Concerned about recent PAN-OS and other firewall/VPN CVEs? Take advantage of Zscaler’s special offer today

Learn More
Zpedia / Was sind Supply-Chain-Angriffe?

Was sind Supply-Chain-Angriffe?

Ein Supply-Chain-Angriff ist eine Art von Cyberangriff, der sich gegen die Lieferkette eines Unternehmens richtet. So wollen sich die Angreifer Zugang zu den Systemen und Daten dieses Unternehmens verschaffen. Diese auch als Value-Chain- und Third-Party-Software-Angriffe bezeichneten Angriffe erfordern aufseiten der Hacker, die mithilfe von Schadcode in das Firmensystem eindringen, ein hohes Maß an Planung. Die Folgen für das betroffene Unternehmen können auch jenseits der eigentlichen Kompromittierung verheerend sein, wie sich etwa an den SolarWinds-Angriffen aus dem Jahr 2020 ablesen lässt.

Lernen Sie die branchenweit erste integrierte SaaS-Lösung für Lieferkettensicherheit kennen

Beispiele

Es gibt zwei Arten von Supply-Chain-Angriffen, die sich gegen die Liefer- und Wertschöpfungsketten von Unternehmens richten.

Island-Hopping-Angriffe

Bei Island-Hopping-Angriffen dringen Cyberkriminelle in große Unternehmen ein, indem sie kleinere Akteure entlang der Wertschöpfungskette oder solche mit wahrscheinlich weniger ausgefeilten Sicherheitskontrollen ins Visier nehmen. Wie der Name schon sagt, springen die Angreifer dabei von Organisation zu Organisation, um sich ihrem eigentlichen Ziel anzunähern.

Island-Hopping-Angriffe zielen meist auf namhafte Unternehmen mit einem weit verzweigten Lieferenatennetzwerk. Das sind unter anderem Anbieter für Managed Services, Hardware und Software sowie Technologie- und Geschäftspartner, die über anfällige Endgeräte mit diversen Anwendungen und Datenbanken verbunden sind.

Vorsicht vor Lieferkettenangriffen

Supply-Chain-Angriffe wie auf SolarWinds laufen etwas anders ab. Anstatt Schwachstellen eines Partners als Einfallstor in das Netzwerk eines anderen Unternehmens auszunutzen, geht es hier darum, sich das Vertrauen zwischen legitimen Organisationen im normalen Geschäftsbetrieb zunutze zu machen.

So laufen Supply-Chain-Angriffe ab

Bei Supply-Chain-Angriffen versuchen Hacker, sich über Hintertüren in Produkten (in der Regel Software)), die von ihren Opfern verwendet werden, Zugang zu verschaffen. So können sie automatische Patches oder „trojanisierte“ Software-Updates einschleusen, die dann Malware und anderen Angriffsmethoden Tür und Tor öffnen.

Island-Hopping- und Supply-Chain-Angriffe haben bereits zu aufsehenerregenden und kostspieligen Datenlecks geführt. Doch auch für kleinere Unternehmen, die ihnen als sprichwörtliche „Inseln“ dienen, können gravierende Ruf- und Geschäftsschäden die Folge sein, obwohl sie gar nicht das eigentliche Angriffsziel sind.

Die Folgen von Supply-Chain-Angriffen

Beim SolarWinds-Orion-Angriff im Jahr 2020 konnte sich ein Hacker über eine Hintertür Zugang zu SolarWinds-Systemenverschaffen und mit Trojanern verseuchte Updatesfür die Plattform SolarWinds Orion erstellen. So konnte heimlich Malware in die Netzwerke von 18.000 SolarWinds-Kunden eingesetzt werden, unter denen auch viele US-Regierungsbehörden und Einrichtungen wie das Pentagon, das US-Heimatschutzministerium, das FBI, die US-Streitkräfte und viele weitere waren.

Die Hintertür wurde dabei über ein legitimes Software-Update für ein bekanntes (vertrauenswürdiges) Überwachungs- und Verwaltungstool eingeschleust. Nach dessen Installation unternahmen die Hacker dann etliche Anstrengungen, um eine Erkennung durch die Sandbox zu verhindern. So wurde unter anderem mehrere Tage abgewartet, bevor der erste Callback an das Command-and-Control-System (C2) erfolgte.

Warum sind sie so gefährlich?

Sicherheitsexperten halten Angriffe auf die Lieferkette für die am schwierigsten zu verhindernden Bedrohungen, da sie das inhärente Vertrauen ausnutzen. Zudem sind sie schwer zu erkennen und können dauerhafte Folgen haben. Um ihnen entgegenzutreten, reichen Virenschutzprogramme und zurückgesetzte Betriebssysteme kaum aus. Denn die Hacker haben es auf Ihre Prozesse abgesehen. Die sollten also so robust wie möglich gestaltet werden.

[Lieferkettenangriffe] gehören zu den Bedrohungsarten, die sich am schwierigsten verhindern lassen, da sie Vertrauensbeziehungen zwischen Anbietern und Kunden sowie Kommunikationskanäle zwischen Maschinen – wie z. B. Software-Update-Mechanismen – ausnutzen, denen User inhärent vertrauen.

Lucian Constantin, CSO

Die Bedeutung der Softwareentwicklung

Schwachstellen in der Software-Lieferkette finden sich bereits in deren Aufbau. Potenzielle Sicherheitsrisiken im Entwicklungsprozess sollten also beseitigt werden, damit Sie Sicherheitsvorfälle in Ihrer Lieferkette auf das absolute Minimum beschränken können.

Im Folgenden soll der Frage nachgegangen werden, wie eine unzureichend gesicherte SoftwareentwicklungAngriffsflächen schaffen kann.

Was versteht man unter Geheimnissen?

Im Zusammenhang mit der Softwareentwicklung dienen Geheimnisse wie Token, Kodierungsschlüssel, Passwörter oder APIs zur Authentifizierung und ermöglichen den Zugriff auf vertrauliche Informationenvon Benutzer zu App und von App zu App . Denn häufig durchsuchenHacker undRansomware- Gruppen wieNotPetya denQuellcodevon Unternehmen auf Schwachstellen, die sie später ausnutzen können.

Risiken bei Open Source

Trotz ihrer VerbreitungmachtOpen-Source-Software (OSS) Unternehmen anfällig für Angriffe. DennOSSist inder Softwareentwicklung zwar effektiv, vergrößert aber auch die Angriffsfläche und öffnet Datenschutzverletzungen und MalwareTür und Tor – und damit den zwei häufigsten Verfahren für Angriffe auf die Software-Lieferkette.

Es wird auch in Zukunft Angriffe auf Lieferketten geben. Es ist äußerst schwierig, sich vor ihnen zu schützen. Das zeigt, wie wichtig das Thema Sicherheit bei der Anbieterwahl ist.

Jake Williams, SANS Institute

Unterstreicht der SolarWinds-Angriff das Lieferkettenrisiko?

Der SolarWinds-Angriff zeigt, dass Unternehmen jederzeit auf der Hut sein sollten, wenn es um ihre Lieferketten geht. Er legt die besonderen Schwachstellen von Software-Lieferketten und das dadurch entstehende Risiko selbst für hochkarätige, stark geschützte Unternehmen wie Cisco, Intel und Microsoftschonungslos offen. Und er dient als mahnendes Beispiel für IT-Sicherheitsverantwortliche, dass jeder Angriff auf ein einzelnes Glied in der Kette diese komplett kompromittiert.

Um Ihnen zu helfen, Ihr Unternehmen vor diesen gefährlichen Bedrohungen zu schützen, werden im nächsten Abschnitt entsprechende Best Practices vorgestellt.

 

Best-Practice-Empfehlungen zum Schutz Ihrer Organisation

Supply-Chain-Angriffe werden immer ausgefeilter. Und es besteht kein Zweifel, dass Hacker immer neue Wege finden, um die Betriebsabläufe und sensiblen Daten öffentlicher Behörden wie privater Unternehmen gleichermaßen zu kompromittieren . Umdas Risiko in der Lieferkettezu reduzieren und ihre Sicherheit so weit wie möglich zu erhöhen, empfiehlt Zscaler deshalb die folgenden Schritte:

  • Minimieren Sie Ihre sichtbare Angriffsfläche, verhindern Sie laterale Bewegungen in Ihrem Netzwerk und blockieren Sie Command-and-Control-Aktivitäten (C2) mit einer Zero-Trust-Architektur.
  • Implementieren Sie lückenlose TLS/SSL-Prüffunktionen und Advanced Threat Prevention für den Datenverkehr von Workloads ins Internet.
  • Erkennen und stoppen Sie unbekannte Bedrohungen mit einer Inline-Cloud-Sandbox.
  • Setzen Sie durch regelmäßige Updates für neu entdeckte Verbindungsziele effektive Schutzmaßnahmen zur Blockierung des gesamten bekannten C2-Traffics durch.
  • Verlangen Sie eine mehrstufigeAuthentifizierung beim Zugriff auf mögliche Angriffsziele.
  • Begrenzen Sie Folgen lateraler Bewegungen mit einer identitätsabhängigen Mikrosegmentierung für Cloud-Workloads.
  • Investieren Sie in Lösungen von Anbietern, die ein Höchstmaß an Vertraulichkeit, Integrität und Verfügbarkeit gewährleisten können.
  • Führen Sie fortlaufende Risikobewertungen durch und priorisieren Sie Ihr Risikomanagement, damit Ihr Unternehmen bestmöglich geschützt ist.
  • Führen Sie regelmäßig Schulungen zurCybersicherheit mit Best Practices durch, damit Ihre Beschäftigten genau wissen, worauf sie achten müssen (Phishing-Mails usw.).
  • Stellen Sie ein geeignetes Incident-Response-Framework für den Fall auf, dass in Ihrem Netzwerk ein Angriff festgestellt wird.

Um diese Best Practicesder Lieferkettensicherheit umzusetzen, braucht es einen vertrauenswürdigen Partner für Cybersicherheit. Und eine Plattform, die den Datenverkehr inline prüft und so gefährliche Malware und Ransomware beseitigt, bevor diese in Ihr Unternehmen eindringen kann. Und genau dieser Partner ist Zscaler. 

Zscaler als Schutz vor Supply-Chain-Angriffen

Supply-Chain-Angriffe sind raffiniert und schwer zu erkennen. Neben der genauen Kenntnis der Sicherheitslage aller beteiligten Organisationen erfordert ihre Abwehr mehrere Schutzebenen und Einblick in den gesamten Datenverkehr Ihrer Organisation. Im Folgenden sind einige der in Zscaler Zero Trust Exchange™enthaltenen Dienste aufgeführt, die Schutzvor Angriffen auf die Lieferkette und die folgenden Vorteile bieten:

  1. Erkennen und stoppen Sie böswillige Aktivitäten kompromittierter Server, indem Sie den gesamten Serververkehr über Zscaler Internet Accessleiten.
  2. Beschränken Sie den Datenverkehr aus kritischen Infrastrukturen mit einer Positivliste.
  3. Prüfen Sie den gesamtenSSL/TLS-Traffic, auch wenn er aus vertrauenswürdigen Quellen stammt.
  4. Aktivieren Sie Advanced Threat Protection, um alle bekannten C2-Domains zu blockieren.
  5. Erweitern Sie Ihren Schutzschirm mit der Advanced Cloud Firewall (Cloud-IPS-Modul) auf alle Ports und Protokolle, einschließlich neuer C2-Ziele.
  6. Verhindern Sie mit Advanced Cloud Sandbox, dass unbekannte Malware als Second-Stage Payload bereitgestellt wird.
  7. Dämmen Sie potenzielle Kompromittierungen ein, indem Sie deren Ausbreitung durch eine identitätsabhängige Mikrosegmentierung (Zscaler Workload Segmentation) und eine Zero-Trust-Architektur einschränken.
  8. Schützen Sie zentrale Anwendungen und begrenzen Sie die laterale Bewegung mit Zscaler Private Access.

Hier finden Sie weitere Tipps:

  1. In diesem Video erfahren Sie mehr über Zscaler Zero Trust Exchange.
  2. Erfahren Sie, wie Sie Anwendungen vom Build bis zur Laufzeit mit Posture Controlschützen.
  3. Auf dieser Seite erfahren Sie, wie Sie bei Cyberangriffen vorgehen müssen, die mit SolarWinds vergleichbar sind.

Empfohlene Ressourcen

  • Das sollten Sie über den SolarWinds-Angriff wissen

    Zum Blog

  • Ein wichtiger Extraschutz: SaaS Supply Chain Security

    Zum Blog

  • Was ist die SSL-Entschlüsselung?

    Zum Artikel

  • Der Supply-Chain-Angriff 3CX

    Zum Blog

  • Zscaler Advanced Threat Protection:

    Seite aufrufen

Häufig gestellte Fragen

Worin unterscheiden sich Supply-Chain-Angriffe von Sicherheitsverstößen?

Bei Supply-Chain-Angriffen werden vertrauenswürdige Tools für den Zugriff auf Ihr Netzwerk eingesetzt. Dabei werden Malware und Hintertüren in Software-Patches und -Updates eingeschleust. So können unzählige Unternehmen gleichzeitig infiziert werden, ohne dass die Urheber entdeckt werden.

Wie werden sich Supply-Chain-Angriffe weiterentwickeln?

Je mehr die Angreifer dazulernen, desto häufiger kommt es auch zu mehrstufigen Lieferkettenangriffen. Dabei werden beispielsweise Softwareanbieter gehackt, um Zugriff auf die Netzwerke von deren Kunden zu erlangen. Unter diesen können sich dann wiederum andere Softwareunternehmen befinden. Indem die Angreifer auch die Softwareupdates dieser Unternehmen infizieren, erreichen sie sogar noch mehr Unternehmen.