slider

Supply Chain Security – Wie sich Lieferketten vor Angriffen schützen lassen - Prof. Dr. Norbert Pohlmann

Supply Chain Security – Wie sich Lieferketten vor Angriffen schützen lassen

Supply Chain Security

J. Christl, A. Wozniczka, Norbert Pohlmann (Institut für Internet-Sicherheit):
„Supply Chain Security – Wie sich Lieferketten vor Angriffen schützen lassen“,
IT-Sicherheit – Mittelstandsmagazin für Informationssicherheit und Datenschutz ,
DATAKONTEXT-Fachverlag, 3/2022


Wie sich Lieferketten vor Angriffen schützen lassen

Supply-Chain-Angriffe sind eine akute Bedrohung für jedes Unternehmen. Einen Softwarelieferanten auszunutzen, um eine große Anzahl seiner Kunden zu erreichen, ist eine ausgeklügelte und erfolgreiche Methode aktueller Hacker.

Die Spezialisierung der Unternehmen auf ihre Kernkompetenzen, die Globalisierung der Lieferketten (im folgendem wird Supply Chain und Lieferkette synonym verwendet), sowie die Digitalisierung entlang der Wertschöpfungskette sind nur einige Beispiele, wieso Angreifer vermehrt die Vertrauensbeziehung zwischen Kunden und Lieferanten verstärkt für Angriffe ausnutzen.

Seit vielen Jahren ist ein deutlicher Anstieg der digitalen Vernetzung zwischen Kunden und Lieferanten erkennbar. Genau diese stetig zunehmende Vernetzung von Soft- und Hardwarebereitstellung im B2B Bereich ist sehr attraktiv für Hacker. Anstatt jede Organisation einzeln anzugreifen, wird die Organisation am Beginn der Supply-Chain attackiert. So kann beispielsweise ein einziges infiziertes IT-System alle damit verknüpften Organisationen, IT-Systeme und Prozesse infizieren. Diese Attraktivität spiegelt sich in der Anzahl der Cyberangriffe auf Supply-Chains wider. Bei einem Supply-Chain-Angriff oder Lieferketten-Angriff ist die prinzipielle Idee, dass ein vertrauenswürdiger Dienst (Software), der seit längerer Zeit bei einer Organisation/einem Unternehmen in Einsatz ist, irgendwann für einen Angriff verwendet wird. Hierfür missbraucht der Angreifer beispielsweise ein legitimiertes Software-Update, das der vertrauenswürdige Softwarehersteller zur Verfügung stellt, um Organisationen/Unternehmen anzugreifen (Angriffsvektor). Um diesen Angriff durchführen zu können, dringt der Angreifer zuerst in das IT-System des Dienstleisters (Supplier) – dem vertrauenswürdigen Softwarehersteller – ein und infiltriert zum Beispiel das Software-Update mit Malware . Dieser Angriff wird als Advanced Persistent Threat (APT) – mehrstufiger Angriff auf die IT-Infrastruktur von Unternehmen – durchgeführt. Voraussetzung für die weiteren Schritte des Angriffes ist, dass dieser Vorgang unbemerkt bleibt, von daher muss er an einer bestimmten Prozessstelle umgesetzt werden. Nur so lässt sich sicherstellen, dass das manipulierte Software-Update offiziell als Hersteller-Update digital signiert und somit als autorisierter Code vom Kunden akzeptiert und eingespielt wird. Darauf basierend kann, in einem zweiten Schritt, der Angreifer bei mehreren Tausend Organisationen gleichzeitig die Software des Herstellers nutzen, um die eigentlichen Angriffe umsetzen. Während 2020 insgesamt 694 Organisationen betroffen waren, stieg die Zahl der betroffenen Organisation im Jahr 2021 allein durch einen einzigen, erfolgreichen Angriff auf über 1500 Organisationen an. Dabei wurden über ein Software-Update eines Software-Produkts, welches von zahlreichen Unternehmen und Organisationen genutzt wurde, verheerender Schaden angerichtet. Zuvor konnten Hacker eine Schwachstelle bei dem international tätigen IT-Dienstleister entdecken und ausnutzen. Bei den kompromittierten Organisationen wurden sämtliche Rechner verschlüsselt und der durchschnittliche Schaden pro betroffener Organisation beläuft sich dabei auf ungefähr 6,1 Millionen USD.

Um diesem enormen Schaden zu entgehen, reicht es für die Unternehmen nicht aus, sich beim Thema Cyber-Sicherheit auf ihre Lieferanten oder Kunden zu verlassen. Jeder Teilnehmer der Wertschöpfungskette ist selbst dafür verantwortlich, dass die Schnittstellen zu seinen Kunden und den Lieferanten technischen und organisatorischen Anforderungen der Cyber-Sicherheit und des Risikomanagements einhalten.

Dieser Artikel beschreibt und definiert Cyberangriffe in Bezug auf eine Supply-Chain, sowie Sicherheitsmechanismen, die dem Entgegenwirken.

Supply-Chain im Sinne der Cyber-Sicherheit

Zu Beginn ist es erst einmal wichtig zu verstehen, was eine Supply-Chain ist. Eine beispielhafte Supply-Chain umfasst ein breites Spektrum an Ressourcen, bestehend aus Hardware und Software, Speicher (Cloud oder lokal), Vertriebsmechanismen (Webanwendungen, Online-Shops) und Verwaltungssoftware. Sie kann in unterschiedlichen Größenordnungen und Umfängen existieren. Kleine Mittelständler sowie Konzerne können ein Teil einer Supply-Chain sein, sowohl als Kunde als auch als Lieferant oder beides. Im Sinne der Cyber-Sicherheit besteht eine Supply-Chain aus den vier Kernelementen: Lieferant, Assets des Lieferanten, Kunde und Assets des Kunden [1]

LieferantEin Unternehmen, das ein Produkt oder eine Dienstleistung für eine andere Organisation bereitstellt.  
Assets des LieferantenWertvolle Elemente, die der Lieferant zur Herstellung des Produkts oder der Dienstleistung verwendet.  
KundeEine Organisation, die das vom Lieferanten produzierte, Produkt oder die Dienstleistung konsumiert  
Assets des KundenWertvolle Elemente, die sich im Besitz des Kunden befinden. Dies kann eine Einzelperson, eine Gruppe von Personen oder eine Organisation sein. Bei den Vermögenswerten kann es sich um Personen, Software, Dokumente, Finanzmittel, Hardware oder andere Werte handeln.  

Wie zuvor schon beschrieben, kostet es die Angreifer weniger, eine einzelne Organisation anzugreifen und die Supply-Chain für sich arbeiten zu lassen, als jeden Kunden dieser Organisation einzeln anzugreifen. Die Angreifer können die Daten von mehreren Kunden der Organisation, in einem Angriff erbeuten. So gibt es z.B. Unternehmen A, die Cloudlösungen verkaufen, auf denen andere Unternehmen B ihre Software hosten. Für die Hacker ist es nun einfacher, Unternehmen A anzugreifen und durch die Verbindung ohne großen Aufwand, an die Daten von Unternehmen B zu gelangen. Aufgrund der exponentiellen Verteilung der Supply-Chains, bieten Angriffe auf Supply-Chains eine attraktive Grundlage für Angreifer, verhältnismäßig kostengünstig eine hohe Reichweite und einen hohen Schaden zu erzielen. Folglich sollten Organisationen zu ihrer eigenen Sicherheit, in ihre Cyber-Sicherheit investieren. Dies beginnt damit, die Vorgehensweise bei Angriffen auf die Supply-Chain zu kennen und zu verstehen. Als weiteres muss die Organisation verstehen, welche Sicherheitsmaßnahmen diesen Angriffen entgegenwirken können.



kostenlos downloaden




Weitere Informationen zum Begriff “Supply Chain Security”

Artikel:
Risiko von unsicheren Internet-Technologien

Wertschöpfung der Digitalisierung sichern – Vier Cybersicherheitsstrategien für den erfolgreichen Wandel in der IT“

IT-Sicherheit im Lauf der Zeit

Das Manifest zur IT-Sicherheit – Erklärung von Zielen und Absichten zur Erreichung einer angemessenen Risikolage in der IT“

Strafverfolgung darf die IT-Sicherheit im Internet nicht schwächen

Wie wirtschaftlich sind IT-Sicherheitsmaßnahmen

Risikobasierte und adaptive Authentifizierung

Eine vertrauenswürdige Zusammenarbeit mit Hilfe der Blockchain-Technologie

Künstliche Intelligenz und Cybersicherheit – Unausgegoren aber notwendig“

Vertrauen – ein elementarer Aspekt der digitalen Zukunft

Eine Diskussion über Trusted Computing – Sicherheitsgewinn durch vertrauenswürdige IT-Systeme“

Ideales Internet-Frühwarnsystem

Bedrohungen und Herausforderungen des E-Mail-Dienstes – Die Sicherheitsrisiken des E-Mail-Dienstes im Internet“

Vorlesungen: „Vorlesungen zum Lehrbuch Cyber-Sicherheit

Bücher:

Lehrbuch Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung

Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download

  • Sicher im Internet: Tipps und Tricks für das digitale Leben
  • Der IT-Sicherheitsleitfaden
  • Firewall-Systeme – Sicherheit für Internet und Intranet, E-Mail-Security, Virtual Private Network, Intrusion-Detection-System, Personal Firewalls

Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)
Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)

Marktplatz IT-Sicherheit





Summary
Supply Chain Security – Wie sich Lieferketten vor Angriffen schützen lassen
Article Name
Supply Chain Security – Wie sich Lieferketten vor Angriffen schützen lassen
Description
Supply-Chain-Angriffe sind eine akute Bedrohung für jedes Unternehmen. Einen Softwarelieferanten auszunutzen, um eine große Anzahl seiner Kunden zu erreichen, ist eine ausgeklügelte und erfolgreiche Methode aktueller Hacker. In diesem Artikel wird aufgezeigt, wie sich Lieferketten vor Angriffen schützen lassen.
Author
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
Supply Chain Security
Supply Chain Security – Wie sich Lieferketten vor Angriffen schützen lassen Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten