Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) hat einen umfangreichen Bericht zur "Bedrohungslandschaft für Supply-Chain-Angriffe" veröffentlicht. Darin analysiert die EU-Behörde Supply-Chain-Angriffe, die zwischen Januar 2020 und Juli 2021 entdeckt wurden.

24 Angriffe listet die ENISA im Anhang zum Bericht auf, mit Angaben zu "Eingesetzten Angriffstechniken zur Kompromittierung der Lieferkette", "Ziel des Angriffs auf die Lieferkette", zu "Eingesetzten Angriffstechniken zur Kompromittierung des Kunden" und "Ziel des Angriffs bei Kunden".

In dieser Liste finden sich die Angriffe auf Solarwinds Orion Ende 2020, Codecov im April 2021 und Kaseya im Juli 2021 – um nur drei zu nennen, die in den letzten Monaten für Aufsehen sorgten.

"Basierend auf den beobachteten Trends und Mustern haben die Anzahl und die Raffinesse der Supply-Chain-Angriffe im Jahr 2020 zugenommen und dieser Trend setzt sich 2021 fort", schreibt die ENISA zu ihrer Analyse. "Es wird geschätzt, dass es 2021 viermal mehr Angriffe auf die Lieferkette geben wird als 2020. Da die Hälfte der Angriffe auf Advanced Persistent Threats (APT) zurückzuführen ist, übersteigen ihre Komplexität und Ressourcen die nicht gezielten Angriffe bei weitem."

Die globale Natur der heutigen Lieferketten erhöhe die potenziellen Auswirkungen dieser Angriffe und vergrössere die Angriffsfläche für böswillige Akteure, heisst es weiter. "Insbesondere bei Software untergraben Angriffe in der Lieferkette das Vertrauen in das Software-Ökosystem. Die beschriebenen Vorfälle verdeutlichen, dass böswillige Akteure die Software-Lieferkette bereits in der Frühphase (Entwicklungsphase) gefährden können."

Unternehmen seien selbst dann anfällig für einen Angriff auf die Lieferkette, wenn ihre eigenen Cybersecurity-Massnahmen "recht gut" sind. Die Angreifer würden daher versuchen, neue potenzielle Einfallstore zu erkunden, um Unternehmen zu infiltrieren, indem sie zu deren Lieferanten wechseln und bei diesen ein Ziel ausmachen würden.

Es sei daher von entscheidender Bedeutung, dass Unternehmen ihre Sicherheit nicht nur auf ihr eigenes Unternehmen, sondern auch auf ihre Zulieferer konzentrieren. Dies gelte insbesondere für Anbieter von Cloud-Diensten und Managed Services, bei denen die jüngsten Angriffe den erhöhten Bedarf an Cybersecurity-Kontrollen in diesen Sektoren deutlich machen würden.

Deshalb, fordert die ENISA, müssten neue Ansätze entwickelt werden, um die Lieferkette durch Design zu sichern: "In dieser Richtung scheinen neue Initiativen wie Google SLSA und Mitre D3fend recht vielversprechend zu sein." Weiter fordert die ENISA koordinierte Massnahmen auf EU-Ebene und gibt im Bericht auch Empfehlungen für Anbieter und Kunden ab, wie sie sich besser vor Supply-Chain-Angriffen schützen können.

Der Bericht "Bedrohungslandschaft für Supply-Chain-Angriffe" kann auf der ENISA-Website kostenlos auf Englisch heruntergeladen werden.