Supply Chain Security – Wie sich Lieferketten vor Angriffen schützen lassen - Prof. Dr. Norbert Pohlmann
Supply Chain Security – Wie sich Lieferketten vor Angriffen schützen lassen | |||||||||
J. Christl, A. Wozniczka, Norbert Pohlmann (Institut für Internet-Sicherheit): Wie sich Lieferketten vor Angriffen schützen lassenSupply-Chain-Angriffe sind eine akute Bedrohung für jedes Unternehmen. Einen Softwarelieferanten auszunutzen, um eine große Anzahl seiner Kunden zu erreichen, ist eine ausgeklügelte und erfolgreiche Methode aktueller Hacker. Die Spezialisierung der Unternehmen auf ihre Kernkompetenzen, die Globalisierung der Lieferketten (im folgendem wird Supply Chain und Lieferkette synonym verwendet), sowie die Digitalisierung entlang der Wertschöpfungskette sind nur einige Beispiele, wieso Angreifer vermehrt die Vertrauensbeziehung zwischen Kunden und Lieferanten verstärkt für Angriffe ausnutzen. Seit vielen Jahren ist ein deutlicher Anstieg der digitalen Vernetzung zwischen Kunden und Lieferanten erkennbar. Genau diese stetig zunehmende Vernetzung von Soft- und Hardwarebereitstellung im B2B Bereich ist sehr attraktiv für Hacker. Anstatt jede Organisation einzeln anzugreifen, wird die Organisation am Beginn der Supply-Chain attackiert. So kann beispielsweise ein einziges infiziertes IT-System alle damit verknüpften Organisationen, IT-Systeme und Prozesse infizieren. Diese Attraktivität spiegelt sich in der Anzahl der Cyberangriffe auf Supply-Chains wider. Bei einem Supply-Chain-Angriff oder Lieferketten-Angriff ist die prinzipielle Idee, dass ein vertrauenswürdiger Dienst (Software), der seit längerer Zeit bei einer Organisation/einem Unternehmen in Einsatz ist, irgendwann für einen Angriff verwendet wird. Hierfür missbraucht der Angreifer beispielsweise ein legitimiertes Software-Update, das der vertrauenswürdige Softwarehersteller zur Verfügung stellt, um Organisationen/Unternehmen anzugreifen (Angriffsvektor). Um diesen Angriff durchführen zu können, dringt der Angreifer zuerst in das IT-System des Dienstleisters (Supplier) – dem vertrauenswürdigen Softwarehersteller – ein und infiltriert zum Beispiel das Software-Update mit Malware . Dieser Angriff wird als Advanced Persistent Threat (APT) – mehrstufiger Angriff auf die IT-Infrastruktur von Unternehmen – durchgeführt. Voraussetzung für die weiteren Schritte des Angriffes ist, dass dieser Vorgang unbemerkt bleibt, von daher muss er an einer bestimmten Prozessstelle umgesetzt werden. Nur so lässt sich sicherstellen, dass das manipulierte Software-Update offiziell als Hersteller-Update digital signiert und somit als autorisierter Code vom Kunden akzeptiert und eingespielt wird. Darauf basierend kann, in einem zweiten Schritt, der Angreifer bei mehreren Tausend Organisationen gleichzeitig die Software des Herstellers nutzen, um die eigentlichen Angriffe umsetzen. Während 2020 insgesamt 694 Organisationen betroffen waren, stieg die Zahl der betroffenen Organisation im Jahr 2021 allein durch einen einzigen, erfolgreichen Angriff auf über 1500 Organisationen an. Dabei wurden über ein Software-Update eines Software-Produkts, welches von zahlreichen Unternehmen und Organisationen genutzt wurde, verheerender Schaden angerichtet. Zuvor konnten Hacker eine Schwachstelle bei dem international tätigen IT-Dienstleister entdecken und ausnutzen. Bei den kompromittierten Organisationen wurden sämtliche Rechner verschlüsselt und der durchschnittliche Schaden pro betroffener Organisation beläuft sich dabei auf ungefähr 6,1 Millionen USD. Um diesem enormen Schaden zu entgehen, reicht es für die Unternehmen nicht aus, sich beim Thema Cyber-Sicherheit auf ihre Lieferanten oder Kunden zu verlassen. Jeder Teilnehmer der Wertschöpfungskette ist selbst dafür verantwortlich, dass die Schnittstellen zu seinen Kunden und den Lieferanten technischen und organisatorischen Anforderungen der Cyber-Sicherheit und des Risikomanagements einhalten. Dieser Artikel beschreibt und definiert Cyberangriffe in Bezug auf eine Supply-Chain, sowie Sicherheitsmechanismen, die dem Entgegenwirken. Supply-Chain im Sinne der Cyber-SicherheitZu Beginn ist es erst einmal wichtig zu verstehen, was eine Supply-Chain ist. Eine beispielhafte Supply-Chain umfasst ein breites Spektrum an Ressourcen, bestehend aus Hardware und Software, Speicher (Cloud oder lokal), Vertriebsmechanismen (Webanwendungen, Online-Shops) und Verwaltungssoftware. Sie kann in unterschiedlichen Größenordnungen und Umfängen existieren. Kleine Mittelständler sowie Konzerne können ein Teil einer Supply-Chain sein, sowohl als Kunde als auch als Lieferant oder beides. Im Sinne der Cyber-Sicherheit besteht eine Supply-Chain aus den vier Kernelementen: Lieferant, Assets des Lieferanten, Kunde und Assets des Kunden [1]
Wie zuvor schon beschrieben, kostet es die Angreifer weniger, eine einzelne Organisation anzugreifen und die Supply-Chain für sich arbeiten zu lassen, als jeden Kunden dieser Organisation einzeln anzugreifen. Die Angreifer können die Daten von mehreren Kunden der Organisation, in einem Angriff erbeuten. So gibt es z.B. Unternehmen A, die Cloudlösungen verkaufen, auf denen andere Unternehmen B ihre Software hosten. Für die Hacker ist es nun einfacher, Unternehmen A anzugreifen und durch die Verbindung ohne großen Aufwand, an die Daten von Unternehmen B zu gelangen. Aufgrund der exponentiellen Verteilung der Supply-Chains, bieten Angriffe auf Supply-Chains eine attraktive Grundlage für Angreifer, verhältnismäßig kostengünstig eine hohe Reichweite und einen hohen Schaden zu erzielen. Folglich sollten Organisationen zu ihrer eigenen Sicherheit, in ihre Cyber-Sicherheit investieren. Dies beginnt damit, die Vorgehensweise bei Angriffen auf die Supply-Chain zu kennen und zu verstehen. Als weiteres muss die Organisation verstehen, welche Sicherheitsmaßnahmen diesen Angriffen entgegenwirken können. kostenlos downloaden Weitere Informationen zum Begriff “Supply Chain Security”Artikel: „Wertschöpfung der Digitalisierung sichern – Vier Cybersicherheitsstrategien für den erfolgreichen Wandel in der IT“ „IT-Sicherheit im Lauf der Zeit“ „Das Manifest zur IT-Sicherheit – Erklärung von Zielen und Absichten zur Erreichung einer angemessenen Risikolage in der IT“ „Strafverfolgung darf die IT-Sicherheit im Internet nicht schwächen“ „Wie wirtschaftlich sind IT-Sicherheitsmaßnahmen“ „Risikobasierte und adaptive Authentifizierung“ „Künstliche Intelligenz und Cybersicherheit – Unausgegoren aber notwendig“ „Vertrauen – ein elementarer Aspekt der digitalen Zukunft“ „Bedrohungen und Herausforderungen des E-Mail-Dienstes – Die Sicherheitsrisiken des E-Mail-Dienstes im Internet“ Vorlesungen: „Vorlesungen zum Lehrbuch Cyber-Sicherheit“ Bücher: Lehrbuch Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download
Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit) Summary Article Name Supply Chain Security – Wie sich Lieferketten vor Angriffen schützen lassen Description Supply-Chain-Angriffe sind eine akute Bedrohung für jedes Unternehmen. Einen Softwarelieferanten auszunutzen, um eine große Anzahl seiner Kunden zu erreichen, ist eine ausgeklügelte und erfolgreiche Methode aktueller Hacker. In diesem Artikel wird aufgezeigt, wie sich Lieferketten vor Angriffen schützen lassen. Author Prof. Norbert Pohlmann Publisher Name Institut für Internet-Sicherheit – if(is) Publisher Logo | |||||||||