Supply Chain Security: Wann die Lieferkette das Geschäft lahmlegt

„Trau keinem Code, den du nicht selbst geschrieben hast!“ ist ein gut gemeinter Rat. Er hat nur einen Schönheitsfehler: Er funktioniert nicht. In praktisch jedem Unternehmen sind Software, Plattformen und Infrastruktur Dritter im Einsatz. Das ist im Zeitalter der Datenwirtschaft unumgänglich. Und riskant.

Dieser Beitrag ist mehr als 2 Jahre alt.
© Coop Sverige
Bild: © Coop Sverige

Stillstand aus der Lieferkette

Von Dirk Bongardt

Vielen Verbrauchern in Schweden wird ihr Wochenendeinkauf am 3. Juli 2021 im Gedächtnis geblieben sein – jedenfalls, wenn sie vorgehabt hatten, an diesem Tag in einem Coop einzukaufen. Landesweit blieben 500 dieser Supermärkte an jenem Samstag geschlossen, weil die Kassensysteme nicht funktionierten.

Die Kassensysteme in den Coop-Supermärkten arbeiten mit einer Lösung, die von Coops Managed Service Provider Visma Esscom bereitgestellt wird. Aber auch den traf keine direkte Schuld, denn Visma Esscom arbeitete mit der RMM-Lösung (Remote Monitoring and Management) des IT-Dienstleisters Kaseya. Und dessen Virtual System Administrator Software war in der Nacht vom Freitag auf Samstag angegriffen worden. Die Verantwortlichen bei Kaseya sahen sich deshalb gezwungen, sämtliche SaaS-Systeme herunterzufahren.

Dieser Vorfall zeigt sehr deutlich auf, vor welche Herausforderungen die Supply Chain Unternehmen stellt: In den Coop-Supermärkten hätte keine Firewall, kein Virenschutz und kein Verhaltenskodex den Ausfall der Kassensysteme verhindert – die Ursache lag zwei Stationen früher in der Lieferkette. Und damit außerhalb der Reichweite der Coop-IT. In Zeiten globaler Vernetzung können Cyberkriminelle mit gezielten Angriffen auf einzelne Unternehmen die Sicherheit Hunderter oder Tausender davon abhängiger Unternehmen, Behörden und Institutionen kompromittieren.

Doch die zunehmende Vernetzung ist unumkehrbar. Die Abhängigkeit der meisten Unternehmen von den Lieferungen und Leistungen Dritter steigt stetig. Wenn es bei einem Lieferanten zu einem Sicherheitsvorfall, zu Verzögerungen oder Ausfällen kommt, können die Auswirkungen auf die eigenen Prozesse oder die eigene Infrastruktur schwerwiegend sein. Das kann unmittelbar viel Geld kosten, und der Ruf des eigenen Unternehmens kann schweren Schaden nehmen. Auch juristisch droht betroffenen Unternehmen Ungemach: So sieht die europäische Datenschutz-Grundverordnung empfindliche Bußgelder für Datenschutzverletzungen vor, die sich bis auf 4 % des gesamten weltweiten Jahresumsatzes des letzten Geschäftsjahres belaufen können. Unternehmen, die Opfer einer kriminellen Attacke geworden sind, dürften allerdings selten in diesem Umfang belangt werden – wenn sie belegen können, dass sie ihre Systeme entsprechend dem gegenwärtigen Stand der Technik abgesichert haben und dabei die größtmögliche Sorgfalt an den Tag gelegt haben.

Bis zu Microsoft und zur NASA

Der Vorfall bei Kaseya war der – gegenwärtig – jüngste Vorfall seiner Art, aber bei Weitem nicht der spektakulärste. Deutlich mehr Schlagzeilen gemacht hatte im Dezember 2020 die sogenannte SolarWinds-Attacke. Von der waren Unternehmen wie Microsoft und Intel, aber auch Regierungsbehörden in den USA und Deutschland betroffen, darunter das Robert-Koch-Institut und das Bundeskriminalamt.

Bei allen Opfern war die Plattform Orion im Einsatz gewesen, eine skalierbare Monitoring- und Management-Plattform für die gesamte IT-Infrastruktur, entwickelt und vertrieben vom US-Unternehmen Solarwinds. Den Angreifern war es gelungen, in das Netzwerk von Solarwinds einzudringen und den Build-Prozess der Orion-Software zu kompromittieren. Die Kriminellen konnten so einen Trojaner in ein legitimes Update der Orion-Plattform schmuggeln. Und die Kunden von SolarWinds fingen sich diesen Trojaner ein, wenn sie die von ihnen genutzte Orion-Plattform per Update auf den aktuellsten Stand brachten – über die offiziellen Update-Server des Herstellers.

Einige Aspekte dieser Lieferkettenattacke auf Solarwinds sind bemerkenswert: So manipulierten die Angreifer nicht etwa den Quellcode, aus dem die Updates für die Orion-Software kompiliert wurden, sondern griffen zum spätestmöglichen Zeitpunkt in den Build-Prozess ein, aber auf eine Weise, durch die sichergestellt wurde, dass die manipulierten Builds die digitale Signatur des Herstellers erhielten.

Des Weiteren blieb die Attacke über einen Zeitraum von rund neun Monaten unbemerkt. Die Angreifer hatten also reichlich Zeit, die Netzwerke der Kunden von Solarwinds auszuspähen, Daten zu manipulieren und Schadsoftware zu platzieren.

Außerdem: Anders als im Fall Coop/Kaseya – bei dem es sich letztlich um eine Ransomware-Attacke handelte – stellten die Kriminellen keine finanziellen Forderungen, verschlüsselten keine Daten und machten offenbar keine materielle Beute.

ITK-Regional 2021-02.jpg

Schwarz auf Weiß
Dieser Beitrag ist zuerst in unserer Magazin­reihe „IT-Unternehmen aus der Region stellen sich vor“ erschienen. Einen Über­blick mit freien Down­load-Links zu sämt­lichen bereits verfügbaren Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Als Sicherheitsexperten den Code des in die Orion-Software eingeschleusten Trojaners analysierten, erlebten sie eine weitere Überraschung: Die Kriminellen hatten keinerlei „Handschrift“ hinterlassen, die Rückschlüsse auf ihre Identität ermöglicht hätte, keine versteckten Botschaften, keine kyrillischen Schriftzeichen, nur kompakten, eleganten und fehlerfreien Code. US-Präsident Joe Biden und seine Berater sehen die Regierung Russlands hinter der Attacke, die USA haben mit Sanktionen reagiert – aber einen handfesten Beweis konnten die IT-Forensiker für eine Beteiligung der russischen (oder irgendeiner anderen) Regierung nicht erbringen.

Einig sind sich die Sicherheitsexperten indes darin, dass die Bedrohung noch nicht vorbei ist: Adam Meyers, Senior Vice President of Intelligence bei CrowdStrike, etwa ist überzeugt, der Code sei leicht auf andere Software anzupassen. Jedes Software-Unternehmen, dass den gleichen Compiler nutze wie Solarwinds, könne deshalb ein potenzielles Ziel der Angreifer sein. Eine weitere Befürchtung: In den neun Monaten, die bis zur Entdeckung des Angriffs vergangenen seien, hätten die Angreifer nicht nur Daten stehlen, sondern auch Schadsoftware in die kompromittierten Systeme einschleusen können, die bislang unentdeckt geblieben sei. Die größte IT-Katastrophe könnte also noch bevorstehen.

Lessons learned?

Kaseya reagierte innerhalb weniger Stunden auf den Angriff, während Verantwortliche bei Solarwinds nach Darstellung einiger Sicherheitsexperten erst mit spürbarer Verzögerung auf Hinweise Dritter reagiert hatte – und de facto erst einer der betroffenen Kunden, das Sicherheitsunternehmen FireEye, die Cyberattacke auf die Orion-Plattform zurückführen konnte. Daraus allerdings zu schließen, Unternehmen und Behörden seien heute auf Supply-Chain-Attacken besser vorbereitet als vor einem Jahr, wäre voreilig.

Bedrohlich erscheinen etwa die Ressourcen, über die die Kriminellen offenbar verfügen – ob es sich nun um Staaten oder organisierte Banden handelt. Microsoft-Präsident Brad Smith erklärte gegenüber CBS, die kriminelle Organisation hinter der SolarWinds-Attacke habe wohl mehr als 1000 Entwickler dafür eingesetzt.

Grundsätzliche politische Konsequenzen zog als Erster der amtierende US-Präsident Joe Biden: Er erließ eine Executive Order, die beschreibt, wie die amerikanische Regierung ihre Cybersecurity-Abwehr modernisieren, den Austausch von Threat Intelligence mit privatwirtschaftlichen Partnern erleichtern und die Reaktionsfähigkeit des Landes auf Cybersicherheitsvorfälle verbessern will. Die Verordnung sieht außerdem eine Reihe strengerer Anforderungen in puncto Cybersicherheit für alle Unternehmen vor, die mit der US-Regierung zusammenarbeiten möchten, darunter Standards für die Softwareentwicklung und Pläne für eine systematischere Untersuchung von derartigen Vorfällen.

Die deutsche Bundesregierung hat öffentlich bisher zurückhaltend reagiert. Aus einer Antwort auf eine Kleine Anfrage des Grünen-Abgeordneten Konstantin von Notz geht hervor, dass rund 300 Stellen – Behörden und Ministerien ebenso wie Unternehmen der Privatwirtschaft – in Deutschland von der Attacke betroffen sein könnten. Sanktionen gegen die mutmaßlichen Urheber oder Gesetzesinitiativen, um entsprechende Risiken für die Zukunft zu minimieren, stehen indes hierzulande im Moment nicht zur Debatte.

Mehr Sicherheit – aber wie?

Unternehmen können es sich indes nicht leisten, auf den Gesetzgeber zu warten. Auch wenn eine Attacke ressourcenstarker Angreifer wie im Fall von SolarWinds nur schwer zu verteidigen ist, können die Verantwortlichen einiges tun, um die Risiken durch kompromittierte Glieder der Lieferkette zu verringern.

Dazu gehört nicht zuletzt, die eigenen Lieferketten genau zu kennen – auch über die unmittelbaren Lieferanten hinaus. So weist etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Mitteilung zum eingangs erwähnten Angriff auf Kaseya darauf hin, den Kunden von IT-Systemhäusern sei oftmals nicht bekannt oder bewusst, ob ihre Dienstleister Kaseya-Produkte einsetzen, da die IT-Systemhäuser die Systeme unter eigener Marke anbieten können.

Sind die Glieder der Lieferkette bekannt, gilt es zu überprüfen, wie vertrauenswürdig die Partner sind. In einigen Branchen haben sich Standards für die Informationssicherheit etabliert, in der Automobilindustrie etwa das TISAX-Sicherheitszertifikat (Trusted Information Security Assessment Exchange). Damit dokumentieren Zulieferer einen entsprechend hohen Sicherheitsstandard. Wo solche Standards noch nicht etabliert sind, ist ein enger Austausch zu Sicherheitsthemen, samt verpflichtenden Vereinbarungen, mit den Lieferanten unabdingbar. Außerdem gilt: Je kürzer die Lieferkette, desto sicherer ist sie. Je weniger Angriffspunkte die Supply Chain bietet, desto schwerer haben es Kriminelle, sie zu kompromittieren.

Bei der Kartografierung der Bedrohungslage sind außerdem nicht nur die mittel- und unmittelbaren IT-Dienstleister zu erfassen. Zum einen können physische, zumal technische Zukaufprodukte oder Komponenten ebenfalls kompromittiert sein, zum anderen macht die Zusammenarbeit mit den Lieferanten oft den umfassenden Austausch von Informationen erforderlich. Was nutzt es, die Baupläne für die nächste Produktinnovation im eigenen Hause strengstens unter Verschluss zu halten, wenn ein Lieferant diese unverschlüsselt auf einem öffentlich zugänglichen Server ablegt?

Auch in Hardware steckt Software

Viele Unternehmen beziehen Hardwarekomponenten out of the box von ihren Zulieferern, und integrieren sie in die eigenen Produkte, etwa IoT-Komponenten. Deren Firmware könnte ebenfalls kompromittiert sein. Spezialisierte Dienstleister bieten deshalb Firmware-Scans an, um solche Vulnerabilitäten aufzuspüren, falls ein Unternehmen diese Sicherheitsprüfungen nicht im eigenen Haus vornehmen kann.

Die Sicherheit von Hard- und Software aus der Supply Chain versuchen Hersteller oft auch mithilfe digitaler Signaturen zu gewährleisten. Eine gültige digitale Signatur des Herstellers soll den Kunden garantieren, dass die Software nicht kompromittiert wurde. Bei der SolarWinds-Attacke haben die Kriminellen die von ihnen manipulierte Software allerdings mit einer gültigen Signatur versehen können. Dennoch hat sich die Absicherung mittels digitaler Signaturen beim Schutz digitaler Systeme vielfach bewährt.

Zur Supply Chain Security gehören des Weiteren Applikationssicherheitstests. Speziell für diese Aufgabe ausgelegte Tools überprüfen Anwendungen, Programmcode und andere Software auf Sicherheit. Bei diesen Anwendungssicherheitstests wird nach versteckten Schadprogrammen gesucht, die Angreifer im Laufe der Lieferkette bei einem Drittanbieter eingeschleust haben.

Auch ein permanentes Monitoring des Datenverkehrs im eigenen Netzwerk bleibt unverzichtbar. Im Sicherheitsunternehmen FireEye fiel zum Beispiel auf, dass ein Mitarbeiter die Zwei-Faktor-Authentifizierung offenbar mithilfe zweier Mobiltelefone durchlaufen hatte – der zweite Anmeldeversuch stammte aber nicht von ihm, sondern von den Cyberkriminellen, die sich im Unternehmensnetzwerk umsehen wollten. Solche auffälligen Verhaltensmuster – zu denen etwa auch Kontaktaufnahmen von Schadprogrammen zu ihren C&C-Servern gehören – führen oft schneller auf die Spur von Sicherheitslecks als die klassische Suche nach Schadroutinen im Code.

Cyber Supply Chain Risk Management

Wer an Risiken der Supply Chain denkt, dem kommen wahrscheinlich als Erstes gesperrte Häfen oder von Erdbeben in Mitleidenschaft gezogene Produktionsstätten in den Sinn. Die daraus resultierenden Lieferausfälle sind zweifellos für viele Unternehmen ein Problem, wie viele Unternehmen während der Covid-19-Pandemie schmerzlich erfahren mussten. Mindestens ebenso groß sind aber die Bedrohungen der Lieferketten von IT-Dienstleistungen: Die Coop-Supermärkte, die nach der Kaseya-Attacke geschlossen bleiben mussten, sind ein plakatives Beispiel, gehören sie doch zur kritischen Infrastruktur Schwedens. Noch beunruhigender war allerdings der Angriff auf die Netzwerkmanagement-Plattform Orion des US-Unternehmens Solarwinds: US-Regierungsbehörden, die der höchsten Sicherheitsstufe unterliegen, und IT-Unternehmen wie Microsoft und Intel wurden Opfer dieser Attacke und merkten über viele Monate nichts davon. Wie groß der entstandene Schaden ist, darüber debattieren Unternehmen und Politik noch. Dass beide aus dieser Erfahrung Konsequenzen ziehen müssen, darüber besteht Einigkeit.

Dirk Bongardt-Quadrat.jpg

Dirk Bongardt hat vor Beginn seiner journalistischen Laufbahn zehn Jahre Erfahrung in verschiedenen Funktionen in Vertriebsabteilungen industrieller und mittelständischer Unternehmen gesammelt. Seit 2000 arbeitet er als freier Autor. Sein thematischer Schwerpunkt liegt auf praxisnahen Informationen rund um Gegenwarts- und Zukunftstechnologien, vorwiegend in den Bereichen Mobile und IT.

Dirk Bongardt, Tel.: 05262-6400216, mail@dirk-bongardt.de, netknowhow.de

Nützliche Links