Supply-Chain-Angriffe – was steckt dahinter?

Supply-Chain-Angriffe sind nichts Neues, doch Ausmass und Heftigkeit nehmen deutlich zu. Erfahren Sie, wie Sich sich und Ihre Kunden schützen können.

Jul 27, 2021 - 4 Min.
Picture of: Adrian Straub
Adrian Straub

Vor nicht einmal einem Jahr richtete sich der bis dahin grösste Cyberangriff aller Zeiten gegen einen Klinikbetreiber in den USA. Die Attacke betraf 400 Standorte und gefährdete das Leben zahlreicher Patienten. Der jüngste Supply-Chain-Angriff auf Kaseya übertrifft das Ausmass und den wirtschaftlichen Schaden jenes Vorfalls noch um ein Vielfaches. Bis zu 1500 Unternehmen können nicht auf ihre Daten zugreifen und es flossen mindestens 11 Mio. US-Dollar Lösegeld.

Was genau ist passiert?

Während der Angriff auf die Spitäler hauptsächlich mithilfe von Trojanern erfolgte, die bei Phishing-Angriffen installiert wurden, handelt es sich bei Supply-Chain-Angriffen um ein indirektes Eindringen ins System. Die Angreifer nutzen Schwachstellen bei vorgelagerten Dienstleistern und sogar Hardwareanbietern, wodurch die Attacken wesentlich unauffälliger und deutlich schwerer zu erkennen sind. Dadurch können sie unentdeckt bleiben, bis es zu spät ist.

Beim aktuellen Supply-Chain-Angriff nutzten die Hacker eine Zero-Day-Schwachstelle in der Software von Kaseya aus, um den Authentifizierungsprozess mit gespooften (gefälschten) Identitäten zu umgehen. So erlangten sie Zugriff auf die interne Scripting-Engine, über die sie ein nach aussen völlig legitim wirkendes Update an alle Kaseya-Kunden senden konnten. Doch dieses Update enthielt Malware, die nach der Installation Ransomware auf den infizierten Systemen einsetzte. Mit ihrem unautorisierten Zugang verschlüsselten die Hacker dann alle Daten auf den Systemen der Opfer. Nur gegen Zahlung grosser Summen an die Hacker konnten die Opfer einen Zugangscode erhalten, um ihre Daten zu entschlüsseln.

Gab es schon früher vergleichbare Fälle?

Supply-Chain-Angriffe sind nichts Neues. Erst letztes Jahr gab es einen vergleichbaren Angriff. Als dieser nach neun Monaten entdeckt wurde, waren bereits 18‘000 Netzwerke von Unternehmen und Behörden befallen, darunter die Netze der US-Ministerien für Finanzen und für Wirtschaft. Anders als bei der Attacke auf Kaseya ging es beim SolarWinds-Vorfall mehr um das Ausspionieren von Firmen und Regierungsstellen als um Geld. Die Hacker schleusten Schadcode in die SolarWinds-Systeme ein und konnten so Updates mit Malware an Orion-Nutzer ausspielen. Diese Malware schuf dann eine Hintertür, die den Hackern Zugriff auf vertrauliche Informationen ermöglichte. Unter den Opfern war beispielsweise Microsoft, wo die Hacker den Quellcode von Microsoft-Produkten einsehen konnten.

Warum erfordert die Verteidigung gegen Supply-Chain-Angriffe besondere Wachsamkeit?

Wie bereits erwähnt sind Supply-Chain-Angriffe extrem schwer zu erkennen. Das liegt daran, dass die eigentliche Attacke auf vorgelagerte Dienste erfolgt und die Angreifer dann einfach warten, bis die Systeme aller nachgelagerten Nutzer kompromittiert sind.

Ein nachvollziehbares Beispiel: Nehmen Sie eine Software, die Sie privat oder beruflich verwenden, so etwas wie einen Finanzplaner oder eine Steuersoftware. Viele Anbieter solcher Programme nutzen für bestimmte Funktionen Komponenten von Drittanbietern, z. B. für Datenanalyse oder sogar einfache Berechnungen. Wenn Sie diese Software herunterladen und installieren, geben Sie ihr weitreichenden Zugriff auf Ihre Systeme – und setzen grosses Vertrauen in die Sicherheitsprotokolle des Anbieters. Sie gehen davon aus, dass der Anbieter genau weiss, welche Komponenten, beispielsweise kommerzielle oder Open-Source-Software, in seinem Programm als Zusatzfunktionen eingebunden sind. Und Sie verlassen sich darauf, dass er die nötigen Updates und Sicherheitspatches der Drittanbieter einarbeitet. Nur so können Sie sicher sein, dass Ihr System durch die Software oder deren Updates nicht beeinträchtigt wird.

Was aber, wenn der Anbieter keinen Überblick über all seine Lieferanten hat oder nicht weiss, welche Drittlösungen diese wiederum verwenden? Ohne vollständige Übersicht ist es unmöglich, umfassende Sicherheit zu bieten und geeignete Sicherheitspatches und Warnungen für nachgelagerte Kunden bereitzustellen. Kunden sind dadurch schutzlos und anfällig für Eindringlinge. Genau das war auch bei den Angriffen auf Kaseya und SolarWinds der Fall.

Wer ist durch Supply-Chain-Angriffe gefährdet?

Die jüngste Angriffswelle traf hauptsächlich Unternehmen, die verschiedene Betriebsfunktionen an externe Dienstleister ausgelagert hatten. Outsourcing ist besonders bei kleinen Betrieben üblich, die keine eigenen Fachkräfte für Sicherheit, Authentifizierung, Datensicherung und -vorhaltung, Logistik, Vertrieb, Helpdesk-Support oder ähnliches haben. Die Menge der möglichen Opfer wächst damit ins Unermessliche. Da diese Unternehmen IT- und Sicherheitsaufgaben auslagern, sind sie häufig auch nicht auf solche Angriffe vorbereitet oder dafür ausgestattet.

Bisher wurden Angriffe auf die schwedische Supermarktkette Coop, die zeitweise alle 800 Filialen schliessen musste, und auf 100 Kindergärten in Neuseeland auf die Kompromittierung von Kaseya zurückgeführt. Auch bei einer Schweizer Preisvergleichsseite und den Behörden des Landkreises Anhalt-Bitterfeld besteht der Verdacht, dass der Ausfall von IT-Systemen mit diesem Supply-Chain-Angriff zusammenhängt.

Doch wie oben erklärt betrifft das Risiko alle, die externe IT-Dienstleister nutzen. Das Besorgniserregende daran ist, dass nicht nur Unternehmen gefährdet sind, sondern auch wichtige Infrastruktur wie Energieversorger und Verwaltungsbehörden. Daher ist es von entscheidender Bedeutung, dass alle möglichen Sicherheitsmassnahmen ergriffen werden, um das Angriffsrisiko zu minimieren.

Was ist der aktuelle Stand?

Wir müssen davon ausgehen, dass Attacken dieser Art nur stärker und weitreichender werden, insbesondere aufgrund der enormen Reichweite und möglichen Ausbeute. Hacker müssen nur ein System knacken, um Zugriff auf tausende andere zu erlangen – eine besonders lukrative Methode für Ransomware.

Doch was ist die Lösung? Sollen Unternehmen, Behörden und Bildungseinrichtungen einfach keine Drittanbietersoftware mehr einsetzen? Das lässt sich kaum umsetzen, da die Kosten für die Entwicklung spezieller Lösungen, für die eigentlich bereits Software existiert, extrem hoch und gerade für kleine Unternehmen vermutlich unbezahlbar wären. Die beste Option ist ein angemessen sorgfältiger Umgang. Wir erklären, was das umfasst.

  1. Sichere Authentifizierung als höchste Priorität:

    Setzen Sie auf Tools für Zwei-Faktor- und Multi-Faktor-Authentifizierung. So schützen Sie sich vor Spoofing-Angriffen und verhindern unbefugte Zugriffe auf Ihre Systeme.
  2. Keine Passwörter:

    Nutzen Sie statt Passwörtern biometrische Authentifizierungsmöglichkeiten wie Gesichtserkennung und Fingerabdruckscanner als zusätzliche und schwerer zu überwindende Verteidigungsebene.
  3. Zugriffsmanagement:

    Verwenden Sie Zugriffsmanagement-Tools, um nur befugten Personen den Zugriff auf bestimmte Daten und Systeme zu erlauben und eine Authentifizierung bei jedem Zugriffsversuch zu erfordern.
  4. Überprüfung der Sicherheitsprotokolle von Dienstleistern und Lieferanten:

    Prüfen Sie, ob Ihre Softwareanbieter regelmässig Penetrationstests intern und auch durch externe Tester durchführen lässt. Vergewissern Sie sich, dass diese internationale Datenschutz- und Sicherheitsvorschriften wie die Datenschutz-Grundverordnung (DSGVO) befolgen.

Letztlich liegt die Verantwortung bei jedem einzelnen Glied der Supply Chain, grösste Vorsicht walten zu lassen und sämtliche Sicherheitslücken zu schliessen, durch die Kunden gefährdet werden könnten. Doch auch Verbraucher und Nutzer von Drittanbietern haben die Möglichkeit und die Verantwortung, sich selbst zu schützen. Im Kampf gegen Ransomware kann man nicht vorsichtig genug sein.

Update: REvil, die Gruppe hinter diesem Ransomware-Angriff, ist seit dem 13. Juli offline. Es ist unklar, ob dahinter amerikanische oder russische Regierungskräfte stecken oder ob die Gruppierung selbst untergetaucht ist. Zahlreiche Opfer können jedoch auch weiterhin nicht auf ihre Daten zugreifen.

 

Cyber-Kriminalität – wie Sie Ihr Unternehmen schützen!