ein Artikel von Verena Eichinger, Amelie Kassner und Elisa Zeller
Nach SolarWinds schafft es eine neue Schlagzeile aus der IT-Welt in den Massenmedien ihre Kreise zu ziehen. Über 500 Supermärkte in Schweden mussten wegen eines Cyberangriffs schließen. Wie bereits bei SolarWinds handelt es sich auch hier um eine Supply Chain Attack (SCA). Mittlerweile fällt dieser Begriff immer häufiger und er schafft es nicht nur allgemein für Aufmerksamkeit zu sorgen, sondern führt auch zu großer Besorgnis in IT-Kreisen. [12]
Wir alle, die wir diesen Artikel lesen, sitzen gerade vor einem technischen Gerät, das ein komplexes Zusammenspiel aus Hardware und Software darstellt. Diese Komplexität können wir in der heutigen Zeit nicht mehr vollständig durchdringen, oder wissen Sie, woher die einzelnen Komponenten stammen und wer zu diesen Zugang hatte? Ist jegliche Software auf dem neuesten Stand und sind genutzte Bibliotheken auch wirklich vertrauenswürdig? Kann man sich sicher sein, dass in das letzte Softwareupdate keine Malware eingeschleust wurde? Das alles sind Fragen, die sich stellen, wenn man sich mit SCAs befasst und beginnt, die Tiefe der dahinterstehenden Problematik zu begreifen. Zwar waren bisher stets Firmen das Ziel der Angriffe, doch wie es der kürzliche Vorfall bei der Supermarktkette Coop in Schweden zeigt, sind deren Auswirkungen auch beim Endnutzer angekommen. An dieser Stelle lohnt es sich für jedermann, die Thematik genauer zu betrachten. Dazu wird im ersten Abschnitt dieses Artikels das zugrundeliegende Prinzip der SCAs erläutert und geklärt, womit wir es genau zu tun haben. Anschließend werden die genannten Beispiele SolarWinds und der Angriff auf Kaseya, zu dessen Opfern auch die Supermarktkette Coop gehört, betrachtet. Diese beiden Angriffe sind Musterbeispiele für die Gefahr und den Wirkungsgrad der SCAs. Zuletzt soll es darum gehen, was gegen die Bedrohung durch SCAs unternommen werden kann.
Nach diesem Überblick über die Thematik können wir die vorigen Fragen erneut betrachten und entscheiden, ob wir uns sicher fühlen können oder von nun an in Paranoia leben müssen.
Im Anschluss finden sich außerdem weiterführende Links für alle, die sich noch tiefer in die Thematik einlesen möchten.
Das zugrundeliegende Prinzip
Zunächst zu der grundlegenden Fragestellung, was man unter SCAs versteht. Die SCAs sind eine Art der Cyberattacken. Deren Grundgedanke ist es, nicht mehr ein Opfer direkt zu attackieren, sondern, wie der Name schon verrät, über eine Schwachstelle in dessen Lieferkette anzugreifen. Die Ziele sind dabei dieselben wie bei allen Cyberattacken: Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Diensten werden untergraben. Konkret genutzt werden die Attacken meist zum Diebstahl wertvoller Daten oder zur Erpressung der Opfer. Eine gängige Methode hierfür ist die Nutzung eines Verschlüsselungstrojaners, sogenannter Ransomware. Die Angreifer profitieren bei der Durchführung von SCAs von mehreren Besonderheiten. Der nachfolgend erläuterte Aufbau von Lieferketten ermöglicht es, einen Angriff ohne Mehraufwand zu verbreiten. So werden beispielsweise mit nur einer Attacke hunderte Firmen getroffen. Zudem wird eine bei einem Zulieferer eingeschleuste Malware unter dessen Namen bzw. über dessen Software verbreitet. Damit versteckt sich eine SCA hinter gültigen Signaturen und Zertifikaten und nutzt das Vertrauen aus, das dem Zulieferer entgegengebracht wird. Derartige Angriffe sind meist anspruchsvoll und technisch hoch entwickelt, da der Weg bis zum eigentlichen Opfer gut durchdacht sein muss und die Attacke an keiner Stelle auf diesem Weg entdeckt werden darf. [40] [42] [57]
Das Feld der SCAs ist dazu noch sehr vielfältig was genutzte Angriffsformen betrifft, da hier vom Einschleusen von Schadsoftware bis zum Austausch von Hardware alles möglich ist. Entsprechend vielfältig sind die in diesem Kontext genutzten Begrifflichkeiten. Value Chain Attack oder Third Party Attack sind Bezeichnungen, die gleichbedeutend zu Supply Chain Attack genutzt werden. Durch die Vielzahl an möglichen Angriffsformen tauchen allerdings auch spezifischere Begriffe für Attacken auf. So gehören die zunehmenden Dependency Confusion oder auch Supply Chain Substitution Attacks ebenfalls zu den SCAs. Ein Beispiel für die zahlreichen Möglichkeiten eines Angriffs wären neben dem Diebstahl von Daten oder Technologien auch das Einschleusen von Schadcode. Außerdem kann ein Angriff zu jedem Zeitpunkt im Lebenszyklus eines Produkts, also von der Entwicklung bis zum Betrieb oder der Wartung erfolgen. Man muss auch bedenken, dass nicht nur Angriffe auf spezielle Firmen, sondern auch auf die Verbindungen und den Datenfluss zwischen Elementen in der Lieferkette möglich sind. [20] [33] [38]
Um hier den Überblick zu wahren gilt grundsätzlich: Erfolgt ein Angriff über die Lieferkette, so handelt es sich um eine Art von SCA. Daher lohnt sich ein Blick darauf, was genau die Lieferkette umfasst.
Der Begriff Lieferkette ist heutzutage beinahe schon irreführend, da Herstellungsprozesse mittlerweile komplexe Netzwerke statt einfacher „Ketten“ sind. Die Vernetzung im Zuge der Globalisierung und die internationale Zusammenarbeit in der Herstellung von Produkten ist extrem stark ausgeprägt. Das gilt entsprechend auch für die Vernetzung in Lieferketten von Hardware und Software. Zu dieser gehören alle Firmen oder Organisationen, die durch Produkte oder Dienstleistungen am Endprodukt mitwirken. Das umfasst unter anderem jegliche Vertriebsstellen, Spediteure, Lagerungsstätten und sämtliche Organisationen, die ein Produkt entwickeln, verbessern, verändern oder warten. Verallgemeinert besteht die Lieferkette ausgehend von einer Firma also aus allen Zulieferern und wiederum deren Zulieferern, allen Kunden und wiederum deren Kunden, sowie der Firma an sich. [14] [42] [54]
Betrachtet man den Software-Bereich, so umfasst die Lieferkette folglich alles, was zum Endprodukt beiträgt. Dazu gehört Open Source Code, Code von Partnern oder Zulieferern oder proprietärer Code. Sämtliche Pakete und Abhängigkeiten und auch jegliche anderen Daten müssen bedacht werden. Heutige Software ist entsprechend komplex und die vermehrte Nutzung von Integrations-Lösungen erhöht diese Komplexität noch weiter. [16] [39]
In Bezug auf Angriffe bietet die Lieferkette viele Möglichkeiten. Anstelle eines direkten Angriffs auf ein gut geschütztes Ziel nimmt man einen Umweg in Kauf und nutzt dabei leicht zugängliche Stellen in der Lieferkette aus. Hierbei können mangelnde Sicherheitsmaßnahmen bei kleinen Zulieferern oder Sicherheitslücken in deren Software ausgenutzt werden, um dadurch Zugang zum eigentlichen Opfer zu erlangen. Der Kern der Problematik liegt folglich darin, dass ein Sicherheitsrisiko an einem einzigen Punkt der Lieferkette an alle nachfolgenden Stellen weitergegeben wird. Diese Tatsache in Kombination mit der Komplexität des Netzes aktueller Lieferketten zeigt die Dimension der Problematik. In diesem komplexen Zusammenspiel reicht schon eine Schwachstelle in der Lieferkette aus, um einen Angriff zu ermöglichen. [42]
Die Ursachen für derartige Schwachstellen sind nicht neu, es handelt sich um gängige Sicherheitslücken. Diese beruhen auf mangelnden Anforderungen, die an die Sicherheit gestellt werden, oder ineffektiven Maßnahmen. Mängel und Fehler im Code oder Design einer Anwendung, sowie unzureichende Kontrolle und fehlende Tests können ebenfalls der Grund für Lücken sein. Auch unsicheres Software Deployment oder allein schon unsichere Kommunikation können zu Problemen in der Sicherheit führen. [42]
Wie man solche Probleme vorbeugen kann, wird im letzten Teil des Artikels Thema sein. Zunächst betrachten wir zwei Attacken, die die zuvor beschriebenen Prinzipien in die Tat umgesetzt haben und beispielhaft dafür stehen, zu was SCAs fähig sind.
Leave a Reply
You must be logged in to post a comment.