Cyber-Bedrohung Nummer 1: Die Lieferkette

Cyber-Angriffe auf die Lieferkette haben in den letzten Jahren stark zugenommen. Sie gehören heute zu den grössten Bedrohungen überhaupt. Warum ist das so und welche Lösungsansätze sind am vielversprechendsten?

Text: Frank Herberg, publiziert am 25. März 2024

AI-generated illustration of highly complex supply chains and the challenges for cyber security
Highly complex supply chains are a particular challenge for cyber security. Illustration: DALL-E

Als der weltbekannte Kryptografie- und Computersicherheitsexperte Bruce Schneier 2012 von der Zeitschrift Computerworld Hong Kong gefragt wurde, ob wir denn heute sicherer seien als noch vor fünf Jahren, antwortete er: «Kurz gesagt, nein. Es ist interessant, dass es jedes Jahr neue Technologien, Produkte, Ideen, Unternehmen und Forschung gibt, und trotzdem fragen die Leute immer wieder, warum es um die Sicherheit so schlecht bestellt ist. Und die Antwort ist, dass das Problem im Grunde in der Komplexität liegt

Elf Jahre später, im März 2023, ermittelte die Agentur der Europäischen Union für Cybersicherheit, ENISA, in ihrer Vorhersage zu Cyberbedrohungen bis 2030 die hochkomplexen Lieferketten und insbesondere deren Softwareabhängigkeiten als Gefahr Nummer 1.

Cyber-Angriffe beginnen häufig in der Supply Chain

Defacto haben Supply-Chain-Attacken in den letzten Jahren deutlich zugenommen und sind mittlerweile einer der häufigsten initialen Infektionsvektoren. 
Warum ist das so? Einerseits haben die Unternehmen ihre eigene Sicherheit verbessert und es damit den Cyberkriminellen schwerer gemacht. Andererseits steigt jedoch die Nutzung von Service Providern und Cloud Services. Auch die verteilte Softwareentwicklung wird immer komplexer. Allein die Firmware grosser PC-Hersteller umfasst inzwischen weit über 4’000 Zulieferer für sämtliche enthaltenen Softwarekomponenten. 

Weitgehend wirkungsloser Grundschutz

Da Supply-Chain-Angriffe nicht direkt die eigene IT-Infrastruktur von Unternehmen attackieren, sondern über IT-Services Dritter eingeschleust werden, sind übliche Schutzmassnahmen der Anwenderunternehmen gegen diese Attacken weitgehend wirkungslos.

Beispiele aus der jüngsten Vergangenheit zeigen, dass selbst Unternehmen mit einem hohen Reifegrad in Sachen IT-Security wochenlang in den Ausnahmezustand geraten können, wenn eine neue Supply-Chain-Schwachstelle die Runde macht. Dem Betreiber fehlen schlicht Informationen darüber, welche Hardware, Betriebssysteme, Softwarebibliotheken etc. bei seinen vielen eingesetzten Produkten verwendet werden oder gar welche Versionen jeweils aktuell eingesetzt werden und welche neu bekanntgewordenen Schwachstellen für ihn relevant sind. 

Mehrstufige Angriffe auf die Supply Chain

Die Situation wird dadurch verschärft, dass sowohl die Supply Chain als auch Angriffe darauf über viele Stufen erfolgen können. Anbieter aggregieren ihrerseits als Nutzende Elemente und Services anderer Anbieter und sind von diesen abhängig. Ein Beispiel für einen mehrstufigen Supply-Chain-Angriff ist die Kompromittierung der 3CX Desktop App, einer beliebten VoIP-Software. Anfang 2023 wurde bekannt, dass diese Desktop-App kompromittiert wurde. Cyberkriminelle schafften es, Schadsoftware in die offiziellen Software-Updates der 3CX-Desktop-App einzuschleusen und damit an die Systeme der Endnutzenden zu verteilen. Sie infiltrierten dabei 3CX allerdings nicht direkt, sondern setzten wiederum bei einem Zulieferer namens Trading Technologies an, auf dessen Webseite eine maliziöse Softwarekomponente platziert werden konnte, die 3CX nutzt.

Prominente Beispiele aus der jüngsten Vergangenheit

Lösungsansätze

Es liegt auf der Hand, dass diese Problematik nicht an einer Stelle gelöst werden kann. Vielmehr müssen Betreiber, Lieferanten und Entwickler ihren Teil zur Verbesserung der Situation beitragen. Erfreulicherweise gibt es hier vielversprechende Entwicklungen:

Nicht nur Software im Visier

Natürlich reicht die Konzentration auf Software nicht aus, um Lieferketten sicherer zu machen. Sie ist nur eine Dimension des Problems. Das Prinzip der Stückliste lässt sich auch auf weitere Elemente der Supply Chain anwenden. Prinzipiell erlaubt das Konzept eine vollständige Transparenz über alle eingesetzten Komponenten. Beispiele sind die eingesetzte Hardware (HBOM) aber auch genutzte Cloud-Applikationen (SaaSBOM). Auch Sicherheitskomponenten (wie ein EDR) selbst müssen betrachtet werden, da diese oft mit hohen Berechtigungen ausgestattet sind und daher für die Kriminellen attraktiv sind. ENISA listet in ihrem Paper «Threat Landscape for supply chain attacks» Lieferanten-Assets auf, die Teil einer Supply-Chain-Attacke werden können. Dort werden konsequenterweise auch Personen mit Zugang zu sensiblen Daten und Infrastruktur genannt, womit sich der Kreis schliesst.

Wer nun ob der Komplexität des Themas für sich zum Schluss kommt, dass Stücklisten geduldig sind, sollte weiterlesen. Denn auch der Gesetzgeber hat erkannt, dass die Lieferkettenproblematik sehr ernst zu nehmen ist. Wer hier den Anschluss verpasst, kann die Existenz seines Unternehmens aufs Spiel setzen – nicht nur aufgrund eines erfolgreichen Angriffs.

Was tut sich bei der Gesetzgebung

Die EU-weite Gesetzgebung zur Cybersicherheit «NIS2-Richtlinie» ist im Januar 2023 in Kraft getreten und muss von den EU-Mitgliedsstaaten bis Oktober 2024 in nationales Recht überführt werden. Sie verlangt von Unternehmen, dass sie sich mit Cybersicherheitsrisiken in Lieferketten und Lieferbeziehungen befassen. Erstmals nimmt das Gesetz auch Unternehmen in der Lieferkette in die Pflicht. In Artikel 21 Absatz 2 wird die Cybersicherheit der Lieferkette als integraler Bestandteil der Massnahmen zum Management von Cybersicherheitsrisiken betrachtet. Auch fordert sie den Einsatz von SBOMs. Zulieferer können sich auf entsprechende Audits einstellen.

Der Entwurf des EU Cyber Resilience Act (CRA) verpflichtet Hersteller digitaler Produkte unter anderem zur Bereitstellung von Sicherheitsupdates für einen definierten Zeitraum. Diese sollen möglichst unverzüglich bereitgestellt werden, um Verzögerungen durch eingesetzte Softwarekomponenten anderer Hersteller zu vermeiden. Im Gespräch ist eine CE-Kennzeichnung für mit dem Internet verbundene Produkte, welche anzeigt, dass diese den neuen Normen entsprechen. 

Das Weisse Haus hat bereits 2021 eine Executive Order zur Verbesserung der Cybersicherheit der Nation erlassen. EO 14028 legt neue Anforderungen zur Sicherung der Software-Lieferkette der Bundesregierung fest. Das US-NIST hat im Februar 2022 die Bereitstellung und Verwendung von SBOM durch Lieferanten der US-Administration vorgeschrieben.

Auch in der Schweiz tut sich etwas in Sachen Lieferkettenrisiken: Im Schlussbericht zur Wirksamkeitsüberprüfung der Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS) vom 28. März 2022 wird erwähnt, dass die Befragten Probleme darin sehen, dass das Bewusstsein für Lieferkettenrisiken im Zusammenhang mit Bestandteilen oder auch Dienstleistungen für kritische Infrastrukturen mangelhaft sei und durch die NCS nicht konsequent angesprochen werde.

Fazit

Organisationen, die das Risiko von Angriffen über Lieferketten nicht systematisch angehen, setzen sich nicht nur einer hohen Gefahr aus, unvorbereitet Opfer eines solchen Angriffs zu werden. Sie laufen auch Gefahr, zukünftig regelmässig bei Schwachstellenmeldungen in operative Hektik zu verfallen und wertvolle Ressourcen in der Sicherheit und dem Betrieb mit der Suche nach der Nadel im Heuhaufen zu vergeuden. Da die Kriminellen naturgemäss nicht auf uns warten, sollten Unternehmen ein dem Risiko angemessenes Incident-Handling und Notfall-Management etablieren, das auch Supply-Chain-spezifische Vorfälle berücksichtigt. Dazu sollten für wesentliche Geschäftsprozesse und schützenswerte Daten die Lieferkettenabhängigkeiten analysiert und dokumentiert werden. Und für Zulieferer sollte analysiert werden, welche Auswirkung eine temporäre Nicht-Nutzung von Systemen und Diensten hätte. Schliesslich ist es wichtig, die Inventarisierung voranzutreiben, sich mit den bestehenden Lösungsansätzen vertraut zu machen und diese dann auch bei den Zulieferern einzufordern.

Nicht zuletzt ist deutlich sichtbar, dass Gesetzgeber und Regulatoren das Risiko erkannt haben und tätig werden. Wer hier die Zeit nicht nutzt, riskiert drastische Strafen und als Lieferant schlimmstenfalls auch den De-facto Ausschluss vom Markt. 

Cyber Security
Frank Herberg

Frank Herberg

Head of SWITCH-CERT (Commercial Sectors)

Switch

Alle Beiträge ansehen