EU warnt vor Risiken von Supply-Chain-Angriffen

Die Agentur der Europäischen Union für Cybersicherheit ENISA hat 24 Cyberangriffe auf die Software-Lieferkette untersucht. Ihr Fazit: Starke Sicherheitsmaßnahmen alleine sind kein ausreichender Schutz vor solchen Attacken.

In die Analyse flossen Daten der Angriffe auf die Orion-Software von SolarWinds, den CDN-Anbieter Mimecast, das Entwicklertool Codevoc und die Management-Software des US-Anbieters Kaseya an. Die ENISA stellte dabei fest, dass der Code, die Exploits und die Malware der Hintermänner zwar nicht als „fortschrittlich“ einzustufen sind, aber die Planung, Inszenierung und Ausführung komplexe Aufgaben darstellen. Zudem seinen elf Angriffe von zuvor unbekannten APT-Gruppen (Advanced Persistent Threat) ausgeführt worden.

„Diese Unterscheidungen sind wichtig, um zu verstehen, dass eine Organisation selbst dann für einen Angriff auf die Lieferkette anfällig sein könnte, wenn ihre eigenen Verteidigungsmaßnahmen recht gut sind, und dass die Angreifer daher versuchen, neue potenzielle Wege zu finden, um sie zu infiltrieren, indem sie zu ihren Zulieferern gehen und diese zu einem Ziel machen“, heißt es im Untersuchungsbericht der ENISA.

Die Behörde geht davon aus, dass Angriffe auf die Lieferkette noch viel schlimmer werden: „Deshalb müssen dringend neue Schutzmaßnahmen eingeführt werden, um potenziellen Angriffen auf die Lieferkette in Zukunft vorzubeugen, auf sie zu reagieren und gleichzeitig ihre Auswirkungen abzumildern“, ergänzte die ENISA.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Social-Engineering im Finanzsektor: Der menschliche Faktor als schwächstes Glied

Social-Engineering-Vorfälle werden in der Regel zu spät aufgedeckt. Abhilfe schaffen Lösungen, die die Betrugsversuche mithilfe…

2 Tagen ago

Deepfakes: Täuschungsechte Bedrohung für Privatpersonen und Unternehmen

Wie es Betrügern gelingt, mit Deepfakes und Vishing Unternehmen hereinzulegen, schildert Jelle Wieringa, Security Awareness…

3 Tagen ago

Ein Kabel das Daten klaut?

Wenn das USB-Kabel mal wieder nicht aufzufinden ist, ist das Problem meist schnell gelöst. So…

4 Tagen ago

Mix an Software-Geschäftsmodellen wächst

Software-Anbieter setzen zunehmend auf Abos. Die Akzeptanz der Kunden für die neuen Geschäftsmodelle ist aber…

4 Tagen ago

Nutanix kooperiert mit Citrix

Nutanix und Citrix Systems, Inc. kündigen eine strategische Partnerschaft an für die hyperkonvergente Infrastruktur (HCI)…

4 Tagen ago

So richten Sie Richtlinien für Active Directory Passwörter ein

Administratoren wissen, dass schwache Passwörter ein Risiko darstellen. Mit der richtigen Policy für Active Directory…

4 Tagen ago