Enisa
ENISA Threat Landscape Report für Supply Chain Attacks
Der ENISA Threat Landscape Report für Supply Chain Attacks vom Juli 2021 untersucht die wachsende Bedrohung durch Angriffe auf die Lieferkette (Supply Chain). Lieferkettenangriffe stellen eine ernsthafte Gefahr für Unternehmen und Organisationen dar, da sie Angreifern ermöglichen, durch den Angriff auf einen Lieferanten Zugang zu mehreren Kunden zu erlangen und so großflächige Schäden zu verursachen. Der Bericht analysiert die Zunahme und Komplexität solcher Angriffe und bietet Empfehlungen zur Verbesserung der Cybersicherheit in diesem Bereich.
Einführung in Lieferkettenangriffe
Ein Lieferkettenangriff ist definiert als ein Angriff, bei dem sowohl der Lieferant als auch der Kunde betroffen sind. Der Angreifer kompromittiert zuerst einen Lieferanten, um dann auf den Kunden oder dessen Vermögenswerte zuzugreifen. Diese Art von Angriffen hat in den letzten Jahren zugenommen, da viele Unternehmen ihre Sicherheitsvorkehrungen verbessert haben, wodurch Angreifer auf weniger gut geschützte Lieferanten ausweichen. Das Problem dabei ist, dass Lieferkettenangriffe oft weitaus größere Auswirkungen haben als direkte Angriffe auf Unternehmen, da ein erfolgreicher Angriff auf einen Lieferanten oft viele Kunden betreffen kann.
Zunahme und Arten von Lieferkettenangriffen
Zwischen Januar 2020 und Juli 2021 wurden 24 dokumentierte Lieferkettenangriffe untersucht. Der Bericht zeigt, dass etwa die Hälfte der analysierten Angriffe von bekannten APT-Gruppen (Advanced Persistent Threats) stammte, was auf die Komplexität und Ressourcen dieser Angriffe hinweist. Die Angreifer setzten überwiegend auf Malware als bevorzugte Angriffstechnik (in 62 % der Fälle) und nutzten in 66 % der Fälle den Code des Lieferanten, um den Angriff auf den Kunden zu erweitern. Diese Methode ermöglichte es den Angreifern, das Vertrauen der Kunden in ihre Lieferanten auszunutzen und deren Systeme zu kompromittieren.
Ein prominentes Beispiel ist der SolarWinds-Angriff, bei dem eine Schwachstelle in der Software des IT-Management-Anbieters ausgenutzt wurde. Die Angreifer injizierten bösartigen Code in das Orion-Software-Update, das dann von den Kunden heruntergeladen wurde, was zu umfangreichen Datendiebstählen führte. Der Angriff betraf zahlreiche Organisationen, darunter auch Regierungsbehörden, und wurde einer APT-Gruppe zugeschrieben.
Klassifizierung und Techniken
Der Bericht bietet eine detaillierte Taxonomie zur Klassifizierung von Lieferkettenangriffen, die es ermöglicht, Angriffe systematisch zu analysieren und zu verstehen. Dabei werden vier Hauptkomponenten einer Lieferkette unterschieden:
- Lieferant: Die Entität, die ein Produkt oder eine Dienstleistung bereitstellt.
- Vermögenswerte des Lieferanten: Die von Angreifern anvisierten Elemente beim Lieferanten, z. B. Code, Daten oder Software.
- Kunde: Die Entität, die das Produkt oder die Dienstleistung des Lieferanten nutzt.
- Vermögenswerte des Kunden: Die letztendlichen Ziele des Angreifers, z. B. Kundendaten oder Finanzinformationen.
Der Angriff selbst umfasst zwei Hauptphasen: Der Lieferant wird zuerst kompromittiert, oft durch Techniken wie Malware-Infektion, Social Engineering oder das Ausnutzen von Software-Schwachstellen. Anschließend wird der Kunde angegriffen, häufig durch die Ausnutzung einer vertrauenswürdigen Beziehung zwischen dem Lieferanten und dem Kunden oder durch den Einsatz von Phishing-Techniken.
Prominente Beispiele für Lieferkettenangriffe
- SolarWinds Orion: Dieser Angriff zielte auf das IT-Management-Softwareunternehmen SolarWinds ab. Angreifer kompromittierten den Code der Orion-Software und nutzten die automatischen Updates, um Kunden zu infizieren. Es handelt sich um einen der größten dokumentierten Angriffe dieser Art.
- Mimecast: Ein weiteres Beispiel ist der Angriff auf den Cloud-Cybersicherheitsanbieter Mimecast, bei dem Angreifer Zugriff auf eine signierte Zertifikatsdatei erhielten, die es ihnen ermöglichte, Kundenverbindungen abzufangen.
- Kaseya: Angreifer nutzten eine Schwachstelle in der Kaseya VSA-Software aus, um über eine Schwachstelle Ransomware auf die Systeme der Kunden zu verteilen.
Empfehlungen zur Prävention
Der Bericht hebt hervor, dass Unternehmen und Organisationen ihre Sicherheitsansätze erweitern müssen, um Lieferkettenangriffe zu verhindern. Dazu gehört die Stärkung des Vertrauens und der Sicherheitsprotokolle zwischen Lieferanten und Kunden. Darüber hinaus müssen Unternehmen regelmäßige Audits und Sicherheitsüberprüfungen bei ihren Lieferanten durchführen und Mechanismen zur Überprüfung von Software-Updates implementieren.
Ein weiteres zentrales Element der Verteidigungsstrategie ist die Verbesserung der Transparenz in der Sicherheitsberichterstattung. In vielen der analysierten Angriffe war unklar, wie genau die Lieferanten kompromittiert wurden, was auf eine mangelnde Transparenz und Sicherheitskultur hinweist.
Fazit
Der ENISA-Bericht zeigt, dass Lieferkettenangriffe eine wachsende Bedrohung darstellen, die zunehmend von gut organisierten und ressourcenstarken Akteuren ausgeht. Die Komplexität solcher Angriffe erfordert neue Ansätze im Bereich der Cybersicherheit, insbesondere in der Zusammenarbeit und Kommunikation zwischen Unternehmen und ihren Lieferanten. Der Bericht betont, dass ein ganzheitlicher Sicherheitsansatz erforderlich ist, der sowohl Lieferanten als auch Kunden einbezieht, um die Auswirkungen dieser Art von Angriffen zu minimieren.