Supply-Chain-Security Lieferketten und das schwächste Glied

Die letzten zwei Jahre hat vor allem die Covid-19 Pandemie unseren Alltag geprägt, aber trotzdem bereitet aktuell ein anderes Risiko Unternehmen mehr Sorgen. Das Risiko eines Ransomware-Angriffes, Daten-Leaks oder IT-Ausfalls wird aktuell als gefährlicher eingestuft, als die Risiken von Geschäftsunterbrechungen, Naturkatastrophen oder der Covid-19-Pandemie.

Unternehmen schätzen Cyberrisiken als größte Bedrohung für Unternehmen im Jahr 2022 ein, das geben zumindest 2.600 globale Unternehmensvertreter in der jährlichen Umfrage des Allianz Risk Barometer an. Einen Zusammenhang lässt sich sicher über die rapide Zunahme erfolgreicher Cyber-Angriffe in den letzten Jahren herstellen.

Ein Großteil dieser Attacken zielt dabei nicht mehr nur auf das anvisierte Zielunternehmen ab, sondern lässt sich immer häufiger auf die gesamte Lieferkette zurückführen. Die bekanntesten Beispiele der jüngsten Zeit für diese Art von indirekten Cyber-Angriffen waren der Hack des Software-Unternehmens Solarwinds im Jahr 2020 sowie das Bekanntwerden der Schwachstelle im log4j-Framework, welche das BSI zu einer Einstufung der Cyber-Bedrohungslage als extrem kritisch veranlasste.

Diese Attacken über die Supply Chain (Lieferkette) stellen eine Kombination von mindestens zwei Angriffen dar, wobei der erste Angriff meist einem Zulieferer gilt und als Sprungbrett genutzt wird, um damit in die Systeme des eigentlichen Ziels einzudringen. Laut Accentures State of Cybersecurity Report 2021 dominieren indirekte Angriffe mittlerweile die Bedrohungslandschaft. So stieg die Anzahl der erfolgreichen indirekten Angriffe von 2020 auf 2021 um 17 Prozent auf 61 Prozent an. Gründe für den Anstieg sind zum einen die Ausweitung der weltweiten Lieferketten im Zuge der Globalisierung, die die Angriffsfläche enorm vergrößert und einzelne IT-Dienstleister zum Einfallstor für tausende Organisationen weltweit gemacht haben. Diesen Umstand machen sich Cyber-Kriminelle verstärkt zunutze, indem sie organisierte Attacken auf Zulieferer starten, um über sie in die Systeme der teils deutlich besser geschützten Zielunternehmen zu gelangen.

Im Falle des Angriffs auf das auf Netzmanagement-Software spezialisierte Unternehmen Solarwinds im Jahr 2020 konnten Hacker Schadsoftware in deren Software-Produkt „Orion“ einschleusen und somit in die Systeme von potenziell 18.000 Orion Nutzern gelangen, darunter auch amerikanische Regierungsbehörden. Diese Aussicht auf einfache Skalierung ist ein weiterer Anreiz, der die zunehmende Attraktivität dieser Art von Attacken erklärt.

Betroffen sind dabei grundsätzlich alle Sektoren, vor allem aber Branchen, die auf eine große Lieferkette angewiesen sind oder selbst sehr hohe Schutzstandards haben, wie der Verteidigungssektor oder die Finanzindustrie. Die Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA) zeigte in einer Studie wie gravierend die Lücke in den Cybersecurity-Fähigkeiten zwischen Zulieferern und ihren Kunden ist: Bei 66 Prozent der analysierten Attacken über die Lieferkette wussten die Zulieferer nicht, wie sie angegriffen wurden, während das nur bei neun Prozent der angegriffenen Kunden der Fall war.

Um sich gegen indirekte Attacken zu schützen, reicht es für Unternehmen deshalb nicht mehr aus, sich nur auf ihre eigenen Systeme zu fokussieren. Um Angriffe über die gesamte Wertschöpfungskette zu vermeiden, gilt es nun auch für das gesamte Ökosystem an Zulieferern und Prozessbeteiligten mitzudenken. Dabei sollten Unternehmen auf einen dreistufigen Ansatz aus Transparenz, Vorgaben und Prüfung zurückgreifen.

In der ersten Stufe sollten sich Unternehmen Klarheit über die eigene Lieferkette verschaffen, indem sie die einzelnen Bestandteile identifizieren. Das betrifft nicht nur die Zulieferer im klassischen Sinne, wie beispielsweise Bremsenhersteller für ein Automobilunternehmen, sondern vor allem auch IT-Provider. Dabei ist es wichtig zu erfahren, welche Verbindungen zu den Lieferanten bestehen: Auf welche IT-Assets und Daten können diese in welchem Kontext zugreifen? Zusätzlich muss sich ein Unternehmen einen Überblick darüber verschaffen, welche IT wo intern eingesetzt wird, um auf einen Hack oder eine Schwachstelle schnell reagieren zu können. Gerade bei log4j hatten viele Unternehmen nach Bekanntgabe der Schwachstelle Probleme schnell und umfassend zu erkennen, ob und wo sie Technologie einsetzen, die log4j beinhaltet.

Im zweiten Schritt gilt es, Vorgaben in Bezug auf die Cybersecurity der Lieferanten sowie die Art des Zugriffs und den Austausch von Daten auszuarbeiten. Hierfür muss das Unternehmen Risikokriterien entwickeln, die den verschiedenen Arten von Lieferantenbeziehungen angepasst sind und außerdem spezielle Kategorien wie kritische Software-Abhängigkeiten oder Single Points of Failure (SPoF) berücksichtigen. Diese Vorgaben sollten verbindlich festgehalten werden, um die Einhaltung des geforderten Cybersicherheitsniveaus zu garantieren.

Zuletzt muss die Einhaltung der Standards überprüft werden. Hierbei sollte man sich nicht nur auf die Selbsteinschätzung der Zulieferer verlassen, sondern sich mittels eigener Audits oder externe Prüfer ein verlässliches Bild machen. Darüber hinaus sollte das Unternehmen auch in der Überwachung der Risiko- und Bedrohungslandschaft seinen Blick erweitern und potenzielle Risiken für seine Supply Chain stets einbeziehen.

Dass viele Unternehmen beim Thema Supply-Chain-Security noch Nachholbedarf haben, unterstreicht eine Umfrage der Firma BlueVoyant: Weniger als 25 Prozent der befragten Unternehmen gaben an, ihre gesamte Lieferkette zu überwachen, und nur 32 Prozent prüfen das Cybersicherheitsniveau ihrer Versorger in regelmäßigen Abständen.

Auch Branchenstandards bzw. Regulierungen können das Sicherheitsniveau in Sektoren anheben, die bisher nicht eigenständig ein ausreichendes Sicherheitsniveau erreicht haben. Ein Beispiel für eine effektive Branchenkooperation ist der Trusted Information Security Assessment Exchange (TISAX) des Verbands der Automobilindustrie, der als Mechanismus zum Austausch von Prüfergebnissen auf Basis eines branchenspezifischen Standards fungiert. Automobilhersteller sowie deren Dienstleister können sich durch ein anerkanntes TISAX-Team in Bezug auf die sichere Verarbeitung von vertraulichen Informationen sowie Datenschutz prüfen lassen. Das jeweilige Prüfergebnis wird dann an andere TISAX-Teilnehmer weitergeleitet. Ziel ist es, objektive Bewertungskriterien zu etablieren, um so eine Transparenz über den Reifegrad der Cybersecurity bei Dienstleistern und Lieferanten innerhalb der Automobilindustrie zu schaffen.

Doch trotz dieser Initiativen werden indirekte Attacken auch in Zukunft dazu beitragen, dass Cyber-Risiken nicht aus unserem Unternehmensalltag verschwinden werden. Grund dafür ist, dass laut ENISA eine immer größere Anzahl an indirekten Attacken als Advanced-Persistent-Threats (ATPs) eingestuft wird. ATPs sind komplexe, zielgerichtete und effektive Angriffe, die viel Aufwand und Ressourcen erfordern. Oft werden diese Angriffe daher mit staatlich oder anders finanzierten Hackergruppen in Verbindung gebracht. Diese Gruppen machen sich die erwähnten Eigenschaften indirekter Angriffe zunutze, um damit ihre stark abgesicherten Ziele wie Nationalstaaten, Behörden oder Rüstungsunternehmen zu erreichen. Sie schrecken dabei auch nicht vor möglichen Kollateralschäden zurück.

Geht es also um den Schutz des Ökosystems, ist Kooperation das Gebot der Stunde. Unternehmen, Dienstleister, Lieferanten müssen über Branchengrenzen hinweg eng zusammenarbeiten, um eine abgestimmte Security-Strategie entlang der Wertschöpfungskette zu definieren. Denn auch im Zusammenhang mit Supply-Chain-Security gilt nach wie vor das Sprichwort: Jede Kette ist nur so stark wie ihr schwächstes Glied.

* Thomas Schumacher ist Leiter IT Security bei Accenture.

(ID:48172702)