Cyber-Kriminelle nutzen das Vertrauensverhältnis von Lieferant und Kunde aus. Weil damit selbst der IT-Dienstleister zum Risiko werden kann, wird die Abwehr solcher „Supply-Chain“-Attacken schwierig.
Ob die 70 Millionen Dollar, die die in Russland vermutete Hackergruppe REvil mit der Kaperung des IT-Dienstleisters Kaseya erpressen wollte, gezahlt worden sind, ist bislang ungewiss. Denn urplötzlich sind Website und sonstige Aktivitäten von REvil „offline“ gegangen. Immerhin: Kaseya hat inzwischen den “Schlüssel” erhalten, mit dem die Unternehmen wieder Zugriff auf ihre Daten bekommen. Was dahinter steckt, darüber kann bisher nur spekuliert werden. Sicher ist jedoch: Das Problem mit Hackern, die gezielt die Supply Chain von Unternehmen angreifen, wird damit nicht verschwinden. Im Gegenteil: Obwohl die Strategie nicht neu ist, wird sie immer öfter eingesetzt. Allein REvil hat in diesem Jahr eine Handvoll großer Unternehmen angegriffen, darunter den IT-Hersteller Asus, den Fleischkonzern JBS oder die Harris Foundation. Der jüngste Großangriff auf Kaseya ist dabei besonders perfide.
Denn Kaseya selbst ist Zulieferer vieler anderer IT-Dienstleister für operative Unternehmen. Darum ist nicht nur Kaseya selbst betroffen, sondern auch die Kunden und die Kunden der Kunden. Insgesamt wird die Anzahl der Geschädigten auf 800 bis 2.000 Unternehmen geschätzt. Ein Super-Gau, der unter anderem in der zeitweiligen Schließung der schwedischen Supermarktkette Coop resultierte. Zugriff auf die eigenen Daten gibt es erst dann wieder, wenn die Erpressungssumme gezahlt worden ist. Besonders gefährdet sind Unternehmen, die über die finanziellen Mittel verfügen, dass sich eine Erpressung auch lohnt. Dabei geht es den Angreifern nicht immer um Erpressungsgelder. Auch Wirtschaftsspionage ist ein häufiges Motiv; kein Wunder, dass Deutschlands Unternehmen besonders im Fadenkreuz der Kriminellen stehen.
Dabei arbeiten sich die Angreifer teils systematisch durch die gesamte Supply-Chain, bis sie ihr wahres Ziel erreicht haben. Von „Island Hopping“ sprechen Experten – von Zulieferer zu Zulieferer hüpfen die Kriminellen vorwärts. Das ist gerade bei besonders sensiblen Unternehmen wie Finanzdienstleistern oder Innovationsmarktführern offenbar die zielführendere Variante als der direkte Angriff von außen und deutlich effizienter für den Angreifer, weil er gleich mehrere Ziele parallel ins Visier nehmen kann.
Bei einem Supply-Chain-Angriff wird der Softwarecode oder eine Anwendung, die von einem Dritten – dem Zulieferer – entwickelt wurde, kompromittiert. Durch den Einsatz (und oftmals durch entsprechende Updates) der Software gelangt der manipulierte Code in die IT des Unternehmens, denn der Kunde vertraut in der Regel seinem Zulieferer und prüft die Updates oder Zugriffe auf die eigene IT entsprechend weniger. Ist der Schad-Code einmal in der eigenen Unternehmens-IT, kann er entsprechend Systeme lahmlegen oder Daten ausspionieren. Schon Mitte letzten Jahres gaben 80 Prozent der vom US-amerikanischen Security-Dienstleister BlueVoyant befragten Unternehmen an, bereits Opfer eines Supply-Chain-Angriffs geworden zu sein.
Weil viele Mittelständler Schwierigkeiten haben, eigene IT-Fachkräfte anzuwerben, lagern sie selbst zentrale IT-Funktionen an entsprechende Spezialisten aus. Diese externen Dienstleister müssen, um ihre Arbeit überhaupt erledigen zu können, umfassende Zugriffsrechte auf die Unternehmens-IT erhalten. Das gilt allerdings nicht nur für IT-Dienstleister, sondern auch für fast jeden Austausch von Daten und Software zwischen Lieferanten und Kunden. Auch die Buchhaltungssoftware muss regelmäßig aktualisiert werden – der Nutzer selbst hat aber kaum eine Möglichkeit zu erkennen, dass in Wirklichkeit die korrekte Software durch Schadsoftware ausgetauscht worden ist. Updates aus der Ferne sind ein beinahe täglicher Vorgang in Zeiten des Cloud Computings. Da der Absender vertrauenswürdig ist, hat die IT-Sicherheit entsprechende Öffnungen im Abwehrwall gelassen. Einem Bericht von eSecurity Planet zufolge hatten schon 2017 durchschnittlich 181 unterschiedliche Lieferanten Zugriff auf das Netzwerk eines Kunden. Doch selbst die IT eines Unternehmens hat meist keinen vollständigen Überblick, wer eigentlich alles von extern zugreifen kann. Kein Wunder bei den Relationen: Bei jedem vierten kleinen und mittleren Unternehmen soll in einer normalen Woche so viele externe Lieferanten auf das Netzwerk zugreifen wie die Unternehmen Mitarbeiter haben.
Doch gegen Einschleusen von Schadsoftware via Zulieferer ist die IT bemerkenswert wenig geschützt. In einer Umfrage des IT-Security-Spezialisten BlueVoyant 2020 haben 80 Prozent der Befragten angegeben, in den vergangenen zwölf Monaten bereits Opfer eines Sicherheitsdurchbruchs via Zulieferer geworden zu sein. Aber nur 2 Prozent der Unternehmen verfolgen mindestens täglich, welche Lieferanten aufs eigene Netzwerk zugreifen. Mehr als jedes dritte Unternehmen hingegen prüft höchstens zwei Mal im Jahr, wer eigentlich noch Zugriff hat. Die Folge: Fast jedes dritte Unternehmen erkennt nicht einmal, ob es ein Problem gibt. Immerhin, auch das ein Ergebnis der BlueVoyant-Befragung, steigen die Budgets.
Doch noch herrscht große Unsicherheit, welche Strategie zur Bekämpfung dieser Einfallrisiken am besten ist – und womit die Unternehmen anfangen sollten. So gibt es eine breite Mischung an Vorgehensweisen, vom Lieferanten-Risikomanagement über externe Berater, Vor-Ort-Audits bis hin zu Fragebögen. Mit bislang ernüchternden Ergebnissen. Das liegt nicht zuletzt auch daran, dass bei aufgetretenen Problemen ein großer Teil der betroffenen Unternehmen die Aufgabe, das Sicherheitsproblem zu beseitigen, an den Lieferanten übergeben wird. Laut BlueVoyant informieren 36 Prozent der Befragten den Lieferanten und hoffen darauf, dass er das Problem löse. Ähnlich viele Unternehmen verlassen sich darauf, dass er schon für die angemessene Sicherheit sorge. Angesichts angespannter IT-Ressourcen im eigenen Hause ist der Ansatz, das Problem an Dritte zurückzugeben, allerdings nicht überraschend. Hinzu kommen interne Zuständigkeitsfragen – in manchen Unternehmen fühlt sich niemand für das Thema Cyber-Security bei Lieferanten zuständig, in anderen sind es gleich mehrere, unterschiedliche Funktionsträger.
„Mitte 2020 haben 80 Prozent der Befragten angegeben, in den vergangenen zwölf Monaten bereits Opfer eines Sicherheitsdurchbruchs via Zulieferer geworden zu sein.“
BlueVoyant-Studie
Nicht nur Cloud Computing, auch die höhere Innovationsgeschwindigkeit führt zu häufigeren Updates (bei denen vielfach auch neue Sicherheitslücken geschlossen werden sollen) und damit externen Zugriffen. In der Produktion wird zudem die Entwicklung der Industrie 4.0 den Austausch innerhalb der Supply Chain intensivieren. Dabei wird nicht nur das Schreckensszenario wildgewordener, weil fremdgesteuerter Roboter mit entsprechender Gefährdung von Arbeitern in der Produktion wahrscheinlicher, wie bereits der Stuxnet-Angriff gezeigt hatte. Selbst relativ kleine Elemente in der Supply Chain können ganze Unternehmen lahmlegen. Die bisherigen Risikoanalysen von Lieferanten – können sie ihre Vorprodukte zuverlässig liefern? – müssen um die Cyber-Security-Komponente erweitert werden. Keine einfache Aufgabe, wenn die IT-Kompetenz dazu nicht im Hause vorhanden ist. Und vor allem, wenn selbst die Security-Spezialisten selbst vielleicht zum Risiko werden könnten. Siehe Kaseya. Sogar quelloffene Software, die also transparenten Blick in den Programmier-Code gewährt, scheint vor den Angreifern nicht sicher zu sein – denn diese verschleiern ihre Schadsoftware beispielsweise mit skurrilen Dateiformaten, die niemand genau überprüft.
Nur: Wem können Unternehmen dann noch vertrauen? Und wie sich wehren? Die Empfehlungen der Sicherheits-Spezialisten reichen vom Naheliegenden wie Schulungen der Mitarbeiter bis zum Einsatz von Künstlicher Intelligenz. Microsoft beispielsweise empfiehlt, alle Sicherheits-Updates sofort zu installieren, digitale Signaturen und für den Notfall die Definition eines Prozesses, wie auf eine Sicherheitsverletzung sofort reagiert werden sollte. Aber auch klare Vorgaben, nach denen beispielsweise die Integrität eines Software-Codes geprüft werden kann, damit nur sichere Applikationen etc. im Unternehmen genutzt werden können. Weitere Tipps sind regelmäßige Backups zur Datensicherung, die Definition klarer Zuständigkeiten, die umfassende Einführung von Monitoring- und Reporting Programmen, die jegliche Dritt-Anwenderzugriffe überprüft und nicht zuletzt ein direkter Draht zu den Zulieferern, damit diese schneller reagieren können. Das alles ist keine einfache, schnelle Lösung – doch die Angriffe werden nicht weniger werden. Doch sonst ist die Zukunft des vernetzten Arbeitens, wie IoT (Internet of Things) und 5G es immer einfacher und schneller erlauben, in Gefahr.
Weiterführende Infos:
BlueVoyant-Studie: https://www.bluevoyant.com/resources/ciso-report-download-form/
Weitere Texte zum Thema: https://www.deutsche-bank.de/ub/results/digitalisierung/cyberkriminalitaet--so-schuetzen-sie-ihr-unternehmen.html
07/2021
Chefredaktion: Bastian Frien und Boris Karkowski (verantwortlich im Sinne des Presserechts). Der Inhalt gibt nicht in jedem Fall die Meinung des Herausgebers (Deutsche Bank AG) wieder.