Die Lieferkette: Immer öfter im Visier der Cyberkriminellen

Illustration: Absmeier, Kellepics

Da bei größeren Unternehmen inzwischen das IT-Risikobewusstsein wächst und man strengere Maßnahmen zur Absicherung kritischer Daten und Infrastrukturen trifft, konzentrieren Hacker ihre Aufmerksamkeit immer häufiger auf deren Zulieferer, um ihre Ziele zu erreichen. Gegen diese auf das »schwächste Glied« der Kette abzielende Angriffsstrategie hilft nur eine engere Zusammenarbeit unter den involvierten Unternehmen der gesamten Lieferkette. Die Analyse von Stormshield.

Anzeige

 

Liefer- und Logistikkette: das primäre Ziel der Hacker

Anzeige

Die größeren Konzerne erlangen allmählich eine gewisse digitale Reife bezüglich der Cyberbedrohungen und sichern sich nicht nur besser ab, sondern fördern auch die allgemeine Sensibilisierung der Mitarbeiter. Diese Maßnahmen erscheinen auf den ersten Blick ausreichend, verschleiern allerdings die tönernen Füße dieser Giganten: deren Zulieferer und Dienstleister.

Komponenten verschiedener Lieferanten, deren Verarbeitung und Zusammenfügung, die Lagerung der Endprodukte oder auch die Übergabe ans Vertriebsnetz: Das sind jeweils Schwachstellen eines jeden Herstellungsverfahrens und stellen als solche die Weichen für potenzielle Manipulationen. Wer verdächtigt ein Paket, das mit dem üblichen Kurier geliefert wird? Ebenso: Wer würde gegenüber Software misstrauisch werden, die von seinem vertrauenswürdigen Dienstanbieter bereitgestellt wird? Anstatt große Unternehmen direkt anzugreifen, wenden sich Cyberkriminelle nun an involvierte Dritte, die verwundbarer sind und daher leichter als Pforten zum Netzwerk und zu den Geräten ihrer Großkunden ausgenutzt werden können. Da es sich in der Regel um kleinere Unternehmen handelt, in denen Cybersicherheit und digitale Hygiene oft nicht im Vordergrund stehen, sind Auftragnehmer in der Tat ein begehrtes Ziel für Cyberangriffe.

Nach einer Studie des Ponemon Institute im Jahr 2018 erlitten 56 % der an der Analyse beteiligten Unternehmen eine Verletzung ihrer Daten über das Netzwerk eines Anbieters. Zudem verfügen nur 35 % der Firmen über eine klare Aufstellung der Unternehmen, mit denen sie sensible Daten und Informationen austauschen. Eine weitere Studie des Vanson Bourne Institute aus dem Jahr 2018 identifizierte Arzneimittel, Biotechnologie, Medien und Unterhaltung, Gastgewerbe und Informationsdienste als die Bereiche, die für Cyberkriminelle am relevantesten sind. Auch Softwarehersteller können betroffen sein, da ihre Anwendungen als zuverlässig gelten und viele Unternehmen ungehindert erreichen, wie der Fall der Buchhaltungs-Software MeDoc in der Ukraine, der Ausgangspunkt von NotPetya im Jahr 2017, zeigt.

Anzeige

Die durch die Liefer- und Logistikkette dargestellten IT-Risiken sind konkreter, als man vermutet: »Denken Sie an Unternehmen, bei denen die Computer nach einer Reparatur zurückkehren und direkt an die Mitarbeiter abgegeben werden, ohne zu überprüfen, ob während der Wiederherstellung oder des Transports Malware installiert wurde«, erwähnt Uwe Gries, Country Manager DACH bei Stormshield. Und für jeden Knoten der Lieferkette gibt es unzählige Ziele für Cyberkriminelle: Informationen über vertrauliche Herstellungsverfahren oder geistiges Eigentum sammeln, Daten von Kunden und Partnern stehlen oder einfach ganze Produktionslinien blockieren. Zahlungsverzögerungen, Umsatzeinbußen und Reputationsschäden sind nur einige der häufigsten Folgen.

 

Die Versuchung, das Risiko zu unterschätzen

Für Hacker kann auch das kleinste Unternehmen – dessen Geschäft auf den ersten Blick vielleicht zweitrangig erscheint – ein relevantes Ziel sein. Und doch »glauben die meisten kleinen Unternehmen, dass sie keinen Cyberbedrohungen ausgesetzt seien«, bemerkt Gries. Da sie über keine beträchtlichen Finanzressourcen oder nach eigenem Ermessen über keine besonders sensiblen Informationen verfügen, ergreifen sie oft keine geeigneten Maßnahmen. Sich gegen Cyberkriminelle abzusichern, ist wie eine Versicherung: Es ist nutzlos, bis man es braucht. Dann ist es aber zu spät. Diese Haltung führt unweigerlich zu einer Art Omertà im Falle einer Sicherheitspanne.

»Angesichts der zunehmenden Vernetzung der Systeme zwischen Käufern und Auftragnehmern ist es notwendig, alle Beteiligten in Präventionsmaßnahmen einzubeziehen, um die globale Sicherheit zu gewährleisten«, so Gries abschließend.

 

Eine Lösung: Zusammenarbeit

Aktuelle Schutztechniken wie die Identifizierung von Vorfällen durch abnormales Verhalten oder Angriffssimulationen scheinen nicht mehr ausreichend zu sein, um das immer ausgedehntere Unternehmensperimeter abzudecken. Tatsächlich ist der Wirkungsgrad dieser Instrumente begrenzt, wenn sie nur zum alleinigen Schutz des Unternehmens eingesetzt werden, ohne den Rest des Ökosystems zu berücksichtigen. »Das Sicherheitsniveau einer Kette ist und bleibt das ihres schwächsten Gliedes«, erinnert Gries. Die größte Herausforderung für jedes Unternehmen besteht daher darin, das Risikobewusstsein seiner Auftragnehmer zu erhöhen – und ebenso das seiner Mitarbeiter.

Zur Gewährleistung eines besseren und sichereren Informationsaustausches zwischen Lieferanten und Käufern spielen letztere eine entscheidende Rolle. »Die Auftraggeber können zum Beispiel im Rahmen einer Ausschreibung vorschreiben, dass die teilnehmenden Lieferanten bestimmte Cybersicherheitskriterien erfüllen«, sagt Gries. Die Bedeutung dieses Wandels wird umso klarer, je mehr das aktuelle Modell des massiven Outsourcings von Dienstleistungen durch Allianzen Fuß fasst. Ein Modell, wodurch nur die Unternehmen überleben werden, die in der Lage sind, die Integrität ihrer Prozesse und Daten zu wahren, einschließlich derjenigen, die sie nicht direkt kontrollieren. Dieses Bestreben erfordert von den Unternehmen, ihre Partner sehr rigoros auszuwählen, die Abläufe immer weiter zu automatisieren und vor allem einen echten Geist der Zusammenarbeit von einem Ende der Lieferkette zum anderen zu schaffen. Sind wir dazu bereit?

 

189 Artikel zu „Sicherheit Lieferkette“

Neun Prognosen zur Cybersicherheit im Jahr 2020

Egal ob EU-Institutionen, nationale Regierungen, internationale Unternehmen oder auch die Mitglieder der Weltwirtschaftsforums: Als Berater rund um Cybersicherheit ist Greg Day, VP und Chief Security Officer (EMEA) von Palo Alto Networks ein gefragter Experte. Er beantwortet heute eine aktuelle Frage: Wie werden die kommenden Herausforderungen und Chancen für IT-Sicherheit in 2020 aussehen?   KI wird…

Vier Erkenntnisse aus einem Jahrzehnt Anwendungssicherheit

Bedrohungen bleiben auf hohem Niveau, aber neue Ansätze können helfen. Bereits seit 2009 veröffentlicht der Anwendungssicherheitsspezialist Veracode jedes Jahr seinen State of Software Security (SoSS) Report. Zur zehnjährigen Ausgabe liegt es da natürlich nahe, einen Vergleich zu ziehen und einen Blick auf die Entwicklungen in der letzten Dekade zu werfen. Zunächst fällt auf, dass die…

IT-Sicherheit: 4 Tipps gegen interne Risiken

Vielen Unternehmen ist gar nicht klar, wie viele Bedrohungen für die IT-Sicherheit vor allem intern entstehen. Allzu oft können sie nicht ermitteln, worin die Ursache eines Problems genau besteht oder verlieren den Überblick über den Umfang und die Vielzahl der Implikationen, die aus einem IT-Sicherheitsproblem entstehen können. Vor allem interne Risiken sind ein kontinuierliches, sich…

Mangelhafter Sicherheitsansatz – nur ein Viertel der Führungskräfte sind von ihrer Cybersicherheit überzeugt

Deutsche Unternehmen bekämpfen Sicherheitsbedrohungen im digitalen Zeitalter mit alten Tools. Schlechte Zeiten für die Sicherheit: Laut einer neuen Studie, die von VMware beauftragt und von Forbes Insights durchgeführt wurde, sind nur 25 % der Führungskräfte in Europa von ihrer aktuellen Cybersicherheit überzeugt [1]. Drei Viertel (76 %) der Führungskräfte und IT-Sicherheitsexperten aus der Region glauben,…

Hoher IT-Sicherheitsstandard wirkt sich auf den Unternehmenswert aus – Cyberangriffe gut abwehren

Jährlich entstehen in der deutschen Wirtschaft Schäden durch Cybercrime in Höhe von 55 Milliarden Euro, über 80.000 Fälle werden jährlich registriert. Laut Bundeskriminalamt ist die Dunkelziffer »unvorstellbar groß«, da kein Unternehmen möchte, dass ein IT-Sicherheitsleck oder ein Datendiebstahl bekannt wird. Schließlich wäre das massiv geschäftsschädigend.

Blockchain: BSI untersucht Sicherheitseigenschaften

  Spätestens der finanzielle Höhenflug der Kryptowährung Bitcoin im Jahr 2017 hat dazu geführt, dass auch außerhalb der Fachwelt über die Blockchain diskutiert wurde. Diese Technologie zur verteilten Datenhaltung bietet die Möglichkeit, durch eine dezentrale Struktur die Manipulation von Daten rein technisch zu verhindern, größtmögliche Transparenz zu bieten und Intermediäre in Geschäftsprozessen zu ersetzen. Nachdem…

Rohde & Schwarz Cybersecurity und Utimaco bieten hardwaregestützte Sicherheit in der Cloud

Mit der Kombination von R&S Trusted Gate des IT-Sicherheitsexperten Rohde & Schwarz Cybersecurity und dem High-Security-Modul von Utimaco bieten die beiden Unternehmen jetzt auch hardwaregestützte Sicherheit in der Cloud. Kryptografisches Material kann separat in einem Hardware-Sicherheitsmodul generiert werden. Somit steht den Kunden zukünftig auch eine zusätzliche Hardwareoption zur Einhaltung höchster Sicherheitsanforderungen mittels R&S Trusted Gate…

Sicherheitskultur als unternehmerischer Ansatz

Vorhersagen sind ein schwieriges Unterfangen, gerade in der zuweilen chaotisch anmutenden Welt der Cybersicherheit. Die Bedrohungslandschaft weitet sich aus. Offensive und defensive Technologien entwickeln sich weiter, und auch nationalstaatlich initiierte Angriffe werden nicht nur mehr, sondern auch raffinierter. Dieser Beitrag beschäftigt sich damit, wie Firmen eine Sicherheitskultur als unternehmerischen Ansatz etablieren und stärken können. Was…

IT-Sicherheitsprognosen 2019 – Fokus auf die Cloud

Im Jahr 2019 werden Cyberkriminelle neue innovative Wege beim Ausnutzen von Sicherheitslücken finden. Sie werden weiterhin IoT-Geräte auf ihrem Radar haben und außerdem in der Cloud nach neuen Möglichkeiten suchen, um gefährdete Anwendungen angreifen zu können. Unternehmen sollten daher daran arbeiten, effektivere Sicherheitslösungen einzusetzen, die aber auch ihr Budget nicht überfordern.

Die glorreichen Sieben – Prognosen zur Cybersicherheit 2019

  Es wird zu ersten, erheblichen Strafzahlungen im Rahmen der DSGVO kommen. Die Sicherheitsprobleme in der Cloud werden auch 2019 nicht gelöst. Zero Trust Networking wird immer wichtiger für die IoT-Cybersicherheit. Die Zusammenarbeit bei der Cybersicherheit verbessert sich. Die allgemeine Cybersicherheit bewegt sich in einen Kampf zwischen Maschine und Maschine, bei dem die Menschen mitwirken…