Supply-Chain-Attacken unter der Lupe

4. August 2021, 13:26
image

Die europäische Cybersecurity-Agentur untersuchte die Solarwinds-, Codecov-, Kaseya- und weitere Hacks. Ihr Fazit: Komplexe Angriffe auf Lieferketten nehmen zu.

Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) hat einen umfangreichen Bericht zur "Bedrohungslandschaft für Supply-Chain-Angriffe" veröffentlicht. Darin analysiert die EU-Behörde Supply-Chain-Angriffe, die zwischen Januar 2020 und Juli 2021 entdeckt wurden.
24 Angriffe listet die ENISA im Anhang zum Bericht auf, mit Angaben zu "Eingesetzten Angriffstechniken zur Kompromittierung der Lieferkette", "Ziel des Angriffs auf die Lieferkette", zu "Eingesetzten Angriffstechniken zur Kompromittierung des Kunden" und "Ziel des Angriffs bei Kunden".
In dieser Liste finden sich die Angriffe auf Solarwinds Orion Ende 2020, Codecov im April 2021 und Kaseya im Juli 2021 – um nur drei zu nennen, die in den letzten Monaten für Aufsehen sorgten.
image
Die untersuchten Supply-Chain-Angriffe. Tabelle: ENISA

Supply-Chain-Angriffe haben sich vervierfacht

"Basierend auf den beobachteten Trends und Mustern haben die Anzahl und die Raffinesse der Supply-Chain-Angriffe im Jahr 2020 zugenommen und dieser Trend setzt sich 2021 fort", schreibt die ENISA zu ihrer Analyse. "Es wird geschätzt, dass es 2021 viermal mehr Angriffe auf die Lieferkette geben wird als 2020. Da die Hälfte der Angriffe auf Advanced Persistent Threats (APT) zurückzuführen ist, übersteigen ihre Komplexität und Ressourcen die nicht gezielten Angriffe bei weitem."
Die globale Natur der heutigen Lieferketten erhöhe die potenziellen Auswirkungen dieser Angriffe und vergrössere die Angriffsfläche für böswillige Akteure, heisst es weiter. "Insbesondere bei Software untergraben Angriffe in der Lieferkette das Vertrauen in das Software-Ökosystem. Die beschriebenen Vorfälle verdeutlichen, dass böswillige Akteure die Software-Lieferkette bereits in der Frühphase (Entwicklungsphase) gefährden können."

Normaler Cybersecurity-Schutz reicht nicht aus

Unternehmen seien selbst dann anfällig für einen Angriff auf die Lieferkette, wenn ihre eigenen Cybersecurity-Massnahmen "recht gut" sind. Die Angreifer würden daher versuchen, neue potenzielle Einfallstore zu erkunden, um Unternehmen zu infiltrieren, indem sie zu deren Lieferanten wechseln und bei diesen ein Ziel ausmachen würden.
Es sei daher von entscheidender Bedeutung, dass Unternehmen ihre Sicherheit nicht nur auf ihr eigenes Unternehmen, sondern auch auf ihre Zulieferer konzentrieren. Dies gelte insbesondere für Anbieter von Cloud-Diensten und Managed Services, bei denen die jüngsten Angriffe den erhöhten Bedarf an Cybersecurity-Kontrollen in diesen Sektoren deutlich machen würden.
image
Diagramm des Angriffs auf Codecov. Grafik: ENISA
Deshalb, fordert die ENISA, müssten neue Ansätze entwickelt werden, um die Lieferkette durch Design zu sichern: "In dieser Richtung scheinen neue Initiativen wie Google SLSA und Mitre D3fend recht vielversprechend zu sein." Weiter fordert die ENISA koordinierte Massnahmen auf EU-Ebene und gibt im Bericht auch Empfehlungen für Anbieter und Kunden ab, wie sie sich besser vor Supply-Chain-Angriffen schützen können.
Der Bericht "Bedrohungslandschaft für Supply-Chain-Angriffe" kann auf der ENISA-Website kostenlos auf Englisch heruntergeladen werden.

Loading

Mehr zum Thema

image

Netrics gibt Übernahme von Pagup in Bern bekannt

Kaum hat sich Netrics von seinen Rechenzentren getrennt, wird investiert.

publiziert am 17.8.2022
image

RZ-Betreiber NorthC endgültig in der Schweiz angekommen

Die Übernahme der Netrics-RZs in Münchenstein und Biel ist abgeschlossen.

publiziert am 16.8.2022
image

Eine Zeroday-Lücke lebte bei Microsoft zwei Jahre unbehelligt

Microsoft anerkennt die Schwachstelle "Dogwalk" nach zwei Jahren als Gefahr und veröffentlicht einen Patch. Sie wird bereits ausgenutzt.

publiziert am 16.8.2022
image

Adesso steigert Umsatz, aber verdient weniger

Der IT-Dienstleister hat im ersten Halbjahr 2022 den Umsatz um 28% gesteigert, gleichzeitig ist das EBITDA um ein Drittel gesunken.

publiziert am 16.8.2022