#Security: Die Lieferkette ist Cyber-Bedrohung Nummer 1

7. März 2024 um 08:30
  • kolumne
  • #security
  • switch
  • cybersicherheit
image
Frank Herberg

Cyber-Angriffe auf die Lieferkette haben in den letzten Jahren stark zugenommen. Sie gehören heute zu den grössten Bedrohungen überhaupt. Warum ist das so und welche Lösungsansätze sind am vielversprechendsten?

Als der weltbekannte Kryptografie- und Computersicherheitsexperte Bruce Schneier im Jahr 2012 von der Zeitschrift 'Computerworld Hong Kong' gefragt wurde, ob wir heute sicherer seien als noch vor fünf Jahren, antwortete er: "Kurz gesagt, nein. Es ist interessant, dass es jedes Jahr neue Technologien, Produkte, Ideen, Unternehmen und Forschung gibt, und trotzdem fragen die Leute immer wieder, warum es um die Sicherheit so schlecht bestellt ist. Und die Antwort ist, dass das Problem im Grunde in der Komplexität liegt."
Elf Jahre später, im März 2023, ermittelte die Agentur der Europäischen Union für Cybersicherheit (Enisa), in ihrer Vorhersage zu Cyberbedrohungen bis 2030 die hochkomplexen Lieferketten und insbesondere deren Softwareabhängigkeiten als Gefahr Nummer 1.
Cyber-Angriffe beginnen häufig in der Supply Chain
De facto haben Supply-Chain-Attacken in den letzten Jahren deutlich zugenommen und sind mittlerweile einer der häufigsten initialen Infektionsvektoren.
Warum ist das so? Einerseits haben die Unternehmen ihre eigene Sicherheit verbessert und es damit den Cyberkriminellen schwerer gemacht. Andererseits steigt jedoch die Nutzung von Service Providern und Cloud Services. Auch die verteilte Softwareentwicklung wird immer komplexer. Allein die Firmware grosser PC-Hersteller umfasst inzwischen weit über 4000 Zulieferer für sämtliche enthaltenen Softwarekomponenten.
Weitgehend wirkungsloser Grundschutz
Da Supply-Chain-Angriffe nicht direkt die eigene IT-Infrastruktur von Unternehmen attackieren, sondern über IT-Services Dritter eingeschleust werden, sind übliche Schutzmassnahmen der Anwenderunternehmen gegen diese Attacken weitgehend wirkungslos.
Beispiele aus der jüngsten Vergangenheit zeigen, dass selbst Unternehmen mit einem hohen Reifegrad in Sachen IT-Security wochenlang in den Ausnahmezustand geraten können, wenn eine neue Supply-Chain-Schwachstelle die Runde macht. Dem Betreiber fehlen schlicht Informationen darüber, welche Hardware, Betriebssysteme, Softwarebibliotheken etc. bei seinen vielen eingesetzten Produkten verwendet werden oder gar welche Versionen jeweils aktuell eingesetzt werden und welche neu bekanntgewordenen Schwachstellen für ihn relevant sind.

Mehrstufige Angriffe auf die Supply Chain

Die Situation wird dadurch verschärft, dass sowohl die Supply Chain als auch Angriffe darauf über viele Stufen erfolgen können. Anbieter aggregieren ihrerseits Elemente und Services anderer Anbieter und sind von diesen abhängig. Ein Beispiel für einen mehrstufigen Supply-Chain-Angriff ist die Kompromittierung der Desktop-App von 3CX, einer beliebten VoIP-Software. Anfang 2023 wurde bekannt, dass diese kompromittiert worden ist. Cyberkriminelle schafften es, Schadsoftware in die offiziellen Software-Updates der 3CX-Desktop-App einzuschleusen und damit an die Systeme der Endnutzenden zu verteilen. Sie infiltrierten dabei 3CX allerdings nicht direkt, sondern setzten wiederum bei einem Zulieferer namens Trading Technologies an, auf dessen Webseite eine maliziöse Softwarekomponente platziert werden konnte, die 3CX nutzt.

Prominente Beispiele aus der jüngsten Vergangenheit

  • Solarwinds Orion: Solarwinds gilt als einer der grössten Angriffe auf die Lieferkette in den letzten Jahren, insbesondere wenn man die betroffenen Einrichtungen berücksichtigt. Zu ihnen gehören Regierungsorganisationen und grosse Unternehmen. Diese Attacke, entdeckt Ende 2020, betraf die Orion-Software von Solarwinds, einem weit verbreiteten Netzwerk- und Systemüberwachungstool. Kriminelle infiltrierten die Entwicklungs- und Build-Umgebung von Solarwinds und injizierten schädlichen Code in die Software-Updates. Dieser Code wurde dann an die Kundschaft von Solarwinds ausgeliefert, wodurch die Kriminellen potenziellen Zugang zu den Netzwerken von Tausenden von Unternehmen und Regierungsorganisationen weltweit erhielten.
  • Kaseya: Im Juli 2021 wurde Kaseya, ein Unternehmen, das IT-Management-Software für Managed Service Providers (MSPs) anbietet, Ziel eines Ransomware-Angriffs. Die Kriminellen nutzten eine Schwachstelle in der VSA-Software von Kaseya aus, um Ransomware an die Endkunden der MSPs zu verteilen. Schätzungen gehen von ca. 800 bis 1’500 betroffenen Unternehmen aus, bei denen durch die Attacke Ransomware aktiviert wurde.
  • Log4j: Im Dezember 2021 wurde eine kritische Sicherheitslücke in der weit verbreiteten Java-Logging-Bibliothek Log4j entdeckt. Diese Schwachstelle ermöglichte es Kriminellen, beliebigen Code auf den Servern der betroffenen Anwendungen auszuführen, was eine breite Palette von Systemen weltweit gefährdete.
  • 3CX Desktop-App: Anfang 2023 wurde bekannt, dass die Desktop-App von 3CX, einem beliebten Anbieter von VoIP-Telefonsystemen, kompromittiert wurde. Kriminelle schafften es, Schadsoftware in die offiziellen Software-Updates der 3CX-Desktop-App einzuschleusen. Diese Malware wurde dann an die Nutzenden der App verteilt, was potenziell zur Kompromittierung der Endnutzersysteme führte.

Lösungsansätze

Es liegt auf der Hand, dass diese Problematik nicht an einer Stelle gelöst werden kann. Vielmehr müssen Betreiber, Lieferanten und Entwickler ihren Teil zur Verbesserung der Situation beitragen. Erfreulicherweise gibt es hier vielversprechende Entwicklungen:
IT Asset Managements (ITAM): Ein altbekanntes Grundproblem aller Cyberrisiken ist, nicht zu wissen, was man überhaupt im Einsatz hat. Um den Überblick über die einzelnen Services und die jeweilige Zuständigkeit zu behalten, hilft ein ITAM. Die einschlägige ISO-Norm ISO 19770-1 kann dabei auf alle Arten von IT-Assets angewendet werden, egal ob physisch, virtuell, on-premise oder in der Cloud. Auch ausgelagerte Prozesse und Aktivitäten sowie alle dazugehörigen Informationen wie der Wissens- und Informationsaustausch mit den jeweiligen externen Dienstleistern müssen gemäss der Norm in das ITAM-System integriert werden. Wie immer ist ITAM nicht nur ein Tool. Dahinter stehen Prozesse, Verantwortlichkeiten und entsprechende Ressourcen. Wichtig ist, dass man damit beginnt, selbst wenn man die Anforderungen nicht vollständig abdecken kann. Dementsprechend sieht die Norm auch verschiedene Stufen (Tiers) vor.
Software Bill of Materials (SBOM): Um das Problem der mangelnden Transparenz über die produktiv eingesetzten Softwarekomponenten zu lösen und eine kontinuierliche Überwachung von Bedrohungen zu ermöglichen, führt der Weg über eine SBOM, die Software-Stückliste. Eine SBOM ist eine Aufstellung aller Komponenten, die in einer Software-Anwendung enthalten sind. Wenn neue Erkenntnisse über Fehler und Lücken in diesen Komponenten auftauchen, können Benutzende schnell feststellen, ob sie möglicherweise betroffen sind und ob die von ihnen genutzten Anwendungen gefährdet sind.
Wichtig dabei ist, dass diese Informationen von den Anbietern dynamisch zur Verfügung gestellt werden und auch nach Updates jederzeit aktuell sind. Und dies betrifft nicht nur die Komponenten, die von den Anbietern selbst entwickelt wurden, sondern auch solche Bestandteile, die sie von Drittlieferanten in ihrer Software einsetzen. Dazu muss die Generierung der SBOMs idealerweise in die Softwareentwicklung (CI/CD-Pipeline) integriert werden.
Natürlich sollte der Produzent oder Anbieter darüber hinaus generell die von ihm genutzten Komponenten nicht nur nach rein funktionalen Anforderungen auswählen. Er sollte sie auch auf Sicherheitseigenschaften überprüfen, beispielsweise ob der Anbieter der Komponenten über Sicherheitslücken informiert und diese behebt.
Vulnerability Exploitability eXchange (VEX): Damit der Betreiber die SBOM mit seinem Schwachstellenmanagement-Prozess und der Bedrohungsanalyse sinnvoll verbinden kann, gibt es sogenannte VEX-Berichte, welche in die SBOMs integriert werden können.
Dabei werden zunächst alle in einer SBOM genannten Software-Abhängigkeiten auf bekannte, in CVE- und NVD-Datenbanken erfasste Schwachstellen gescannt und es wird eine Schwachstellenliste erstellt. Danach wird jede Schwachstelle in Bezug auf ihre Exposition in der Software genau untersucht. Ein VEX-Bericht bestimmt, welche der entdeckten Schwachstellen für eine bestimmte Software tatsächlich ausnutzbar (exploitable) sind.
Security Levels of Software Artifacts (SLSA): SLSA (gesprochen "Salsa") ist ein ursprünglich von Google entwickeltes Framework für die Integrität der Software-Lieferkette. Es zielt darauf ab, die Sicherheit von Softwareartefakten über den gesamten Entwicklungs- und Verteilungsprozess hinweg zu gewährleisten. Die verschiedenen Sicherheitsanforderungen und -praktiken sind dort in vier Levels unterteilt, von der Automatisierung des Build-Prozesses bis hin zu Massnahmen wie dem Vier-Augen-Prinzip für alle Softwarekomponenten oder einer hochsicheren Umgebung für die Softwareentwicklung und -verteilung.
Sigstore: Sigstore ist ein kostenloser Software-Signierungsdienst der Open Source Security Foundation (OpenSSF). Das Open-Source-Projekt zielt darauf ab, durch Signierung, Überprüfung und Überwachung Vertrauen zu schaffen und die Integrität der Software-Lieferkette zu verbessern, indem es Werkzeuge für das Signieren und Verifizieren von Archiven und kompilierten Binaries zur Verfügung stellt, um Code-Missbrauch und Manipulationen zu erkennen.

Nicht nur Software im Visier

Natürlich reicht die Konzentration auf Software nicht aus, um Lieferketten sicherer zu machen. Sie ist nur eine Dimension des Problems. Das Prinzip der Stückliste lässt sich auch auf weitere Elemente der Supply Chain anwenden. Prinzipiell erlaubt das Konzept eine vollständige Transparenz über alle eingesetzten Komponenten. Beispiele sind die eingesetzte Hardware (HBOM) aber auch genutzte Cloud-Applikationen (SaaSBOM). Auch Sicherheitskomponenten (wie ein EDR) selbst müssen betrachtet werden, da diese oft mit hohen Berechtigungen ausgestattet sind und daher für die Kriminellen attraktiv sind. ENISA listet in ihrem Paper "Threat Landscape for supply chain attacks" Lieferanten-Assets auf, die Teil einer Supply-Chain-Attacke werden können. Dort werden konsequenterweise auch Personen mit Zugang zu sensiblen Daten und Infrastruktur genannt, womit sich der Kreis schliesst.
Wer nun ob der Komplexität des Themas für sich zum Schluss kommt, dass Stücklisten geduldig sind, sollte weiterlesen. Denn auch der Gesetzgeber hat erkannt, dass die Lieferkettenproblematik sehr ernst zu nehmen ist. Wer hier den Anschluss verpasst, kann die Existenz seines Unternehmens aufs Spiel setzen – nicht nur aufgrund eines erfolgreichen Angriffs.

Was tut sich bei der Gesetzgebung

Die EU-weite Gesetzgebung zur Cybersicherheit "NIS2-Richtlinie" ist im Januar 2023 in Kraft getreten und muss von den EU-Mitgliedsstaaten bis Oktober 2024 in nationales Recht überführt werden. Sie verlangt von Unternehmen, dass sie sich mit Cybersicherheitsrisiken in Lieferketten und Lieferbeziehungen befassen. Erstmals nimmt das Gesetz auch Unternehmen in der Lieferkette in die Pflicht. In Artikel 21 Absatz 2 wird die Cybersicherheit der Lieferkette als integraler Bestandteil der Massnahmen zum Management von Cybersicherheitsrisiken betrachtet. Auch fordert sie den Einsatz von SBOMs. Zulieferer können sich auf entsprechende Audits einstellen.
Der Entwurf des "EU Cyber Resilience Act (CRA)" verpflichtet Hersteller digitaler Produkte unter anderem zur Bereitstellung von Sicherheitsupdates für einen definierten Zeitraum. Diese sollen möglichst unverzüglich bereitgestellt werden, um Verzögerungen durch eingesetzte Softwarekomponenten anderer Hersteller zu vermeiden. Im Gespräch ist eine CE-Kennzeichnung für mit dem Internet verbundene Produkte, welche anzeigt, dass diese den neuen Normen entsprechen.
Das Weisse Haus hat bereits 2021 eine Executive Order zur Verbesserung der Cybersicherheit der Nation erlassen. EO 14028 legt neue Anforderungen zur Sicherung der Software-Lieferkette der Bundesregierung fest. Das US-NIST hat im Februar 2022 die Bereitstellung und Verwendung von SBOM durch Lieferanten der US-Administration vorgeschrieben.
Auch in der Schweiz tut sich etwas in Sachen Lieferkettenrisiken: Im Schlussbericht zur Wirksamkeitsüberprüfung der Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS) vom 28. März 2022 wird erwähnt, dass die Befragten Probleme darin sehen, dass das Bewusstsein für Lieferkettenrisiken im Zusammenhang mit Bestandteilen oder auch Dienstleistungen für kritische Infrastrukturen mangelhaft sei und durch die NCS nicht konsequent angesprochen werde.

Fazit

Organisationen, die das Risiko von Angriffen über Lieferketten nicht systematisch angehen, setzen sich nicht nur einer hohen Gefahr aus, unvorbereitet Opfer eines solchen Angriffs zu werden. Sie laufen auch Gefahr, zukünftig regelmässig bei Schwachstellenmeldungen in operative Hektik zu verfallen und wertvolle Ressourcen in der Sicherheit und dem Betrieb mit der Suche nach der Nadel im Heuhaufen zu vergeuden. Da die Kriminellen naturgemäss nicht auf uns warten, sollten Unternehmen ein dem Risiko angemessenes Incident-Handling und Notfall-Management etablieren, das auch Supply-Chain-spezifische Vorfälle berücksichtigt. Dazu sollten für wesentliche Geschäftsprozesse und schützenswerte Daten die Lieferkettenabhängigkeiten analysiert und dokumentiert werden. Und für Zulieferer sollte analysiert werden, welche Auswirkung eine temporäre Nicht-Nutzung von Systemen und Diensten hätte. Schliesslich ist es wichtig, die Inventarisierung voranzutreiben, sich mit den bestehenden Lösungsansätzen vertraut zu machen und diese dann auch bei den Zulieferern einzufordern.
Nicht zuletzt ist deutlich sichtbar, dass Gesetzgeber und Regulatoren das Risiko erkannt haben und tätig werden. Wer hier die Zeit nicht nutzt, riskiert drastische Strafen und als Lieferant schlimmstenfalls auch den De-facto Ausschluss vom Markt.

Über den Autor

Frank Herberg arbeitet seit 2012 bei Switch und ist als Head of Switch-Cert (Commercial Sectors) verantwortlich für die Kundensektoren Banken, Industrie und Logistik sowie Energie. Er ist Autor des FIRST IPv6 Security Trainings und twittert als @frankherberg.

Loading

Mehr erfahren

Mehr zum Thema

image

Von Hensch zu Mensch: Jenseits von #Cybersecurity

Risikomanagement darf sich nicht auf Datensicherheit allein konzentrieren, wie es heute in vielen Firmen oft passiert.

publiziert am 14.5.2024
image

Make or Buy: Keine ideologische Frage

Eine Debatte um "Staatssärge" hat zur Erkenntnis geführt, dass sich aus dem öffentlichen Beschaffungsrecht kein Anspruch auf die Privatisierung ergibt, schreibt Bundesverwaltungsrichter Marc Steiner in seiner ersten Kolumne.

publiziert am 13.5.2024 1
image

Vogt am Freitag: Die unendliche Geschichte

Der Kanton Aargau hat der unendlichen Geschichte rund um Meineimfpungen.ch ein weiteres Kapitel hinzugefügt. Die Rückgabe der Impfdaten hat begonnen – ich habe es ausprobiert.

publiziert am 10.5.2024 7
image

Vor 24 Jahren: Ich liebe dich!

Der Loveletter-Virus richtete mehr Schaden an, als je ein Schädling zuvor.

publiziert am 10.5.2024