Direkt zum Inhalt

Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Supply-Chain-Angriffe

Die Bezeichnung Supply-Chain-Angriffe leitet sich aus dem englischen Begriff für Lieferkette (supply chain) ab. Da die Verbreitung ohne das aktive Zutun der Betroffenen erfolgt, erweist sich diese Angriffsmethode als besonders effektiv. Vor allem aufgrund der fortschreitenden Digitalisierung in den Unternehmen nahmen Angriffe auf Software-Lieferketten in den vergangenen Jahren dramatisch zu.

Verstehen

Angriffe auf die Software-Lieferkette sind für Hacker attraktiv. Dadurch können sie Zugriff auf alle Unternehmen erhalten, die die betroffene Software verwenden. Der Fokus liegt bei den Angreifenden sowohl auf kommerzieller Software als auch auf Open-Source-Anbietern. 

Die Vorgehensweise ist in der Regel wie folgt:

  1. Die Angreifenden suchen nach unsicherem Code, Softwareschwachstellen und anderen Zugriffsmöglichkeiten, um sich im System des Softwareherstellers zu platzieren. 
  2. Im zweiten Schritt verschaffen sie sich Zugriff auf den Quellcode der jeweils entwickelten oder vertriebenen Software und schleusen dort den Schadcode ein. 
  3. Den dritten und entscheidenden Schritt unternimmt das kompromittierte Unternehmen selbst: Es liefert die Software, im Rahmen eines Updates oder einer Erstauslieferung, an den Kunden aus. Der Kunde wägt sich in Sicherheit, denn der Absender oder die Downloadquelle scheinen vertrauenswürdig. Doch installiert er die Software, installiert er auch den Schadcode.
CSBW Icon Methode

Vermeiden

Folgende präventive Maßnahmen können helfen, um sich bestmöglich vor Supply-Chain-Angriffen zu schützen:

SBOM

Jedes Unternehmen sollte eine Übersicht über die eingesetzte Software pflegen, die sogenannte SBOM (Software Bill of Materials). Die SBOM enthält jegliche kommerziellen und freien Software-Bestandteile, die in eingesetzten Software-Produkten enthalten sind. Nur so haben die Verantwortlichen einen vollständigen Überblick.

Um den Zeitversatz zwischen sicherheitskritischen Erkenntnissen und Information an Konsumenten möglichst gering zu halten, sollte die Aktualisierung dieser Liste vorwiegend automatisiert erfolgen.

Sollte eine Schwachstelle oder kompromittierte Komponenten identifiziert werden, sind schnell Abhängigkeiten, Einsatzgebiete und Zuständigkeiten abzulesen und Handlungsschritte abzuleiten.

Update- und Patchmanagement einrichten

Ein fortlaufendes Update- und Patchmanagement ist unabdingbar. Das Aktivieren von automatischen Updates in verwendeter Software ist in der Regel zu empfehlen. Wenn es Gründe dagegen gibt oder diese Einstellung nicht vorhanden ist, sollte dies zusammen mit einem alternativen Updateprozess dokumentiert werden.


Vertragsgestaltung mit Software-Lieferanten

Bei der Vertragsgestaltung mit Dienstleistern und Lieferanten ist es hilfreich folgende Punkte zu beachten:

  1. Die Bereitstellung aller Informationen, die zur Erstellung einer Software Bill Of Materials (SBOM) für die jeweilige Software notwendig ist, sollte verpflichtend sein.
  2. Software-Lieferanten sollten dazu verpflichtet werden Informationen über Sicherheitsvorfälle bereitzustellen.
  3. Verpflichtung von Lieferanten zur Bereitstellung von Sicherheitsupdates über die erwartete Lebensdauer oder einen definierten Zeitraum. Auch die unverzügliche Bereitstellung der Updates ist in diesem Zusammenhang zu fordern.
  4. Die Verpflichtung zur Bereitstellung aller notwendigen Informationen für die Durchführung einer Risikobewertung. Eine solche Bewertung ist sinnvoll um die präventiven Maßnahmen sowie die internen Prozesse auf das jeweilige Risiko hin zu wählen. 
     

Festlegung von Zero-Trust-Richtlinien

Um Angriffe der hier beschriebenen Art einzudämmen, sind die Prinzipien des Zero-Trust von entscheidender Bedeutung. Dabei wird das gesamte Unternehmensnetzwerk in Mikrosegmente unterteilt. Auf diesen werden Sicherheitsrichtlinien angewendet, die den unbefugten Zugriff auf eingeschränkte Ressourcen, wie Dateien, Prozesse und Netzwerke, durch bösartigen Code verhindern.

Einrichtung von Honeypots

Als Honeypot (Honigtopf) bezeichnet man harmlose Daten, die allerdings wie sensible oder wertvolle Daten aussehen und somit das Interesse von Angreifenden wecken.

Somit funktionieren diese Daten wie ein Stolperdraht, denn der Zugriff löst die Information des IT-Sicherheits-Teams samt den anhängenden Prozessen aus.

IAM-Systeme einführen

Ein Identity-Access-Management-System (IAM-System) bietet eine zentrale Übersicht, mit der die zuständigen Personen über die gesamte IT-Umgebung hinweg Datenzugriffe kontrollieren und Accounts verwalten können. Dadurch lassen sich Berechtigungen im Netzwerk besser verwalten und potenzieller Missbrauch schnell erkennen.
CSBW Icon Akteure

Erkennen

Das Erkennen von Angriffe dieser Art ist oftmals eine Herausforderung. Auch in vermeintlich gut geschützten Umgebungen werden immer wieder Fälle bekannt, bei denen Schadsoftware lange Zeit unerkannt bleibt.

Monitoring-Systeme leisten einen großen Beitrag, um einen Supply-Chain-Angriff zu erkennen. Diese bemerken unübliches und auffälliges Verhalten im Netzwerk und melden es.

Auch die Aufmerksamkeit der Mitarbeitenden bezüglich ungewohntem Verhalten von Applikationen oder Systemen ist hier hilfreich, um Angriffe schnell zu entdecken.
CSBW Icon Sicherheit

Beheben

Der sicherste Weg zu einer Bereinigung ist, die gesamte Infrastruktur neu aufzusetzen. 

Da dies jedoch, je nach getroffenen Vorbereitungen (Backup, IT-Notfallplan,…), zu sehr hohen Kosten und langen Ausfällen führen kann, sollte die Vorgehensweise aus einer individuellen Risikobetrachtung hervorgehen. Dabei können Aspekte wie die potentielle Ausbreitung im Netzwerk, forensische Untersuchungen zur Identifikation des Einfallstores und Möglichkeiten der lokalen Bereinigung betrachtet werden.

Weiterführende Links

Bekannte Vorfälle