Cybersicherheit in der Supply Chain: Vertrauen ist gut, Kontrolle ist Pflicht

Die Abhängigkeit von Drittanbietern erhöht das Risiko erheblich, denn jede Station in der Lieferkette kann ein potenzielles Einfallstor für Cyberangriffe sein.

Hardware-Angriffe auf Prozessoren, Netzteile oder Netzwerkadapter sind genauso möglich wie Manipulationen von Softwarekomponenten. Softwareanbieter beispielsweise nutzen oftmals Drittanbieter-Komponenten, um Produkt-Updates bereitzustellen, da dies effizienter ist als eine Eigenentwicklung. Während sie jedoch die Kontrolle über ihr eigenes Produkt haben und es nach bewährten Methoden entwickeln, liegt die Kontrolle über die Update-Komponente beim externen Anbieter und ist damit im Zweifelsfall offen für Missbrauch.

Schwachstelle Lieferkette: Wie Angriffe auf Dritte alles lahmlegen können

Eine der bekanntesten Supply-Chain-Attacken ereignete sich 2020, als das Unternehmen SolarWinds angegriffen und Updates von deren Orion-Software manipuliert wurden, die dann unwissentlich an Tausende Kunden– darunter auch Behörden und große Unternehmen – ausgeliefert wurden. Wer pflichtbewusst Updates installierte, holte sich damit ungewollt eine Hintertür ins eigene Netzwerk.

2024 legte die russische Ransomware-Gruppe Qilin mit einem Angriff auf den UK National Health Service-Dienstleister Synnovis große Teile der britischen Gesundheitsversorgung lahm. Nachdem sich Synnovis weigerte, 40 Millionen Pfund Lösegeld zu zahlen, mussten über 6.000 Eingriffe und Termine verschoben werden – und das, obwohl die IT-Systeme des National Health Services selbst gar nicht betroffen waren.

Besonders anfällig für Übergriffe ist die E-Mail-Kommunikation, die Cyberkriminellen als bevorzugtes Schlupfloch dient. Sie nutzen gezielte Phishing-Attacken, um E-Mail-Konten von Dienstleistern oder Partnern, wie beispielsweise Managed Service Providern (MSPs), zu kompromittieren und über diese in das Zielunternehmen einzudringen, um schädliche Links oder Dateianhänge einzuschleusen. So können sich Angreifer über betroffene Drittanbieter Zugang zu ganzen IT-Systemen verschaffen und manipulierte Software-Updates oder Cloud-Dienste noch weiterverbreiten.

Vier-Phasen-Modell von Supply-Chain-Attacken

Supply-Chain-Angriffe verlaufen in der Regel in vier aufeinanderfolgenden Phasen, mit dem Ziel, ein Netzwerk umfassend zu kompromittieren: Zunächst greifen die Hacker einen Anbieter innerhalb der Lieferkette an und nutzen dabei etwa Schwachstellen in dessen Systemen aus oder wenden Social Engineering-Taktiken an. Ist der Zugang erfolgreich, schleusen die Angreifer in der zweiten Phase den schädlichen Code in Produkte, Software-Updates oder Dienstleistungen ein, die dieser Anbieter regulär an seine Kunden weitergibt.

Nun erfolgt die Verbreitung: In der dritten Phase verteilt sich die manipulierte Komponente im Rahmen gewöhnlicher Update-Prozesse oder Lieferungen an die Kunden – das meist unbemerkt und unter dem Deckmantel eines legitimen Vorgangs. Sobald die infizierte Komponente in den Zielsystemen angekommen ist, beginnt die vierte Phase: Die Schadsoftware wird aktiviert und ermöglicht eine Datenexfiltration, die Systemübernahme oder das Einrichten weiterer Zugriffsmöglichkeiten für die Angreifer.

Das Vorgehen macht deutlich: Angriffe auf die Lieferkette sind besonders gefährlich, weil sie tief in bestehende Vertrauensbeziehungen und in etablierte, oft als sicher geltende Prozesse eindringen und diese für kriminelle Zwecke ausnutzen. Da die Angreifer unter dem Deckmantel legitimer Lieferketten- und Update-Prozesse arbeiten, bleiben ihre Aktivitäten häufig so lange unentdeckt, bis bereits erhebliche Schäden entstanden sind. Aber eine rechtzeitige Erkennung und Abwehr ist möglich!

Drittanbieter im Visier

Um sich vor Lieferkettenangriffen zu schützen, müssen Unternehmen sowohl ihre eigenen Systeme als auch die Sicherheit ihrer Zulieferer auf den Prüfstand stellen. Ein erster Schritt für das eigene Unternehmen besteht darin, eine grundlegende Cyberhygiene einzurichten: Dazu zählen unter anderem eine Phishing-resistente Multifaktor-Authentifizierung (MFA), regelmäßige Updates und Patches, der Einsatz eines umfassenden XDR-Systems (Extended Detection and Response) sowie eine Zero-Trust-Policy.

Softwareentwickelnde Unternehmen sollten zusätzlich darauf achten, dass alle eingesetzten Entwicklungswerkzeuge – von integrierten Entwicklungsumgebungen bis zu Versionskontrollsystemen – vor unbefugtem Zugriff geschützt und regelmäßig aktualisiert werden. Zudem ist der Einsatz von Maßnahmen wie sicherer Codierungsrichtlinien, Software Composition Analysis und kontinuierlicher Sicherheitsüberprüfungen essenziell, um Risiken durch unsichere Drittanbieter-Komponenten und potenzielle Angriffsvektoren frühzeitig zu erkennen und zu minimieren.

Digitale Signatur-Prüfung und Früherkennung

Neben diesen Grundlagen sollten Unternehmen auf folgende weiterführende Strategien setzen. Dazu gehört die digitale Signaturprüfung, mit der sich manipulierte Software-Komponenten sich frühzeitig erkennen lassen. Auch die Früherkennung von Risiken über Expertennetzwerke, Cybersecurity-Labore und Reports helfen, aktuelle Risiken im Blick zu behalten. Und Unternehmen sollten die Security Awareness durch realistische Angriffssimulationen und gezielte Schulungen der Mitarbeitende stärken.

Sobald die eigene Sicherheitsarchitektur zuverlässig steht, sollten auch die Partner in der Lieferkette geprüft werden: Wie sind diese sicherheitstechnisch aufgestellt? Haben sie klare Prozesse zur Meldung von Sicherheitsvorfällen? Werden ihre Produkte regelmäßig intern oder extern getestet? Verfügen sie über ein Bug-Bounty-Programm? Unternehmen sollten zudem ihre Zulieferer dazu verpflichten, Sicherheitsstandards einzuhalten, und prüfen, ob auch deren Zulieferer – die „Lieferkette der Lieferkette“ – ausreichend abgesichert sind.

Früh erkannt, halb gebannt: Schutz vor Angriffen über die Lieferkette

Angriffe über die Lieferkette sind schwer zu erkennen, vor allem, weil viele Komponenten außerhalb des eigenen Einflussbereichs liegen. Umso wichtiger sind Monitoring und Anomalieerkennung: Ein SIEM-System (Security Information and Event Management) sammelt Logdaten und analysiert diese zentral auf verdächtige Muster. Doch wenn ein Angriff erkannt wird, ist es oft schon zu spät! Besser als Schäden begrenzen zu müssen ist es, Sicherheitsvorfälle gar nicht erst entstehen zu lassen.

Ein ganzheitliches Schutzkonzept bietet entscheidende Vorteile im Kampf gegen Supply-Chain-Angriffe, da es mehrere sicherheitsrelevante Ebenen abdeckt und so Schwachstellen wirksam minimiert. Ein solcher Komplettansatz sollte neben dem Schutz der E-Mail-Kommunikation – als häufigstem Einfallstor – auch regelmäßige und umfassende Backups in Hyper-V-, VMware- oder Microsoft 365-Umgebungen umfassen, um Datenverluste im Falle eines Angriffs zu verhindern. Ergänzend ist die Sensibilisierung der Mitarbeitenden für Bedrohungen wie Phishing oder Social Engineering essenziell, um potenzielle Risiken frühzeitig zu erkennen. Die Kombination aus technischen Sicherheitsmaßnahmen, Datensicherung und gezielter Awareness schafft eine robuste Verteidigungslinie gegenüber modernen Cyberbedrohungen.