Supply Chain-Angriffe stellen eine neue Qualität von Angriffen dar. Denn damit ist es nicht nur möglich, auf einen Schlag eine große Anzahl von Unternehmen zu erreichen, sondern damit können auch jene attackiert werden, die im Prinzip keinen Fehler gemacht haben. Anders als bei einem direkten Angriff über Phishing oder sonstige Sicherheitslücken ist hierbei keine offensichtliche Schwachstelle vorhanden, die ein Angreifer ausnutzen könnte, um Ransomware einzuschleusen.
Wie dieser Angriff im Detail durchgeführt wird und welche Möglichkeiten Unternehmen ausschöpfen sollten, um sich bestmöglich dagegen zu wappnen erklärt Patrizio Ziino im Interview.
Frage: Der Angriffsvektor Supply Chain steht momentan sehr im Fokus – warum ist das so?
PZ: Die Idee, die hinter einer Supply Chain-Attacke steckt, ist im Prinzip nicht neu – diesen Angriffsvektor gibt es, seitdem IT-Anbieter als Zulieferer für einzelne Funktionen oder Dienstleistungen direkt im Unternehmen eingebunden werden. Aber, aufgrund der zunehmend durchgehenden globalen Vernetzung im Rahmen der Digitalisierung entfaltet dieser Angriff erst jetzt sein volles Potential. Denn, mit einem Mal wird Cyberkriminellen die Möglichkeit eröffnet, effizient mittels eines intelligenten Angriffs einen sehr hohen Nutzen zu erzielen beziehungsweise Gewinn zu realisieren.
Bedingt durch aufsehenerregende Angriffe wie beispielsweise auf Solarwinds offenbart sich die Brisanz des Angriffsvektors. Hier hat sich unmittelbar gezeigt, welche Folgen daraus resultieren können – nämlich, dass Existenzen vor allem kleiner und mittelständischer Unternehmen dadurch auf dem Spiel stehen.
Frage: Was steckt denn genau hinter diesem Angriff – wie gehen Cyberkriminelle dabei vor?
PZ: Die typische Vorgehensweise bei einer Ransomware-Attacke ist ja mittlerweile bekannt: Ein Angreifer schleust über eine entdeckte Sicherheitslücke Malware in ein IT-System ein. Darüber werden dann die Daten auf dem IT-System verschlüsselt und erst nach Zahlung einer Lösegeldforderung erhält das angegriffene Unternehmen einen entsprechenden Schlüssel, der den Zugriff auf die Daten wieder ermöglicht. Hier gab es bereits einige spektakuläre und auch gefährliche Angriffe, beispielsweise vor zwei Jahren auf das Lukas-Krankenhaus in Neuss.
Bei einem Supply Chain- oder Lieferketten-Angriff wird momentan bevorzugt dieses Schadprogramm verwendet, eben weil darüber gewährleistet ist, mit möglichst wenig Aufwand einen hohen Nutzen zu erzielen, also möglichst viel Lösegeld erpressen zu können. Im Grundsatz basiert die Idee darauf, dass ein vertrauenswürdiger Dienst – zum Beispiel eine spezielle Software für die Lohnbuchhaltung – der bereits über einen längeren Zeitraum bei Unternehmen oder Organisationen im Einsatz ist, für einen Angriff ausgenutzt wird. Als Angriffsvektor fungiert hierbei dann ein legitimiertes Software-Update, das der Dienstleister turnusmäßig zur Verfügung stellt.
Zur Durchführung dieser Attacke muss der Angreifer im ersten Schritt in das IT-System des Dienstleisters (Supplier) eindringen und das aktuelle Software-Update mit Malware infiltrieren. Damit der weitere Angriff vonstatten gehen kann, ist es notwendig, dass dieser Vorgang unbemerkt bleibt. Das bedeutet, er kann nur an einer bestimmten Prozessstelle umgesetzt werden, da das manipulierte Software-Update offiziell als Hersteller-Update digital signiert sein muss, damit es als autorisierter Code vom Kunden akzeptiert und (automatisch) eingespielt wird.
Auf dieser Basis ist es dem Angreifer dann möglich, gleichzeitig bei mehreren tausend Unternehmen oder Organisationen – also im Prinzip alle, die die Software des Dienstleisters nutzen – den eigentlichen Angriff umzusetzen: Bei jedem einzelnen Unternehmen deren Daten zu verschlüsseln, um Lösegeld erpressen zu können. Oder aber einen einzelnen Konzern komplett lahmzulegen, wie beispielsweise die schwedische Coop-Kette, deren Daten über ein Update der Kaseya-Software mittels Ransomware komplett verschlüsselt wurden.
Frage: Ist es denkbar, dass hier ein Zielkonflikt entsteht? Also, zwischen den Vorteilen des automatischen Einspielens von Updates und den Nachteilen einer daraus resultierenden Angreifbarkeit?
PZ: Im Prinzip schon. Einerseits hat das Konzept, Updates von vertrauenswürdigen Quellen automatisiert durchzuführen, jahrelang gut funktioniert und sehr viel zum Schutz der Unternehmen beigetragen. Allein unter dem Aspekt, weil darüber gewährleistet wurde, dass Sicherheitslücken schneller geschlossen werden konnten.
Doch unter den gegebenen Umständen muss dieses Konzept nun neu überdacht werden. Allein bedingt durch die theoretische Annahme, dass letztendlich auch auf beziehungsweise über die marktführenden IT-Konzerne ein solcher Angriff theoretisch möglich wäre – obwohl aufgrund der Dimension der möglichen Konsequenzen davon auszugehen ist, dass hier enorme Mittel aufgewendet werden, um so etwas zu vermeiden.
Trotzdem zeigen die aktuellen Angriffe, dass die Lieferketten unter dem Aspekt der Cyber-Sicherheit deutlich mehr in den Vordergrund rücken müssen. Denn meines Erachtens geht damit ein permanent hohes Gefährdungspotential einher, da Ransomware momentan als eine der größten Bedrohungen für Unternehmen und Organisationen einzuschätzen ist. Die Tragweite lässt sich allein daraus ableiten, dass viele Unternehmen relativ schnell dazu bereit sind das geforderte Lösegeld zu zahlen, um Stillstandzeiten, und damit den Schaden, möglichst gering zu halten.
Frage: Können sich Unternehmen dagegen schützen? Was empfehlen Sie den Unternehmen konkret?
PZ: Es ist definitiv eine schwierige Aufgabe, diesen ausgefeilten Angriffen entgegenzuwirken. Von daher müssen Unternehmen auf mehreren Ebenen agieren. Zum einen ist es zunehmend wichtig, darauf zu achten, dass die IT-Dienstleister, mit denen sie im Vertragsverhältnis stehen, sich – zur Erhöhung der IT-Sicherheit – an Standards halten. Qualifizierte Standards hierfür könnten beispielsweise einheitlich durch das BSI oder den TÜV sowohl vorgegeben als auch überprüft werden. Zum anderen heißt es für Unternehmen konkret, hierfür eine strategische Vorgehensweise zu definieren, weil es vor allem in ihrer Verantwortung liegt, in diesem Punkt für die IT-Sicherheit zu sorgen – also getreu dem Motto „Vertrauen ist gut, Kontrolle ist besser“ zu handeln. Mit anderen Worten, ein Unternehmen darf sich in erster Linie NICHT darauf verlassen, dass die jeweiligen Updates fehlerfrei und ungefährlich sind.
Von der Theorie in die Praxis umgesetzt bedeutet dies: Es gibt einige IT-Sicherheitsmaßnahmen, die hier Anwendung finden müssen. Unter anderem, dass Installation und Betrieb von Software sowie Updates nur mit den minimal notwendigen Berechtigungen erfolgen können. Zudem ist eine regelmäßige Kontrolle sowohl des Betriebs als auch des Verhaltens der Software ratsam, ebenso wie ein regelmäßiges und zeitnahes Einspielen der Updates. Administrative Berechtigungen sollten in Funktionsgruppen gesplittet werden, sodass der Wirkungskreis von Schadcode bei Verwendung eines administrativen Zugangs eingegrenzt ist.
Aber auch durch die Überwachung sowie den Schutz der Infrastruktur lässt sich intern einiges bewirken. Dazu gehört in erster Linie ein klares Berechtigungsmanagement ebenso wie eine sinnvoll strukturierte Netzwerksegmentierung – also die Aufteilung des Netzwerkes in einzelne Abschnitte, um zu vermeiden, dass sich ein erfolgreich durchgeführter Angriff im gesamten Netzwerk ausbreitet. Daneben ist der Einsatz aktueller Schutzlösungen mit EDR- oder XDR-Funktionalität sowie die Protokollierung und Auswertung aller systemnahen Logfiles durch ein zentrales SIEM System empfehlenswert.
Generell sollte es für die Sicherheitsverantwortlichen in den Unternehmen selbstverständlich sein, sich permanent mit Angriffsvektoren im Allgemeinen und bekannten Sicherheitslücken oder Backdoors zu den eingesetzten Programmen im Speziellen auseinandersetzen.
Darüber hinaus ist es ausgesprochen wichtig für den Ernstfall vorzusorgen. Denn falls es doch zu einem erfolgreichen Angriff kommt, lassen sich die Auswirkungen durch ein vollständiges, und auf Wiederherstellung geprüftes, Backup der Systeme minimieren. Hätte zum Beispiel die Coop-Kette, im Rahmen eines kontinuierlichen Business Continuity Management (BCM), auf ein intelligentes Backup-Konzept zurückgreifen können wäre es wahrscheinlich möglich gewesen, die kompromittierten Daten einfach zeitnah wieder einzuspielen. Dann hätte der Lockdown vermutlich nur einige Stunden gedauert statt zwei Tagen.
