur Netzwerküberwachung, Orion, einbaute. Bei den Kunden, die das bösartige Update verwendeten, kam es zu Datendiebstahl und anderen Sicherheitsproblemen.
Ein weiteres Beispiel war die REvil-Ransomware-Bande, die Kaseya mißbrauchte, ein Software-Unternehmen, das Software für Managed Service Provider (MSP) anbietet. Die Kriminellen konnten mehr als 1000 Kaseya-Kunden mit Ransomware infizieren. Sie gingen so weit, dass sie ein Lösegeld in Höhe von 70 Millionen US-Dollar für die Bereitstellung von Entschlüsselungsschlüsseln für alle betroffenen Benutzer forderten.
Wie aber funktioniert ein Angriff über die Lieferkette?
Es werden die vertrauensvollen Beziehungen zwischen verschiedenen Organisationen ausgenutzt, weil auf der Hand liegt, dass alle Unternehmen ein gewisses Maß an Vertrauen in andere Unternehmen setzen, deren Software sie in ihren Netzwerken installieren und verwenden oder mit denen sie als Zulieferer zusammenarbeiten.
Diese Art von Bedrohung zielt somit auf das schwächste Glied in einer Vertrauenskette ab. Wenn ein Unternehmen über eine starke IT-Abwehr verfügt, aber einen unsicheren, dennoch vertrauenswürdigen Lieferanten beschäftigt, werden Cyber-Kriminelle ihn ins Visier nehmen. Wenn sie im Netzwerk dieses Anbieters dann Fuß gefasst haben, können die Hacker über diese Verbindung in das sicherere Netzwerk des Unternehmens eindringen.
Ein Angriff auf die Lieferkette zielt darum häufig auf Managed Service Provider (MSP), da sie umfassenden Zugang zu den Netzwerken ihrer Kunden besitzen. So können die Hacker sich Zugang zu Bereichen verschaffen, die auf direktem Wege viel schwieriger zu erreichen wären - danach stehen alle Angriffsarten zur Verfügung, ob Datenmißbrauch, Datendiebstahl, Spionage oder Ransomware.
So wurden beispielsweise durch den SolarWinds-Hack die sensiblen Daten mehrerer öffentlicher und privater Organisationen freigelegt. Ebenso sind Malware-Angriffe zu beachten. Hacker nutzen häufig Schwachstellen in der Lieferkette aus, um Malware in das Zielunternehmen zu schleusen. Bei SolarWinds wurde auf diese Weise eine bösartige Backdoor eingebaut, und der Angriff auf Kaseya führte zu Ransomware.
Trotz der Gefahr, die von diesen Attacken ausgeht, gibt es Techniken, mit denen sich ein Unternehmen schützen kann.
- Implementieren Sie eine Least Privilege Policy. Viele Unternehmen erteilen ihren Mitarbeitern, Partnern und deren Software übermäßige Zugriffsrechte und Berechtigungen. Dies erleichtert Angriffe auf die Lieferkette. Daher ist es unerlässlich, eine Least Privilege Policy einzuführen und jedem Mitarbeiter im Unternehmen sowie der Software selbst nur die Berechtigungen zu erteilen, die für die Arbeit notwendig sind.
- Segmentieren Sie das Netzwerk. Software von Dritt-Anbietern und Partnern benötigen keinen uneingeschränkten Zugriff auf jeden Winkel des Unternehmensnetzwerks. Um jegliches Risiko zu vermeiden, sollte das Netzwerk durch Netzwerksegmentierung in Zonen unterteilt werden, die auf verschiedenen Geschäftsfunktionen basieren. Auf diese Weise bleibt der Rest des Netzwerks geschützt, wenn ein Angriff auf die Lieferkette einen Teil des Netzwerks beeinträchtigt und der Angreifer im Segment eingesperrt.
- Wenden Sie DevSecOps-Praktiken an. Die Integration von Sicherheitsaspekten in den Entwicklungszyklus macht es möglich, zu erkennen, ob Software (wie die Orion-Updates) böswillig verändert wurde und somit verseucht sind.
- Führen Sie eine automatisierte Bedrohungsabwehr ein. Fachkräfte in einem Security Operations Centre (SOC) müssen die Kunden vor Angriffen in allen Unternehmensumgebungen schützen, einschließlich deren Endpunkte, Cloud-Umgebungen und mobile Geräte.
Diese Schritte zu beherzigen, das lohnt sich auch finanziell, denn: Die Kosten für Ransomware-Schäden und deren Beseitigung können in die Millionen gehen. Daher sollte das alte, deutsche Sprichwort gelten: Vorbeugen ist besser als Nachsorge – und zur guten Vorsorge gehört die Implementierung einer umfassenden IT-Sicherheitsarchitektur, die verschiedene Sicherheitslösungen vereint und die IT-Abwehr konsolidiert.
Damit entsteht Ordnung statt eines Sammelsuriums aus verschiedenen Komponenten unterschiedlicher Hersteller, die oft schlecht aufeinander abgestimmt sind. Sich nebenbei eine Sicherheitsstrategie als Plan zurecht zu legen und einen Notfallplan durchzusprechen, ist ebenfalls sehr empfehlenswert.