Angriff aus der Supply-Chain

Der jüngs­te Groß­an­griff auf Ka­seya ist be­son­ders per­fi­de. Denn Ka­seya selbst ist Zu­lie­fe­rer vie­ler an­de­rer IT-​Dienstleister für ope­ra­ti­ve Un­ter­neh­men. Darum ist nicht nur Ka­seya selbst be­trof­fen, son­dern auch die Kun­den und die Kun­den der Kun­den. Ins­ge­samt wird die An­zahl der Ge­schä­dig­ten auf 800 bis 2.000 Un­ter­neh­men ge­schätzt. Ein Super-​Gau, der unter an­de­rem in der zeit­wei­li­gen Schlie­ßung der schwe­di­schen Su­per­markt­ket­te Coop re­sul­tier­te. Zu­griff auf die ei­ge­nen Daten gibt es erst dann wie­der, wenn die Er­pres­sungs­sum­me ge­zahlt wor­den ist. Be­son­ders ge­fähr­det sind Un­ter­neh­men, die über die fi­nan­zi­el­len Mit­tel ver­fü­gen, dass sich eine Er­pres­sung auch lohnt. Dabei geht es den An­grei­fern nicht immer um Er­pres­sungs­gel­der. Auch Wirt­schafts­spi­o­na­ge ist ein häu­fi­ges Motiv; kein Wun­der, dass Deutsch­lands Un­ter­neh­men be­son­ders im Fa­den­kreuz der Kri­mi­nel­len ste­hen.

Die An­grei­fer ar­bei­ten sich teils sys­te­ma­tisch durch die ge­sam­te Supply-​Chain, bis sie ihr wah­res Ziel er­reicht haben. Von „Is­land Hop­ping“ spre­chen Ex­per­ten – von Zu­lie­fe­rer zu Zu­lie­fe­rer hüp­fen die Kri­mi­nel­len vor­wärts. Das ist ge­ra­de bei be­son­ders sen­si­blen Un­ter­neh­men wie Fi­nanz­dienst­leis­tern oder In­no­va­ti­ons­markt­füh­rern of­fen­bar die ziel­füh­ren­de­re Va­ri­an­te als der di­rek­te An­griff von außen und deut­lich ef­fi­zi­en­ter für den An­grei­fer, weil er gleich meh­re­re Ziele par­al­lel ins Vi­sier neh­men kann.

Weil viele Mit­tel­ständ­ler Schwie­rig­kei­ten haben, ei­ge­ne IT-​Fachkräfte an­zu­wer­ben, la­gern sie selbst zen­tra­le IT-​Funktionen an ent­spre­chen­de Spe­zi­a­lis­ten aus. Diese ex­ter­nen Dienst­leis­ter müs­sen, um ihre Ar­beit er­le­di­gen zu kön­nen, um­fas­sen­de Zu­griffs­rech­te auf die Unternehmens-​IT er­hal­ten. Das gilt al­ler­dings nicht nur für IT-​Dienstleister, son­dern auch für fast jeden Aus­tausch von Daten und Soft­ware zwi­schen Lie­fe­ran­ten und Kun­den. Auch die Buch­hal­tungs­soft­ware muss re­gel­mä­ßig ak­tu­a­li­siert wer­den – der Nut­zer selbst hat aber kaum eine Mög­lich­keit zu er­ken­nen, ob die kor­rek­te Soft­ware gegen Schad­soft­ware aus­ge­tauscht wor­den ist. Up­dates aus der Ferne sind ein bei­na­he täg­li­cher Vor­gang in Zei­ten des Cloud Com­pu­tings. Da der Ab­sen­der ver­trau­ens­wür­dig ist, hat die IT-​Sicherheit ent­spre­chen­de Öff­nun­gen im Ab­wehr­wall ge­las­sen. Einem Be­richt von eSe­cu­ri­ty Pla­net zu­fol­ge hat­ten schon 2017 durch­schnitt­lich 181 un­ter­schied­li­che Lie­fe­ran­ten Zu­griff auf das Netz­werk eines Kun­den. Doch selbst die IT eines Un­ter­neh­mens hat meist kei­nen voll­stän­di­gen Über­blick, wer ei­gent­lich alles von ex­tern zu­grei­fen kann. Kein Wun­der bei die­sen Di­men­si­o­nen: Bei jedem vier­ten klei­nen und mitt­le­ren Un­ter­neh­men sol­len in einer nor­ma­len Woche so viele ex­ter­ne Lie­fe­ran­ten auf das Netz­werk zu­grei­fen wie die Un­ter­neh­men Mit­ar­bei­ter haben.

Gegen das Ein­schleu­sen von Schad­soft­ware via Zu­lie­fe­rer ist die IT be­mer­kens­wert wenig ge­schützt. In einer Um­fra­ge des IT-​Security-​Spezialisten Blue­Voy­ant aus dem Jahr 2020 haben 80 Pro­zent der Be­frag­ten an­ge­ge­ben, in den ver­gan­ge­nen zwölf Mo­na­ten be­reits Opfer eines Si­cher­heits­durch­bruchs via Zu­lie­fe­rer ge­wor­den zu sein. Aber nur 2 Pro­zent der Un­ter­neh­men ver­fol­gen min­des­tens täg­lich, wel­che Lie­fe­ran­ten aufs ei­ge­ne Netz­werk zu­grei­fen. Mehr als jedes drit­te Un­ter­neh­men hin­ge­gen prüft höchs­tens zwei Mal im Jahr, wer ei­gent­lich noch Zu­griff hat. Die Folge: Fast jedes drit­te Un­ter­neh­men er­kennt nicht ein­mal, ob es ein Pro­blem gibt. Im­mer­hin, auch das ein Er­geb­nis der BlueVoyant-​Befragung, stei­gen die Bud­gets.

Doch noch herrscht große Un­si­cher­heit, wel­che Stra­te­gie zur Be­kämp­fung die­ser Ein­fall­ri­si­ken am bes­ten ist – und womit die Un­ter­neh­men an­fan­gen soll­ten. So gibt es eine brei­te Mi­schung von Vor­ge­hens­wei­sen, vom Lieferanten-​Risikomanagement über ex­ter­ne Be­ra­ter, Vor-​Ort-​Audits bis hin zu Fra­ge­bö­gen. Mit bis­lang er­nüch­tern­den Er­geb­nis­sen. Das liegt nicht zu­letzt auch daran, dass bei auf­ge­tre­te­nen Pro­ble­men ein gro­ßer Teil der be­trof­fe­nen Un­ter­neh­men die Auf­ga­be, das Si­cher­heits­pro­blem zu be­sei­ti­gen, an den Lie­fe­ran­ten über­ge­ben wird. Laut Blue­Voy­ant in­for­mie­ren 36 Pro­zent der Be­frag­ten den Lie­fe­ran­ten und hof­fen dar­auf, dass er das Pro­blem löse. Ähn­lich viele Un­ter­neh­men ver­las­sen sich dar­auf, dass er schon für die an­ge­mes­se­ne Si­cher­heit sorge. An­ge­sichts an­ge­spann­ter IT-​Ressourcen im ei­ge­nen Hause ist der An­satz, das Pro­blem an Drit­te zu­rück­zu­ge­ben, al­ler­dings nicht über­ra­schend. Hinzu kom­men in­ter­ne Zu­stän­dig­keits­fra­gen – in man­chen Un­ter­neh­men fühlt sich nie­mand für das Thema Cy­ber­se­cu­ri­ty bei Lie­fe­ran­ten zu­stän­dig, in an­de­ren sind es gleich meh­re­re, un­ter­schied­li­che Funk­ti­ons­trä­ger.

Nicht nur Cloud Com­pu­ting, auch die hö­he­re In­no­va­ti­ons­ge­schwin­dig­keit führt zu häu­fi­ge­ren Up­dates (bei denen viel­fach auch neue Si­cher­heits­lü­cken ge­schlos­sen wer­den sol­len) und damit ex­ter­nen Zu­grif­fen. In der Pro­duk­ti­on wird zudem die Ent­wick­lung der In­dus­trie 4.0 den Aus­tausch in­ner­halb der Sup­ply Chain in­ten­si­vie­ren. Dabei wird nicht nur das Schre­ckens­sze­na­rio wild­ge­wor­de­ner, weil fremd­ge­steu­er­ter Ro­bo­ter mit ent­spre­chen­der Ge­fähr­dung von Ar­bei­tern in der Pro­duk­ti­on wahr­schein­li­cher, wie be­reits der Stuxnet-​Angriff aus dem Jahr 2010 ge­zeigt hatte. Selbst re­la­tiv klei­ne Ele­men­te in der Sup­ply Chain kön­nen ganze Un­ter­neh­men lahm­le­gen. Die bis­he­ri­gen Ri­si­ko­ana­ly­sen von Lie­fe­ran­ten – kön­nen sie ihre Vor­pro­duk­te zu­ver­läs­sig lie­fern? – müs­sen um die Cyber-​Security-​Komponente er­wei­tert wer­den. Keine ein­fa­che Auf­ga­be, wenn die IT-​Kompetenz dazu nicht im Hause vor­han­den ist. Und vor allem, wenn selbst die Security-​Spezialisten selbst viel­leicht zum Ri­si­ko wer­den könn­ten – siehe Ka­seya. Sogar quellof­fe­ne Soft­ware, die also trans­pa­ren­ten Blick in den Programmier-​Code ge­währt, scheint vor den An­grei­fern nicht si­cher zu sein – denn diese ver­schlei­ern ihre Schad­soft­ware bei­spiels­wei­se mit skur­ri­len Da­tei­for­ma­ten, die nie­mand genau über­prüft.

Wem können Unternehmen also noch vertrauen? Und wie sich wehren? Die Empfehlungen der Sicherheits-Spezialisten reichen vom Naheliegenden wie Schulungen der Mitarbeiter bis zum Einsatz von Künstlicher Intelligenz. Microsoft beispielsweise empfiehlt, alle Sicherheits-Updates sofort zu installieren, digitale Signaturen und für den Notfall die Definition eines Prozesses, wie auf eine Sicherheitsverletzung sofort reagiert werden sollte. Aber auch klare Vorgaben, nach denen beispielsweise die Integrität eines Software-Codes geprüft werden kann, damit nur sichere Applikationen etc. im Unternehmen genutzt werden können. Weitere Tipps sind regelmäßige Backups zur Datensicherung, die Definition klarer Zuständigkeiten, die umfassende Einführung von Monitoring- und Reporting Programmen, die jegliche Dritt-Anwenderzugriffe überprüft und nicht zuletzt ein direkter Draht zu den Zulieferern, damit diese schneller reagieren können. Das alles ist keine einfache, schnelle Lösung – doch die Angriffe werden nicht weniger werden. Ohne den nachhaltigen Schutz vor Cyberattacken ist die Zukunft des vernetzten Arbeitens, wie IoT (Internet of Things) und 5G es immer einfacher und schneller erlauben, in Gefahr.

Der Beitrag erschien erstmals online bei „results. FinanzWissen für Unternehmen“, Deutsche Bank AG; Autor: Bastian Frien

Bildnachweis: iStockphoto / MF3d

Weitere Texte zum Thema