Supply Chain bietet Angriffspunkte

Unternehmen bewegen sich in einem Ökosystem, in dem vertrauenswürdige Beziehungen zu Lieferanten sehr wichtig sind. Hacker nutzen dies aus und schleichen sich in die Supply Chain ein, wie eine aktuelle Studie des Cybersicherheitsunternehmens BlueVoyant zeigt. 1.500 Entscheider wurden dazu befragt aus fünf Ländern, darunter die Schweiz.

Die Schweizer sind deutlich sicherheitsbewusster als andere Länder. Fast ein Drittel der Schweizer Befragten (33%) verwenden noch immer Vor-Ort-Audits und 26% verlassen auf Fragebögen. 40% der Schweizer Befragten bewerten das Cyberrisiko Dritter monatlich neu und berichten darüber. Weitere 16% bewerten und berichten vierteljährlich und 13% tun dies halbjährlich oder seltener. Ein Viertel (25 %) nimmt wöchentlich eine Neubewertung des Risikos vor, 3 % tun dies täglich und 2 % überwachen in Echtzeit, was deutlich höher ist als in allen anderen befragten Ländern.

Mehr als 80% der Organisationen haben aufgrund von Sicherheitslücken in ihren Lieferketten eine Datenverletzung erlebt, da Cyberkriminelle die schlechte Sicherheit kleinerer Anbieter ausnutzen, um Zugang zu den Netzwerken großer Organisationen zu erhalten.

Organisationen haben durchschnittlich 1.013 Anbieter in ihrem Lieferanten-Ökosystem, die Schweizer Unternehmen mit 2.583 Lieferanten sogar mehr als doppelt so viele. 82% der Organisationen in den vergangenen 12 Monaten aufgrund von Cybersicherheitsschwächen in der Lieferkette einen Datenverstoß erlitten haben.

Doch trotz des Risikos, das von Sicherheitslücken in der Lieferkette ausgeht, hat ein Drittel der Organisationen wenig bis gar keine Hinweise darauf, ob Hacker in ihre Lieferkette eingedrungen sind, was bedeutet, dass sie möglicherweise erst dann herausfinden, dass sie Opfer eines Vorfalls geworden sind, wenn es zu spät ist.

Große Unternehmen sind wahrscheinlich besser geschützt als kleinere Unternehmen, was bedeutet, dass Hacker sich zunehmend an ihre Lieferanten wenden, um das Netzwerk auf eine Art und Weise zu infiltrieren, die oft unbemerkt bleiben wird.

„Sehr oft denken die Leute, na ja, das sind unsere kritischsten Lieferanten, und es ist unvermeidlich, dass ihre Top Ten einige der größten Namen der Welt sind, wie zum Beispiel Cloud-Provider. Aber das ist nicht der Grund für die Bedrohung“, sagte Robert Hannigan, Vorsitzender von BlueVoyant International, gegenüber ZDNet.

„Es ist viel wahrscheinlicher, dass die wirkliche Bedrohung von einem viel kleineren Unternehmen ausgeht, von dem Sie noch nie gehört haben, das aber mit Ihrem Netzwerk verbunden ist“, erklärte Hannigan.

Ein Beispiel dafür war der Angriff von NotPetya im Jahr 2017 auf infizierte Organisationen auf der ganzen Welt, der anscheinend zuerst über den gekaperten Software-Update-Mechanismus einer Buchhaltungssoftware-Firma verbreitet wurde. Der Angriff geriet schnell außer Kontrolle und brachte Netzwerke von Organisationen in ganz Europa und darüber hinaus zum Erliegen.

„Wer hätte bei NotPetya gedacht, dass die Aktualisierung einer Buchhaltungssoftware zu massiven Störungen in ganz Europa führen würde? Es war kein Top-Lieferant für eine der betroffenen Firmen, aber es führte zu riesigen Schäden und Unterbrechungen“, so Hannigan.

Andere Angriffe auf die Lieferkette sind viel subtiler: Cyberkriminelle infiltrieren den Anbieter mit Malware oder Phishing-E-Mails und übernehmen Konten – die sie dann als Einfallstor nutzen, um in die größere Organisation einzudringen, insbesondere wenn bereits eine vertrauensvolle Beziehung zwischen ihnen besteht.

Dies war der Fall, als ein Versorgungsunternehmen eine Datenverletzung erlitt, als Cyberkriminelle es über seine Anwaltskanzlei ins Visier nahmen, wobei sie das Konto von jemandem in der Firma kompromittierten und dies nutzten, um das Versorgungsunternehmen zu kompromittieren.

„Was der Angreifer getan hat, ist die Kompromittierung des Posteingangs von jemandem in dieser bestimmten Firma, und weil der Angreifer die Identität einer echten Person und ihren echten Posteingang benutzte, funktionierte der normale Schutz gegen Phishing-E-Mails nicht, weil es nur eine E-Mail von einer normalen vertrauenswürdigen Person ist – aber leider war es nicht die normale Person, es war ein Angreifer“, erklärte Hannigan.

Einer der Hauptgründe dafür, dass Schwachstellen in der Lieferkette unbemerkt bleiben können, liegt darin, dass oft nicht klar ist, wer für das Risikomanagement bei Beziehungen zu Drittanbietern zuständig ist – selbst wenn also bekannt ist, dass ein Anbieter Schwachstellen haben könnte, könnte es sein, dass das Problem nie behoben wird, da es keine feste Person oder kein festes Team gibt, das für diesen Anbieter verantwortlich ist.

„Ich bin noch keinem CISO begegnet, der nicht weiß, dass es ein riesiges Ökosystem gibt, das es zu verstehen gilt, aber einen Weg zu finden, dies zu tun, ist eine Herausforderung. Selbst die größten Organisationen haben nur ein begrenztes Team für den Umgang mit Cyberrisiken, und es gibt eine Grenze dessen, was sie erreichen können. Man kann nicht erwarten, dass ein kleines Team die Risiken von 10.000 Anbietern bewältigen kann“, betonte Hannigan.

Um das Risiko, das von Schwachstellen in der Lieferkette ausgeht, besser handhaben zu können, empfiehlt der Bericht, dass Organisationen entscheiden müssen, wem das Cyberrisiko Dritter gehört, um eine wirksame Strategie zu dessen Bewältigung zu beschließen und die Sichtbarkeit der gesamten Lieferkette zu verbessern.

Der Bericht empfiehlt außerdem, dass Organisationen, die glauben, dass es Risiken in ihrer Lieferkette gibt, Dritte mit potenziellen Schwachstellen alarmieren und ihnen helfen sollten – denn auf diese Personen werden Cyberkriminelle bei dem Versuch, in Ihr Netzwerk einzudringen, abzielen.

„Kriminelle geben nicht einfach auf, sie suchen nach einfacheren Wegen hinein. Es ist unvermeidlich, dass die Kriminellen, wenn die Grenzen der Unternehmen besser verteidigt werden, anfangen werden, sich die weichen Wege zum Eindringen zu suchen – und die Lieferkette ist der offensichtliche Weg, dies zu tun“, sagte Hannigan