Die Lieferketten im Fokus von Cyber-Angriffen
Security Hackerangriff Informationssicherheit Cyber-Security Cyberangriff
Wenn es um Cyberangriffe gegen Unternehmen geht, teilen alle Beteiligten einer Lieferkette ein gemeinsames Schicksal: Ein Cyberangriff auf einen Zulieferer kann Auswirkungen auf seine Abnehmer und in der Folge wiederum auf die Empfänger von deren Leistungen haben. So musste Toyota im Februar dieses Jahres seine japanischen Fabriken vorübergehend schliessen, nachdem ein Zulieferer aufgrund eines Cyberangriffs ausgefallen war.
Fokus auf Supply Chain-Angriffe
Viele Unternehmen arbeiten mit einer Vielzahl von Partnern (Lieferanten, Drittanbieter) zusammen. Diese liefern verschiedene Produkte wie Rohstoffe, Dienstleistungen oder Technologien zu, aus denen danach ein Endprodukt erzeugt wird oder die in Angebote oder Services weiterverarbeitet werden. Die Unternehmen sind dadurch von externen Leistungen abhängig, um ihren Betrieb aufrecht zu erhalten. Diese Liefer- oder Versorgungskette, auch Supply Chain genannt, beinhaltet die ganze Wertschöpfungskette. Um Auswirkungen solcher Angriffe zu reduzieren, müssen sich alle involvierten Partner mit technischen, organisatorischen und auf das persönliche Verhalten wirkenden Massnahmen gegen Cyberangriffe schützen. Sie müssen sich aber auch gegenseitig informieren und abgleichen, um Falle einer Attacke über die Supply Chain schnell reagieren zu können.Ein Angriff über eine Lieferkette ist Mehrstufig. Der erste Angriff richtet sich gegen einen einzelnen Lieferanten. Der Zugang zu dessen Systemen und seine privilegierte Beziehung zu seinen Kunden wird genutzt, um das eigentliche Ziel anzugreifen. Das erfolgt in vielen Fällen durch schlecht geschützte Fernzugriffe, Netzwerkübergänge oder Datenübertragungsverbindungen. Denkbar sind jedoch auch Angriffe auf den Soft- oder Hardware-Entwicklungsprozess, mit dem Ziel, das Produkt mit einer Schwachstelle, einer Hintertür oder mit vorinstallierter Schadsoftware ausliefern zu lassen. Weit verbreitet sind auch Angriffe mittels Social Engineering, indem eine bestehende Kommunikation zwischen zwei Partnern übernommen und für die Zwecke des Angreifers missbraucht wird.
Erpressungsversuche bei Dienstleistern
Angriffe auf die Lieferkette mit der Absicht, den Betrieb von spezifischen Endkunden zu stören, sind häufig nicht klar zuzuweisen. DDoS-Angriffe auf den DNS-Anbieter Dyn im Jahr 2016 führten dazu, dass verschiedene Plattformen (u. a. Twitter, Spotify), die dessen Dienste nutzten, für eine Vielzahl von Kunden nicht erreichbar waren. Unternehmen in der Lieferkette haben typischerweise Verträge mit ihren Kunden bezüglich Leistungen oder Lieferungen. In jüngster Zeit gab es diverse Ransomware-Angriffe auf Dienstleister und Lieferanten.
Diese stehen unter enormem Druck, ihre Leistungen wieder anbieten oder Produkte produzieren zu können, da sie den Verpflichtungen gegenüber ihren Kunden nachkommen müssen. Die Erpresser erhoffen sich dadurch, dass das Opfer eher bereit ist, Lösegeld zu bezahlen.
Vorfälle in der Schweiz
Das Nationale Zentrum für Cybersicherheit NCSC berichtet im Fokusthema das aktuellen Halbjahresberichts über verschiedene Supply Chain Angriffe in der Schweiz:
Mehrere kleine und mittlere Unternehmen waren Anfang September 2021 von der Ransomware «BlackMatter» betroffen, nachdem es Hackern gelungen war, einen österreichischen IT-Provider zu kompromittieren und seine Kunden anzugreifen. Durch DDoS-Angriffe auf eine Hosting-Firma, welche u. a. die Website des Kantons St. Gallen beherbergt, wurden mehrere Webauftritte temporär gestört. Die Lösegeldforderungen der Angreifer ist in den meisten Fällen in Millionenhöhe, die in Form von Bitcoin bezahlt werden müssen. In sehr vielen Situationen kommen die betroffenen Unternehmen diese Forderungen nach, weil der Stillstand des Betriebs teurer ist als das geforderte Lösegeld. Bei dem Ausfall beim Kanton St. Gallen konnten die externe Hosting-Firma und der Netzwerk-Provider den Angriff nach mehreren Stunden bewältigen.
Empfehlungen
Eine regelmässige Überprüfung der Lieferanten- und Dienstleisterbeziehungen gegenüber dem sich entwickelnden Risikoprofil stellt bei fortschreitender Digitalisierung sämtlicher Geschäftsbereiche eine dringliche Herausforderung für Unternehmensführungen dar. Für kleinere Organisationen ohne eigene Spezialisten bleibt fast nur die Möglichkeit, die Risiken mit externer Unterstützung aus Verbänden oder spezialisierten Beratern vertraglich abzusichern.
Haben Sie Fragen zu Supply-Chain Angriffen oder brauchen allgemein Unterstützung bei Informationssicherheits-Themen? Wir beraten wir Sie gerne. Nutzen Sie unser Know-how, um eine neutrale und praxisnahe Beurteilung der Informationssicherheit in Ihrem Unternehmen zu erhalten, damit Sie sich und Ihr Unternehmen angemessen vor Gefahren und Bedrohungen schützen können. Kontaktieren Sie uns auf +41 41 768 08 00 oder informationssicherheit@firstframe.net.
Detaillierte Informationen sind im nachfolgenden Link zu finden, welcher bei der Recherche zu diesem Beitrag als massgebliche Quellen diente:
https://www.ncsc.admin.ch/ncsc/de/home/dokumentation/berichte/lageberichte/halbjahresbericht-2021-2.html
Lukas Studer
Nach einer Lehre als Chemielaborant, der Arbeit im Lehrberuf und dem fliessenden Wechsel in die Informatik absolvierte Lukas Studer die Technikerschule Informatik und Netzwerktechnik. Er war als Informatiker bei verschiedenen Outsourcing-Anbietern für Industriebetriebe, Banken und Versicherungen sowie betriebsintern tätig. Mit dem MAS Information Security wechselte er in die interne Revision als IT-Prüfer und erlangte die Zertifizierung zum Certified Information Systems Auditor und das Zertifikat CAS Datenanalyse. Zudem ist er Certified SCADA Security Engineer (CSSE) und als CISO für die ISO-Zertifizierungen der first frame networkers ag zuständig.