Durch Krisen wie Handelskonflikte, die Covid-19-Pandemie oder die Energiekrise sind Lieferketten in den vergangenen Jahren zunehmend unter Druck geraten. Dazu gesellt sich ein weiteres Problem, das Supply Chains großen Schaden zufügen kann: die kritische Cybersicherheitslage. Laut einer aktuellen Studie des Unternehmens Trend Micro wurden 43 Prozent der deutschen Lieferketten bereits durch Ransomware (Erpressungssoftware) kompromittiert.
Verschlüsselung von Daten
Dabei handelt es sich um eine Art von Malware (Schadsoftware), die zunehmend Verbreitung findet. Daten in einem Unternehmen werden hier von Cyberkriminellen verschlüsselt. Im Anschluss fordern sie in einem Erpressungsschreiben vom betroffenen Unternehmen die Zahlung eines hohen Lösegeldes. Doch das Lösegeld ist meist nur ein Kostenfaktor unter vielen, die durch Ransomware-Attacken entstehen. Betriebsunterbrechungen und mögliche Imageschäden verursachen weitere Kosten. Die Hacker stellen die erbeuteten hochsensiblen Unternehmensdaten oftmals im Darknet zur Verfügung oder verkaufen sie. Die IT-Infrastruktur des betroffenen Unternehmens bleibt nach Ransomware-Angriffen häufig noch monatelang beeinträchtigt.
Akteure der Cyberbedrohung
Die Lage hat sich seit Beginn des russischen Angriffskrieges auf die Ukraine weiter verschärft. Ransomware-Gruppen und andere Cyberkriminelle handeln häufig im Einklang mit staatlichen Hackern und stimmen sich mit diesen ab. Dabei existieren Verwertungsketten mit Gruppen, die auf Spam-E-Mails und Phishing spezialisiert sind. Beim Phishing wird versucht, durch authentisch wirkende, vertrauenserweckende E-Mails an Zugangsdaten oder andere sensible Informationen zu erlangen.
Bei politisch motivierten Angriffen geht es häufig um die Schwächung ganzer Volkswirtschaften mittels Betriebsstörungen oder Diebstahl von Firmengeheimnissen. Wenn durch Angriffe nicht nur IT-Infrastrukturen einzelner Unternehmen beeinträchtigt werden, sondern Lieferketten komplett zum Erliegen kommen, ist dies im Sinne politisch motivierter Hacker. Neben Akteuren, die, mittelbar oder unmittelbar, im staatlichen Auftrag agieren, gibt es auch unabhängige Einzelpersonen oder Kollektive wie Anonymous.
Suche nach sensiblen Angriffspunkten
Die Motivation von Hackern kann aber vielschichtig sein. Ein bestimmtes zu erreichendes Ziel haben sie häufig nicht. In der Regel handeln Hacker opportunistisch und nehmen den Weg des geringsten Widerstandes. Cyberkriminelle werden dort in IT-Systeme reinkommen, wo es ihnen durch Zufall oder Glück gelingt oder wo die Hürden am geringsten sind. Bei kleineren Lieferanten ist die Wahrscheinlichkeit höher, dass dort keine hohen IT-Sicherheitsstandards gelten oder diese eher vernachlässigt werden.
Ein mögliches Szenario: Ein schädlicher E-Mail-Anhang wird an einer Stelle in der Lieferkette geöffnet und breitet sich dann möglicherweise über Schnittstellen mit Kunden oder Zulieferern in andere Bereiche der Lieferkette aus. Die Ausbreitung kann über Software-Schnittstellen zwischen ERP-Programmen erfolgen oder auch über das Öffnen von schädlichen E-Mail-Anhängen. So findet eine Malware auf einem Lieferantensystem über die Vernetzung mit dem hauseigenen Procurement-System vielleicht den Weg in das eigene Unternehmensnetzwerk.
Bewusstsein schaffen
Wichtig ist, dass im Rahmen des Supply-Chain-Risk-Managements auch die Risiken im Bereich der IT-Security von Lieferanten immer mitgedacht werden. Einkäufer müssen sich grundsätzlich darüber im Klaren sein, dass sie als Bindeglied zwischen dem eigenen Unternehmen und seinen Lieferanten fungieren. Somit sitzen sie direkt an der externen Angriffsfläche ihres Unternehmens. Zudem besitzen sie Zugang zu einer Menge sensibler und hochinteressanter Informationen in den Beschaffungssystemen.
Schulungen bilden ein wertvolles Instrument, um das Bewusstsein für Security unter Mitarbeitern zu erhöhen. Sie sollten zum Beispiel für die Gefahren durch Phishing sensibilisiert werden. IT-Sicherheit beginnt aber schon beim Sperren des PCs in der Pause oder bei der Frage, welche Daten überhaupt mit Lieferanten geteilt werden. Der größte Sicherheitsfaktor ist der Faktor Mensch.
Essenzielle IT-Sicherheitsmaßnahmen
Ein unverzichtbarer Schritt für einen besseren Schutz gegen Angriffe ist die Implementierung einer Zwei-Faktor-Authentisierung auf allen Logins, die außerhalb des Unternehmens erfolgen. Dabei wird das zuvor eingegebene Passwort um einen zusätzlichen, unabhängigen Faktor ergänzt. Diese Maßnahme verhindert, dass sich Personen mit gestohlenen Credentials (Berechtigungsnachweis) anmelden können. Besonders gefährdet sind hier Webmail-Dienste und VPN-Verbindungen.
Die externe Angriffsfläche des Unternehmens sollte dauerhaft mit Schwachstellenscannern wie Nessus abgescannt werden. Denn kritische Sicherheitslücken müssen sofort geschlossen werden, bevor sie von Hackern ausgenutzt werden können. Zusätzlich zu einem kontinuierlichen Schwachstellenmanagement finden Pentests (Penetrationstests) besonders komplexe Angriffspfade, über die sich Cyberkriminelle ihren Weg bahnen. Die Verbreitungswege von Ransomware werden auf diese Weise effektiv aufgedeckt.
Langfristig empfiehlt es sich, im Rahmen einer Prozessberatung IT-Prozesse und -Architekturen ganzheitlich zu beleuchten und Sicherheitsmaßnahmen kontinuierlich auszubauen. Die eingesetzten Intrusion-Detection- und Intrusion-Prevention-Systeme (IDS/IPS) sollten sorgsam ausgewählt werden. Ein kompetent besetztes Security Operations Center (SOC) sorgt bei IT-Sicherheitsvorfällen für eine schnelle Reaktion. Cybersecurity muss als ein kleinteiliger und langwieriger Prozess betrachtet werden, der nie endet.
Bild: mod IT ServicesSebastian Brabetz
ist in der Geschäftsleitung der mod IT Services GmbH für die Professional Security Solutions verantwortlich.
