Schutz vor Cyberattacken in der Lieferkette

Viele haben zu Kollaborations-Software wie Microsoft Teams überhaupt erst seit Beginn der Corona-Krise Kontakt. Auch in der PCtipp-Viele der Attacken, die innerhalb einer Lieferkette stattfinden, bleiben lange unentdeckt. Sie bieten den Kriminellen so die Chance, über einen längeren Zeitraum Daten mitzulesen, sich in Ruhe in Systeme einzunisten und die Möglichkeiten zur Monetarisierung des Angriffs vollständig auszuschöpfen. Nehmen wir das Solar­Winds-Beispiel: Die eigentliche Kompromittierung erfolgte schon im Frühjahr 2020 – doch bis zur Erkennung neun Monate später waren durch diesen einen initialen erfolgreichen Angriff bereits mehr als 18 000 Netzwerke von Unternehmen und Regierungsbehörden in Mitleidenschaft gezogen worden. Zu den Opfern zählten letztlich auch Microsoft und das Verteidigungsministerium der USA.

Ein Einzelfall? Daten von Proofpoint sprechen dagegen. Ganz im Gegenteil: Eine im Februar 2021 durchgeführte Analyse von 3000 Unternehmen kam zu dem Ergebnis, dass in einem nur sieben Tage umfassenden Zeitfenster ganze 98 Prozent aller Unternehmen der Stichprobe mit Cyber­bedrohungen konfrontiert waren, die von der Domain eines Lieferanten stammten. Dabei war es unerheblich, wie gross das Unternehmen war oder aus welcher Branche es stammte. Daran lässt sich erkennen, dass das Risiko, das von Lieferanten ausgeht, universeller Natur ist.

Während das Risiko selbst also jedes Unternehmen trifft, hat die erwähnte Analyse ergeben, dass Grossunternehmen besonders stark betroffen sind. Organisationen der Fortune-1000-Liste erhielten im Durchschnitt von doppelt so vielen Supplier-Domains betrügerische E-Mails. Doch nicht nur die höhere Anzahl der Absender-Domains ist auffällig, das Risiko spiegelt sich auch in einem deutlich höheren Nachrichtenvolumen wider. Grosse Firmen erhielten binnen einer Woche mehr als viermal so viele betrügerische Nachrichten wie der Durchschnitt.

Die meisten Menschen denken bei Cyberbedrohungen durch Lieferanten an Rechnungsbetrug. Dabei handelt es sich in der Regel um ausgeklügelte, komplexe Angriffe, bei denen entweder eine betrügerische Rechnung als legitim dargestellt oder aber die Zahlung einer legitimen Rechnung auf ein vom Angreifer kontrolliertes Bankkonto umgeleitet wird. Wenn man bedenkt, wie viel Geld mit Lieferantenrechnungen in Verbindung steht, kann diese Art von Betrug betroffene Unternehmen schnell Beträge im sechs- oder gar siebenstelligen Bereich kosten.

Vielen solcher Angriffe ist gemeinsam, dass sie von einem legitimen E-Mail-Konto ausgehen, das zuvor von Cyberkriminellen kompromittiert wurde. Solche kompromittierten Konten sind bei den Bedrohungsakteuren sehr begehrt. Denn sie bieten die Möglichkeit, die Systeme des Unternehmens in grossem Umfang auszuforschen, oftmals ohne Verdacht zu erwecken. Auch werden betrügerische
E-Mails, die von dem übernommenen Konto gesendet werden, nur schwer als solche erkannt. Sie passieren beispielsweise die E-Mail-Authentifizierungskontrollen – wie DKIM oder SPF – ohne Probleme, da sie tatsächlich von einem legitimen Konto stammen.

Mittels eines solchen übernommenen Kontos wird abgewartet und mitgelesen, bis eine laufende E-Mail-Konversation identifiziert wurde, die sich um eine legitime Trans­aktion dreht. An diesem Punkt «kapert» der Angreifer die Unterhaltung und greift in die laufende E-Mail-Kommunikation ein. Da die Nachricht des Angreifers Teil einer bestehenden Kommunikation ist, wirkt sie für das Opfer sehr glaubwürdig. So erscheinen Aufforderungen zur Änderung von Bankverbindungen, z. B. unter dem Vorwand laufender Audits oder bedingt durch Covid-19, deutlich plausibler und werden weniger häufig infrage gestellt. Diese Glaubwürdigkeit und das Vertrauen sind Schlüsselelemente des Social Engineerings, dessen sich Cyberkriminelle bedienen. Thread-Hijacking-Angriffe (also das Einhacken in eine laufende E-Mail-Korrespondenz) sind für einzelne Mitarbeitende naturgemäss sehr schwer, wenn nicht gar unmöglich zu erkennen, sodass hier technische Gegenmassnahmen speziell notwendig und nützlich sind.

Kompromittierte Konten sind also für Cyberkriminelle besonders wertvoll. Sie nutzen deshalb die Beziehungen in der Lieferkette zunehmend mit dem Ziel, Anmeldedaten abzugreifen und noch mehr Konten zu übernehmen. In der zuvor erwähnten Studie waren 74 Prozent aller Angriffe der Kategorie Phishing/Impostor zuzuordnen. In diesem Fall verdeutlicht das Ergebnis einmal mehr, dass sich Angriffe primär gegen das menschliche Verhalten richten und technische Schwachstellen eine zunehmend geringere Rolle spielen. Ausserdem folgen die Angreifer den Anbietern und Unternehmen in die Cloud. Der Rückgriff auf Kollabora­tionsplattformen wie Microsoft 365, Google G-Suite und Dropbox zum Hosten oder zum Versand von Bedrohungen steigt an, und zwar in einem alarmierenden Tempo.

Was also sollten Unternehmen tun, um sich gegen Cyberattacken besser abzusichern, die sich aus der Lieferkette heraus gegen sie richten?

Die Angriffe selbst sind äusserst komplex und ver­suchen, wie erwähnt, im ersten Schritt, menschliches Verhalten auszunutzen. Deshalb muss auch die Verteidigung beim Menschen ansetzen. Dieser personenzentrierte Ansatz sollte im Idealfall mehrstufig aufgebaut sein und Technologie, Prozesse und den Mitarbeiter integrieren.  

Aus technologischer Sicht empfiehlt sich eine Lösung, die in der Lage ist, die Lieferanten eines Unternehmens und deren E-Mail-Versand-Domains automatisch zu identifi­zieren. Aus der Perspektive der Lieferanten wird im Kontext umfangreicher Bedrohungsdaten jegliche E-Mail-Kommunikation zwischen dem Zulieferer und dem Unternehmen analysiert. Dabei wird das Risiko anhand verschiedener Dimensionen bewertet. Hierzu zählen u. a. erkannte Bedrohungen, die von dieser Domain an das Unternehmen gesendet wurden; Bedrohungen von dieser Domain, die an anderen analysierten Secure Email Gateways auffielen; Überprüfung von Lookalike-Domains des Lieferanten; neu registrierte Domains; Vorhandensein einer DMARC-Richtlinie.  

Durch das Ranking der Risikostufe der Lieferanten-Domains können umgehend die wichtigsten Schritte und Gegenmassnahmen definiert werden.  Auf diese Weise kann das Sicherheitsteam seinen Fokus auf die Lieferanten konzentrieren, die das höchste Risiko für die Firma darstellen.

Neben der Technik gilt es zudem, alle Mitarbeitenden, die in der Lieferkette tätig sind, entsprechend zu schulen und sie für diese neuartigen und sich ständig verändernden Angriffsmuster zu sensibilisieren. Auch müssen entsprechende Prozesse im Unternehmen verankert werden, die helfen können, das Risiko weiter zu senken. Hier können z. B. telefonische Validierungen als Teil des Prozesses definiert werden, wann immer eine Bankverbindung geändert wird. Das Zusammenspiel aus Technik, Prozess und Menschen macht den Unterschied zwischen einem Betrugsversuch unter Ausnutzung der Lieferkette – der mindestens einmal pro Woche erfolgt – und einem erfolgreichen Angriff.