Lieferketten und ihre blinden Flecken

Sicherheitsexperten sind alarmiert: Waren Lieferketten bereits 2021 eine lukrative Einnahmequelle für Cyberkriminelle, dürfte sich der Trend im neuen Jahr fortsetzen. Eine Schwachstelle, ein erfolgreicher Hack und ein kompromittiertes Opfer entlang der Kette genügen, um das lohnendste Ziel zu erreichen und in weitere Unternehmensnetzwerke vorzudringen. SolarWinds und Kaseya lassen grüßen. So einfach die Methoden der Angreifer sind, so komplex und unübersichtlich sind viele Lieferketten gestaltet. Wie kann es also gelingen, Lieferketten gegen die wachsenden Bedrohungen abzusichern? Und welche Faktoren gilt es dabei zu beachten?

Die Herausforderungen bei der Sicherheit der Lieferkette

Lieferketten durchgängig zu verwalten, gleicht einer Mammutaufgabe. Leider verlassen sich viele Unternehmen immer noch auf Vertrauen oder manuelle Tabellenkalkulationen, wenn es um den Schutz vor Cyberrisiken geht. Jedoch stellt die mangelnde Transparenz in Bezug auf die eigenen IT-Ressourcen und Abhängigkeit von Partnern und Lieferanten eine echte Gefahr für Unternehmen dar, unter anderem da sich heute mehr Drittanbieter in ihren Ökosystemen befinden als jemals zuvor. Daher gilt es zunächst, grundlegende Fragen zu beantworten: Wer sind die Lieferanten? Wie ist es um deren Sicherheit bestellt? Und wie nutzen sie ihre Daten?

Drittanbieter müssen in der Lage sein, ein umfassendes und genaues Inventar ihrer IT-Ressourcen bereitzustellen, um den Status der Endgeräte und die installierten Softwareversionen zu verstehen und um zeitnah Patches installieren zu können, um so die Risiken zu mindern. Da Softwaresicherheitslücken im Supply Chain Management oder in den Systemen der Zulieferer ebenso drastische Folgen haben können wie schlechte Informationssicherheitspraktiken, gilt es nicht nur, eine strenge Due-Diligence-Prüfung vor dem Onboarding durchzuführen, sondern auch die Beziehung regelmäßig neu zu bewerten. An dieser Stelle sollten verbindliche Sicherheitsstandards festgelegt werden.

Allerdings haken viele Unternehmen das Thema Supply Chain Security als einmaliges To-Do ab. Hinzu kommt, dass die Security Teams im Onboarding-Prozess oftmals zu spät eingeschaltet werden, als dass sie auftauchende Risiken noch ausmerzen könnten. Dabei genügt den Angreifern bisweilen eine einzige Schwachstelle: Haben sie sich erst einmal Zutritt verschafft, ist es ihnen möglich, sich bis zu den wertvollsten Daten eines Unternehmens hinzubewegen. Die Methode wird Lateral Movement genannt:

Hacker konzentrieren sich auf den Diebstahl und Missbrauch von Anmeldeinformationen und arbeiten sich über schleichende laterale Bewegungen im Netz zu den wichtigen Assets vor. Daher benötigen Unternehmen ein Maximum an Transparenz, um Zugriffsrechte und die damit verbundenen Schwachstellen zu analysieren. Des Weiteren gilt es für die IT-Sicherheitsteams zu prüfen, dass die eingesetzte Hardware keine betrügerischen Komponenten oder Schadsoftware enthält und nicht gefälscht ist, sodass beispielsweise eine Datenspeicherung durch Dritte erfolgen könnte. Softwaresicherheitslücken im Lieferkettenmanagement oder in den Systemen der Zulieferer könnten ebenfalls als Einfallstor für Kriminelle fungieren.

Zunehmende Anforderungen an Lieferketten

Was Angriffe auf Lieferketten also von anderen zielgerichteten Cyberattacken unterscheidet, ist die Tatsache, dass es eines Risikomanagements bedarf, das über die Unternehmensgrenzen hinweg Anwendung finden muss. Hierbei dürfen auch die cybersicherheitsrechtlichen Anforderungen an die Lieferkette nicht unter den Tisch fallen. Das NIST sieht in der Identifizierung, Bewertung und Abschwächung von Cyberrisiken in der Lieferkette einen entscheidenden Faktor zur Erreichung eines adäquaten IT-Sicherheitsniveaus und ruft ins Bewusstsein, dass die Globalisierung, das Outsourcing und die Digitalisierung zu einer zunehmenden Abhängigkeit innerhalb komplexer Lieferketten führen.

Nicht zuletzt SolarWinds und Kaseya haben das hohe Risikopotenzial von Cyberangriffen offengelegt. Durch die zunehmende Auslagerung der Angriffe auf Lieferketten reichen IT-Sicherheitsmaßnahmen, die sich ausschließlich auf das eigene Unternehmen konzentrieren, nicht mehr aus. So wird deutlich, dass rechtliche Vorgaben für die Cybersicherheit in der Supply Chain zunehmend an Bedeutung gewinnen. Da jedoch gesetzliche Regelungen und technische Maßnahmen das erforderliche Sicherheitsniveau nicht ausreichend abbilden können, müssen Unternehmen auf vertragliche Regelungen setzen, um Risiken weitestgehend einzudämmen. Am Ende des Tages werden die Unternehmen, die über die besten Sicherheitspraktiken verfügen, am erfolgreichsten agieren.

Supply Chain Best Practices

Die Cyberrisiken erstrecken sich über die Beschaffung, das Lieferantenmanagement, die Kontinuität und Qualität der Lieferkette sowie die Transportsicherheit. Daher gilt es, die richtigen Fragen an die Lieferanten zu stellen. Unter anderem ist es wichtig zu wissen, ob der Soft- und Hardwareentwicklungsprozess des Anbieters dokumentiert ist und die Eindämmung bekannter Schwachstellen im Produktdesign berücksichtigt wurde. Welche Kontrollen gibt es für die Verwaltung und Überwachung der Produktionsprozesse? Wie wird das Konfigurationsmanagement durchgeführt und inwiefern erfolgen Untersuchungen auf Schadsoftware? Welche Zugangskontrollen gibt es? Wie werden Kundendaten geschützt und gespeichert? Wie lange werden diese Daten aufbewahrt und werden sie vernichtet, wenn die Partnerschaft aufgelöst wird? Und wie gewährleistet der Anbieter die Sicherheit während des gesamten Produktlebenszyklus?

Um die Risiken zu minimieren, können Unternehmen Folgendes tun:

• Sicherheitsanforderungen sollten in allen Ausschreibungen und Verträgen festgehalten werden.
• Wird ein Anbieter in die Lieferkette integriert, ist das Sicherheitsteam gefragt, in enger Zusammenarbeit mögliche Schwachstellen und Sicherheitslücken zu eliminieren.
• Eine „One strike and you’re out”-Richtlinie gilt für alle Lieferantenprodukte, die nicht den Spezifikationen entsprechen.
• Den Erwerb von Komponenten gilt es streng zu kontrollieren. Für gekaufte Software muss der Quellcode beschafft werden. Sichere Boot-Prozesse suchen nach Authentifizierungscodes, sodass das System nicht gebootet wird, wenn die Codes nicht erkannt werden.
• Die Automatisierung der Herstellungs- und Testverfahren verringert das Risiko menschlicher Eingriffe.
• Die beste Form des proaktiven Risikomanagements sind Tools, die eine kontinuierliche Endpunkttransparenz ermöglichen und den Verantwortlichen die nötige Kontrolle verleihen, um schnell zu reagieren, wenn es darauf ankommt. Eine zentral verwaltbare Endpoint Management-Lösung versetzt Unternehmen in die Lage, Fragen an verwaltete Endpunkte auszugeben, die Antworten zu analysieren und basierend auf den Antworten Aktionen an die Endpunkte zu verteilen.
• Des Weiteren lässt sich der tatsächliche Zustand der Sicherheits- und Betriebsumgebung visualisieren, sodass auf Grundlage der erhobenen Daten geeignete Maßnahmen ergriffen werden können. Werden Endpunkte laufend auf auffällige Aktivitäten überwacht, unabhängig davon, ob sie on- oder offline sind, besteht die Möglichkeit, mittels Echzeitwarnung die Sicherheitsteams umgehend beim Auftreten von Anomalien zu benachrichtigen, sodass sich Maßnahmen zum Schutz des Netzwerks sofort umsetzen lassen.

Fazit

Attacken auf Lieferketten haben sich im vergangenen Jahr als äußerst lohnenswerte Ziele für Cyberkriminelle erwiesen, und auch für 2022 prognostizieren Sicherheitsexperten, dass die Zahl der Angriffe in diesem Bereich weiter steigen wird. Unternehmen, die auf Plattformen und Dienste auf diversen Ebenen einer Lieferkette angewiesen sind, müssen ihre bisherigen Strategien überprüfen und sich dessen bewusst sein, dass die Sicherheit nicht an der eigenen Netzwerkgrenze aufhört.