Anzeige
Anzeige
Anzeige
Beitrag drucken

Angriff auf Lieferketten

Experten warnen vor Zunahme

Sicherheitsexperten warnen, dass gute Reproduzierbarkeit, hohe Lösegeldzahlungen und schwache Sicherheitsvorkehrungen dafür sorgen könnten, dass die Zahl der Cyberangriffe auf Lieferketten dieses Jahr deutlich steigen, da sie sich im vergangenen Jahr für Cyberkriminelle als besonders lohnenswerte Ziele erwiesen.

Bild: ©Cmon/stock.adobe.com

Bild: ©Cmon/stock.adobe.com

Durch nur ein kompromittiertes Opfer können sie entlang der Kette weitere Unternehmen infiltrieren und sich die lohnendsten Ziele herauspicken. So sparen sie Zeit und Geld, denn der erfolgreiche Hack eines zentralen Dienstes, einer Plattform oder einer Software öffnet ihnen Tür und Tor zu hunderten oder gar tausenden weiteren Opfern.

Eindrucksvoll zeigten das 2021 die Angriffe auf die Software-Dienstleister Kaseya und SolarWinds. Zehntausende Unternehmen weltweit hatten unter den Cyberattacken auf die beiden ursprünglichen Opfer zu leiden. Erst kürzlich warnte die Agentur der Europäischen Union für Cybersicherheit (ENISA) in einer Auswertung von 24 Angriffen auf Lieferketten davor, dass zwar die Planung solcher Attacken durchaus komplex ist, die angewandten Methoden jedoch eher einfach. So kommen neben Schwachstellen in der Software auch Malware, Phishing, gestohlene Zertifikate und kompromittierte Software-Zertifikate zum Einsatz. Auch Open-Source-Komponenten oder Firmware weisen in vielen Fällen Schwachstellen auf, die von den Kriminellen ausgenutzt werden können. Eine weitere, gut reproduzierbare Angriffsmethode ist die sogenannte Dependency Confusion (dt. Abhängigkeitsverwirrung). Bei dieser Attacke werden Dependency Packages im System des Opfers durch Malware Packages mit gleichem Namen ausgetauscht. Bei der verwendeten Malware muss es sich nicht unbedingt um eine Ransomware handeln, auch Cryptominer haben sich für Kriminelle als lukratives Instrument erwiesen. Trotzdem dürfte die Zahl der Angriffe mit Verschlüsselungstrojanern weiter zunehmen, insbesondere im Zusammenhang mit Angriffen auf Lieferketten. So können Angreifer nicht nur das eigentliche Opfer erpressen, sondern entlang der Lieferkette weitere Ziele kompromittieren – mit nur einer einzigen erfolgreichen Attacke!

Besondere Sorge bereitet Sicherheitsforschern, dass erfolgreiche und gewinnbringende Angriffe wie bei Kaseya und SolarWinds Nachahmer auf den Plan rufen dürften, was die Bedrohungslage weiter verschärfen wird. Bereits jetzt werden zwei Drittel der Ransomware-Angriffe von weniger spezialisierten Angreifern durchgeführt, die ihre Tools im Darkweb erworben haben. Um den Kriminellen Einhalt zu gebieten, werden alte Sicherheitsmodelle, Homeoffice-Vorgaben, hybride Cloud-/On-Premises-Setups und komplizierte digitale Lieferketten überarbeitet werden müssen. Viele Unternehmen stecken jedoch noch mitten in der digitalen Transformation und verlieren bei der Einführung neuer Apps, Dienste und Anwendungen die Cybersicherheit aus den Augen. Wer zunehmend auf Komponenten, Plattformen und Dienstleistungen auf verschiedenen Ebenen einer Lieferkette angewiesen ist, muss sich dieser neuen Realität bewusst werden – und folglich die Sicherheit überprüfen und gegebenenfalls verstärken, auch außerhalb der eigenen Netzwerke. Doch angesichts der Komplexität vieler Lieferketten gestaltet sich das als schwierig. Eine Möglichkeit bieten hier sogenannte SBOMs, kurz für security-oriented Bill of Materials. SBOMs sind Software- und Komponentenverzeichnisse, die entwickelt wurden, um mehr Transparenz über die Softwarenutzung im Unternehmen zu erzwingen. Sie können Lieferantenlisten, Lizenzen und Sicherheits-Audit-Zusicherungen umfassen und künftig Teil von Lieferantenverträgen werden. Auch Sicherheitsreports werden künftig nicht mehr nur sporadisch erstellt werden können, sondern müssen stets auf dem aktuellen Stand sein – und das bei allen Gliedern der Kette. Nur so wird es gelingen, Lieferketten künftig gegen die wachsende Bedrohung durch Hackerangriffe abzusichern.


Das könnte Sie auch interessieren:

Brauchen Firmen noch ein Manufacturing Execution System, wenn sie ihre Maschinen und Anlagen im Sinne eines Industrial Internet of Things vernetzt haben? Auf den zweiten Blick wird klar: Ja, denn um aus Daten Information zu machen, braucht es Spezial-Software. Veteranen könnte dieser Diskurs an die 90er Jahre erinnern, als Business Intelligence-Systeme ihren Siegeszug feierten.‣ weiterlesen

Beim Mittelstand-Digital Zentrum Klima.Neutral.Digital sollen Unternehmen Hilfestellung auf dem Weg zur Klimaneutralität erhalten. Unternehmen erhalten dort neben Informationen auch Unterstützung bei konkreten Projekten.‣ weiterlesen

Trotz der aktuellen Krisen rechnet das Institut für Arbeitsmarkt- und Berufsforschung in seiner Prognose nicht mit einem Einbruch am Arbeitsmarkt. Für die Industrie prognostizieren die Forscher jedoch stagnierende Zahlen.‣ weiterlesen

Eine gemeinsame Lösung für sicherheitsorientierte Unternehmen und Behörden ist das Ergebnis einer Zusammenarbeit zwischen Mendix und Stackit. Mendix Low-Code-Anwendungen können so auf der souveränen Stackit-Cloud betrieben werden.‣ weiterlesen

Effizienz und Cybersicherheit sind zwei wichtige Aspekte in der Softwareentwicklung. GitOps ist ein Ansatz, um beides zu verbessern. Zugleich wird die Handlungsfähigkeit von Entwicklungsteams gesteigert.‣ weiterlesen

Mit 84,3 Punkten ist der Ifo-Geschäftsklimaindex auf den tiefsten Stand seit Mai 2020 gefallen. Dabei betraf der Rückgang alle Wirtschaftsbereiche.‣ weiterlesen

Vom 18. bis zum 19 Oktober findet die In.Stand in Stuttgart statt. Fokusthemen der Fachmesse für Instandhaltung und Services sind in diesem Jahr Nachhaltigkeit und Sicherheit.‣ weiterlesen

Das DFKI und das Fraunhofer IML untersuchen in einem Forschungsprojekt, wie künstliche Intelligenz bei der Vergabe von Lehrstühlen und Institutsleitungen unterstützen kann. In der Folge soll ein Portal für Bewerber-Profile entstehen.‣ weiterlesen

Nachhaltigkeit wird oft von den Beteiligten eines Wertschöpfungsnetzwerkes erwartet - und sie kann sich als gewinn- und kostenrelevant darstellen. Um jene Unternehmen zu diesem Wandel zu befähigen, die über begrenzte Ressourcen verfügen, können diese Firmen Ökosysteme etwa mit Zulieferern, Vertragspartnern und Technik-Dienstleistern aufbauen, um kreative Lösungen zu erarbeiten.‣ weiterlesen

Motiviert von der Aussicht auf Effizienz im Produktionsprozess und damit verbundenen Kosten- sowie Wettbewerbsvorteilen, setzen immer mehr Unternehmen auf Technologien wie etwa Sensorik oder künstliche Intelligenz. Und oft fällt das Schlagwort ’Green Manufacturing’. Dabei schauen viele nur auf den unmittelbaren ökologischen und ökonomischen Nutzen. Was oft fehlt, ist die Berechnung der Gesamtbilanz dieser Digitalisierungsmaßnahmen und der Weitblick in Sachen Nachhaltigkeit.‣ weiterlesen

Auf dem Anwenderforum ’Einsatz mobiler Lösungen’ können sich Interessierte vom 8. bis zum 9. November über den Einsatz Technologien wie etwa KI und Augmented Reality in der Instandhaltung austauschen.‣ weiterlesen