Unternehmenssicherheit IT-Angriffe – durch die Hintertür und die Lieferkette

Anbieter zum Thema

CADFEM Germany GmbH

ISH Ingenieursozietät GmbH

Eurocircuits GmbH

Je größer das Unternehmen, desto größer das Ziel – dieser Irrglaube hält sich hartnäckig. Auf der anderen Seite stehen allein im deutschen Mittelstand zehntausende kleine Unternehmen, die eine wichtige Rolle auf globalen Märkten spielen.

Kriminelle Hacker sind mit Wertschöpfungsketten recht gut vertraut und wissen auch aus eigener Erfahrung, wie Lieferketten funktionieren. Sie wissen, wie IT-Abteilungen arbeiten, und haben daher gute Chancen, Schwächen auszunutzen. Gleichzeitig herrscht in vielen Unternehmen noch immer der Irrglaube, dass sie als Ziel für Cyberattacken nicht interessant seien. Die großen international operierenden Konzerne und Industrieunternehmen werden wesentlich öfter als Ziel gesehen als „der kleine Krauter um die Ecke“.

Doch die Unternehmensgröße ist schon lange kein Bemessungsfaktor mehr für die Wahrscheinlichkeit eines Angriffs. Entscheidender ist, wie leicht sich ein Angriff monetarisieren lässt – oder welche Auswirkungen ein Totalausfall auf andere hätte. Je kleiner und spezialisierter der Markt für eine bestimmte Sparte ist, desto schwerer wiegen Ausfälle entlang der Lieferkette. Gibt es beispielsweise nur einen Hersteller weltweit für ein bestimmtes Spezialwerkzeug, dann hat ein Angriff auf ein vergleichsweise kleines Unternehmen unter Umständen globale, disruptive Folgen.

Bildergalerie

Und wer Opfer eines Angriffs wird, war vielleicht gar nicht das eigentliche Ziel und muss von dem Angriff nicht notwendigerweise selbst etwas merken. Kompromittierte Netzwerke eines Dienstleisters oder eines Zulieferunternehmens dienen oft als Sprungbrett für weitere Angriffe, etwa auf die Kunden des gehackten Unternehmens. Hier den Überblick über das „große Ganze“ zu behalten, fällt schwer. Doch Beispiele gibt es genug. Angefangen bei Support-Dienstleistern bis hin zu Herstellern von Netzwerkhardware, die in kritischen Bereichen zum Einsatz kommt. Hier handelte es sich eindeutig um Angriffe auf Lieferketten.

Ausbreitungswege

Angriffen auf Liefer- und Wertschöpfungsketten haben eins gemeinsam: die ziehen schnell wesentlich größere Kreise als auf den ersten Blick vielleicht ersichtlich. Denken wir einmal an einen Support-Dienstleister, der für mehrere Großunternehmen Teile des Kundendienstes übernimmt. Für ihre Arbeit benötigt ein Support-Dienstleister natürlich auch Zugriff auf Daten des Unternehmens, in dessen Namen er auftritt. Wird also hier ein Zugang zum Netzwerk des betreuten Unternehmens kompromittiert, ist ein Angriff schnell in einem Bereich gelandet, der für den Dienstleister wenig nachvollziehbar und noch weniger kontrollierbar ist. Dieses Beispiel ist nicht hypothetisch. Im August 2022 musste der Supportanbieter Twilio feststellen, dass es „unautorisierte Zugriffe“ auf die Daten einiger Kunden gegeben hat. Twilio wiederum zählt einige große Technologiekonzerne sowie Anbieter aus dem Gesundheitssektor zu seinen Kunden. Ihren Ursprung hatte die Attacke unter anderem in Textnachrichten, welche Mitarbeitende von Twilio mittels Social Engineering zur Herausgabe von Anmeldedaten bewegt hat.

Selbst trivial und unkritisch anmutende Informationen können in aggregierter und korrelierter Form zum Problem werden – sei es, dass Täter versuchen, sich mit Hilfe von (erbeuteten) Hintergrundinformationen gegenüber einem Opfer zu legitimieren oder dass sie an gültige Passwörter gelangen, die sie auf anderen Zugängen ausprobieren. Das Hinterhältige daran ist, dass erbeutete Daten nicht automatisch auch sofort für weitere Zwecke verwendet werden. Das kann Monate oder gar Jahre später erst passieren.

Vertrauen ist gut – Kontrolle unmöglich?

Doch auch aufseiten der Hard- und Software gibt es mehr als eine Stolperfalle. Zum einen hat es auch Fälle gegeben, in denen ein Softwarehersteller über einen längeren Zeitraum infiltriert war. Die Angreifer haben dort jedoch weder Daten gelöscht noch gestohlen. Im Gegenteil: Sie haben etwas zurückgelassen. Nämlich einen Programmcode, den sie auf sehr geschickte Art und Weise in die Entwicklungsumgebung des Anbieters geschmuggelt haben – und der dann per automatischem Update an Kunden in aller Welt ausgeliefert wurde.

Das manipulierte Update war darauf ausgelegt, Informationen auszuleiten, sei es aus Wirtschaftsunternehmen oder Regierungsbehörden. Die Rede ist hier von Sunburst. Die manipulierte Netzwerkverwaltungssoftware des Herstellers Solarwinds sorgte Anfang 2021 für hektisches Treiben der nutzenden Firmen.

Vertrauen ist ein wesentlicher Bestandteil von Sicherheit. Wir alle vertrauen darauf, dass wir auf unseren Computern Updates erhalten, die frei von Schadsoftware sind.

Und wir alle wissen, dass bei der Sicherheit die 100-Prozent-Marke unerreichbar ist. Doch wo ziehen wir die Grenze? Ab wann ist „gut“ wirklich „gut genug“? Eine allumfassende Antwort auf diese Frage ist unmöglich. Was allerdings Konsens finden dürfte, ist das Konzept „best effort“. Wenn es nur eine einzige Phishingmail braucht, um das gesamte System zusammenbrechen zu lassen, dann kann man hier wohl kaum von einem best effort sprechen. Wenn etwa der Malwarescan zum ersten und einzigen Schutz wird, dann stimmt etwas nicht, und zwar gewaltig.

Konsequent und konsistent

IT-Sicherheit muss entlang der gesamten Lieferkette tragfähig sein. Ist auch nur eine Stelle darin angreifbar, fällt ein virtuelles Kartenhaus potenziell zusammen.

Dabei ist es nicht einmal unbedingt die Technik, die Unternehmen in aller Welt im Stich lässt, sondern Schwächen in Prozessen. Wären IT-Sicherheitsvorfälle ein rein technisches Problem, dann ließen sich viele Schwierigkeiten mit der Sicherheit schnell mit einem passenden Produkt lösen. Vieles, was jedoch als Lösung angepriesen wird, verdient diesen Begriff eigentlich nicht. Einzelne Produkte können zwar durchaus Teil einer Lösung sein – aber dafür müssen einzelne Produkte und Dienstleistungen auch effektiv ineinandergreifen.

Die Krux dabei ist, dass viele Unternehmen beim Aspekt der Sicherheit mehr produktzentrisch als prozessorientiert denken. Das kann man ihnen nicht unbedingt vorwerfen. Schließlich haben findige Marketingfachleute über Jahre die Trennlinie zwischen den Begriffen „Produkt“ und „Lösung“ so weit erodiert, dass es bisweilen eines sehr genauen Blickes bedarf, um den Unterschied noch zu erkennen. So kann zum Beispiel ein SIEM (Security Information and Event Management) nur dann sinnvoll seine Vorteile ausspielen, wenn es auch jemanden gibt, der die aggregierten Daten auswerten und interpretieren und das System auch betreuen kann. Ein SIEM löst für sich genommen gar nichts, kann aber sehr wohl die Lösung anderer Aufgaben erleichtern. Dafür braucht es allerdings – genau, Prozesse.

Ohne gute Prozesse ist das beste Werkzeug nutzlos – und auch ein Prozess ohne die passenden technischen Maßnahmen zur Umsetzung ist von keinerlei Wert.

Ein guter Anfang

Auch wenn viele der Leser es wahrscheinlich nicht mehr hören können: Updates und Patches sind zwei der wichtigsten Maßnahmen, die IT-Verantwortliche in Unternehmen aktiv vorantreiben können und müssen. Diese Tatsache hat Anfang des Jahres eine drei Jahre alte Sicherheitslücke in VMWare ESXi vielen wieder ins Gedächtnis gerufen. Auch drei Jahre nach Bereitstellung eines entsprechenden Patches waren noch immer tausende Systeme ungepatcht – mit teils drastischen Folgen.

Updates, die kritische Schwachstellen beheben, sollten entsprechend schnell installiert werden. Das sind die Prozesse, deren Vorhandensein und Funktion einen deutlichen Unterschied machen kann. Und irgendwo muss man ja schließlich anfangen.  (mk)

* Tim Berghoff ist Security Evangelist bei G Data CyberDefense.

(ID:49333421)