Angriff über die Lieferketten

Die zunehmende Vernetzung von Gesellschaft, Wirtschaft und Staat birgt auch gewaltige Gefahren in sich. Nicht zuletzt durch die wachsende Komplexität öffnen sich neue Flanken für Angreifer, und zwar an
Stellen, die derzeit von vielen Unternehmen noch zu wenig beachtet werden.

Eine dieser kritischen Angriffspunkte ist die Lieferkette. Diese weist aus Cybersecurity-Sicht immer mehr Schwachstellen auf. Und wo wunde Punkte auftauchen, kann man davon ausgehen, dass Hacker sowie Spione und Saboteure im Staatsauftrag diese gnadenlos ausnutzen werden.

Angriffe über die Lieferkette, auch als Supply Chain Security bekannt, weisen dabei zwei Hauptaspekte auf. Einerseits geht es um die Security der eigenen Lieferkette sowie von Drittparteien und Geschäftspartnern. Es kann nämlich für die eigene IT-Sicherheit bedenklich sein, wenn Partnerfirmen oder Lieferanten schlecht geschützt sind und Hacker über diese Drittfirmen das eigene Unternehmen anzugreifen versuchen. Andererseits kann die Lieferkette von Software- und Hardware-Produkten selbst eine Schwachstelle darstellen, indem Lücken ausgenutzt werden, seien es Fehler oder bewusst platzierte Hintertüren – sogenannte Backdoors.

Heutige Unternehmen sind immer stärker miteinander verzahnt und daher auch vom Cybersecurity-Standpunkt aus mehr voneinander abhängig. Angriffe über Drittfirmen nehmen daher laufend zu, zumal das entsprechende Ökosystem immer grösser und komplexer wird. «Je grösser das Netzwerk von Lieferanten und Partnern, desto grösser sind Supply-Chain-basierte Cyberrisiken», gibt diesbezüglich Umberto Annino, Principal Cyber Security Consultant beim Baarer IT-Security-Spezialisten InfoGuard, zu bedenken.

Eine internationale Studie des Ponemon Institute hat die enge Verzahnung unlängst aufgezeigt. Die 1000 dort befragten CISOs gaben an, dass ihre Firmen durchschnittlich jeweils mit 583 Partnern Daten austauschen. Dabei handelt es sich unweigerlich auch um heikle Informationen, die nicht in die Hände Dritter gelangen sollten. Viele Unternehmen wissen zudem nicht einmal, mit wie vielen Drittfirmen sie Daten austauschen. Nur 34 Prozent führen nämlich nur Buch über diese Beziehungen.

Diese Fülle an Partnern eröffnet Cyberkriminellen viele mögliche Einfallstore. «Diese Auswahl an möglichen Angriffspunkten machen sich Angreifer häufig zunutze, um genau das Unternehmen zu identifizieren, das am wenigsten geschützt ist beziehungsweise für sie das einfachste Ziel darstellt», sagt Christophe Biolley, PreSales Group Manager DACH bei Kaspersky. «Je nach Art und Absicht eines Angriffs können betriebsinterne Daten aus­spioniert oder ein Unternehmen sogar ganz sabotiert werden», fügt er an.

Kein Wunder, mehren sich Datendiebstähle bei Partnerfirmen, die dann als Ausgangspunkt für weitere Angriffe verwendet werden können. Wie die genannte Ponemon-Studie zeigt, die unter dem Titel «Data Risk in the Third-Party Ecosystem» erschienen ist, berichteten 59 Prozent der befragten CISOs über einen Datendiebstahl bei Dritt­firmen und Partnerunternehmen. Die Dunkelziffer könnte zudem beachtlich sein. Schliesslich gaben 22 Prozent an, sie hätten keine Ahnung, ob es bei Dritten zu Datenlecks gekommen sei.