8. März 2022

Supply Chain Security – Lieferketten vor Cyberangriffen schützen

Lieferketten werden immer globaler und komplexer und ihr Betrieb wird unter anderem durch politische und wirtschaftliche Ereignisse beeinflusst. Doch nicht nur die physische Kontinuität und Sicherheit von Lieferketten muss gewährleistet sein. Die notwendige enge Vernetzung der Beteiligten birgt einige Sicherheitsrisiken und Lieferketten rücken immer mehr in das Visier von Cyberkriminellen. 

Was ist Lieferkettensicherheit?

Die Lieferkettensicherheit ist Teil des Supply Chain Managements (SCM). Dabei geht es um das Management von allen Bereichen, die für den reibungslosen Betrieb einer Lieferkette relevant sind – also um die Koordination von externen Lieferanten und Anbietern, Logistik und Transport. Im Fokus steht dabei vor allem die Sicherheit von Produkten, Software und Dienstleistungen sowie die Einhaltung von rechtlichen und länderspezifischen Vorgaben, wie z.B. für Transport und Versand.

Immer mehr rücken dabei allerdings auch Cyberbedrohungen in den Fokus. In Lieferketten ist eine enge Zusammenarbeit zwischen Unternehmen, Lieferanten und Dienstleistern unverzichtbar. Netzwerke sind deshalb miteinander verbunden und sensible Daten werden gemeinsam genutzt. Dies ist immer gleichbedeutend mit einer Öffnung des eigenen Unternehmensnetzwerks für externe Zugriffe. Wenn diese Zugriffe nicht entsprechend gesichert, reglementiert und überwacht werden, können Cyberkriminelle Sicherheitslücken gezielt ausnutzen und sich Zugang verschaffen oder Malware einschleusen.

Das typische Angriffs-Prinzip auf Lieferketten

Meist geht es bei Cyberangriffen darum, über den unbefugten Zugriff Malware einzuschleusen, welche die Überwachung, Stilllegung oder auch Manipulation der Daten und Informationen im System ermöglicht. Bei Lieferketten besteht die Komplexität darin, dass der Einbruch in ein Unternehmen infolge der Vernetzung direkt mehrere Unternehmen betrifft und somit weitreichende Folgen nach sich zieht. Das Angriffsszenario bei Lieferketten läuft meist so ab, dass Cyberkriminelle das schwächste Glied in der Lieferkette identifizieren und hier ansetzen, um sich Zugang zu verschaffen und Malware in alle angebundenen Organisationen einzuschleusen.

Das bedeutet, statt das Ziel (zum Beispiel einen großen Konzern) direkt anzugreifen, können Cyberkriminelle ein schwächer aufgestelltes Unternehmen in der Kette angreifen, um so „über die Hintertür“ an das eigentliche Ziel zu gelangen. In vielen Fällen von erfolgreichen Cyberangriffen auf Lieferketten wurden Sicherheitslücken bei kleinen und mittelständischen Unternehmen, Lieferanten oder Dienstleistern zum Einfallstor, um größeren Unternehmen in der Lieferkette zu schaden. Aber natürlich kann auch umgekehrt ein Einbruch in einem größeren Unternehmen dafür sorgen, dass weitere Beteiligte in dessen Lieferkette mit den Folgen konfrontiert werden.

Auch Software Lieferketten vermehrt im Visier

Nicht nur Lieferketten von Industrie oder Produktherstellern sind davon betroffen. Mit der zunehmenden Digitalisierung nimmt auch die Relevanz von Software-Produkten und -Dienstleistungen zu. In den letzten Jahren gab es einige aufmerksamkeitserregende Einbrüche in Lieferketten von Software-Anbietern, die weitreichende Folgen hatten.

Ende 2020 wurde zum Beispiel SolarWinds, ein Hersteller von Sicherheitsüberwachungs- und Analyseprodukten, kompromittiert. Über die von tausenden Organisationen weltweit genutzte Software – darunter auch Teile der US-Regierung – drangen die Angreifer weit in die Unternehmens- und Regierungsnetzwerke der Kunden ein. Der Angriff lief einige Monate unentdeckt, weil die Hacker den regulären Datenverkehr zwischen SolarWinds und seinen Kunden ausnutzten und die eigenen Machenschaften geschickt versteckten.

2021 wurde Microsoft Opfer eines Cyberangriffs, bei dem die Angreifer über eine Sicherheitslücke in einem E-Mail-Tool in die Systeme von zahlreichen Unternehmen, Regierungsstellen und Schulen eindringen konnten.

Diese Einbrüche sind nur zwei Beispiele dafür, wie Angriffe auf Lieferketten in der digitalen Wirtschaft großen Schaden anrichten können. Grundsätzlich stehen hierbei insbesondere Cloud-Dienste im Fokus der Cyberkriminellen, weil diese einen direkten Datenverkehr zu zahlreichen Kunden pflegen und somit zu einem lohnenswerten Einfallstor werden.

Folgen von Schwachstellen in der Supply Chain

Ein Einbruch in die Lieferkette kann weitreichende Folgen haben – von Beeinträchtigung oder Unterbrechung der Produktions- und Lieferfähigkeit und dem entsprechenden Umsatzausfall, über den Verlust von geistigem Eigentum, bis hin zum Imageschaden und Vertrauensverlust bei den Kunden. In der Lieferkette kann sich ein Hacking-Angriff außerdem unmittelbar auf die Kunden auswirken, weil zum Beispiel manipulierte Produkte ausgeliefert werden, die beim Kunden Schaden verursachen. Neben dem Imageverlust kann das entsprechende Klagen nach sich ziehen.

Ebendieser Umstand wird von Cyberkriminellen häufig gezielt als Druckmittel genutzt. Dann wird der Einbruch in die Lieferkette in Verbindung mit Ransomware eingesetzt, einem der größten und gefährlichsten Cybercrime-Trends aktuell (zu dem Sie mehr nachlesen können in unserem aktuellen Artikel „Wie reagiert man richtig auf einen Ransomware-Angriff?“). Insbesondere bei Unternehmen, die den Kritischen Infrastrukturen zuzuordnen sind (KRITIS), stellt diese Erpressungsmethode einen wirksamen Hebel dar, mit dem hohe Lösegeldsummen verlangt werden können.

Wie kann man die Lieferkette schützen?

Lieferketten definieren sich für jedes Unternehmen anders, deshalb gibt es keine „Standard-Lösungen“ für deren Sicherung. Natürlich gibt es Regularien, die Akteure in Lieferketten grundsätzlich berücksichtigen müssen, wie Datenschutz und die DSGVO, das IT-Sicherheitsgesetz etc. Vor allem ist jedoch wichtig zu verstehen, dass es bei der Sicherheit von Lieferketten nicht genügt, das eigene Netzwerk für den internen Gebrauch abzusichern, sondern Zulieferer, Dienstleister und Kommunikationspartner ebenso in das eigene Sicherheitskonzept einzubinden. Es gilt, die gesamte Lieferkette abzusichern.

Das ist eine schwierige Aufgabe, die außerdem das komplexe Thema der Abwägung von „Security vs. Produktivität“ aufwirft. Denn eine schnelle und flexible Zusammenarbeit ist für reibungslose Abläufe in Lieferketten unabdingbar. Jeder externe Zugriff bringt jedoch wiederum Sicherheitsrisiken mit sich. Deshalb geht es in der Lieferkettensicherheit vor allem darum, die externen Zugriffe zu sichern, zu kontrollieren und zu protokollieren. Jederzeit sollte man überprüfen können, wer wann was im Netzwerk macht und ob die Aktion autorisiert war.

Mit den entsprechenden technischen Maßnahmen und Prozessen kann so der Datenverkehr nachvollziehbar gemacht und revisionssicher protokolliert werden. Hilfreich ist auch, konkrete Angriffsszenarien durchzuspielen und die entsprechenden Gegenmaßnahmen zu treffen. Wesentliche Elemente dabei sind zum Beispiel ein grundlegendes Managementsystem für die Informationssicherheit (z.B. ein zertifiziertes ISMS), oder auch die Sensibilisierung der Mitarbeitenden, die die Maßnahmen letztlich umsetzen (z.B. mit Awareness-Schulungen).

Sichere Lieferketten als Wettbewerbsvorteil

Jede Öffnung des eigenen Systems für den externen Zugriff von Partnern birgt Sicherheitsrisiken. Doch ohne diese Öffnung könnten nicht die notwendigen schnellen und flexiblen Abläufe stattfinden, die das Unternehmen wettbewerbsfähig machen. Ein hundertprozentiger Schutz der Lieferketten lässt sich also in aller Regel nicht erreichen. Aber mit den richtigen Maßnahmen kann das Risiko reduziert und reibungslose Abläufe gewährleistet und im Ernstfall eine schnelle Reaktion und Behebung von Störungen ermöglicht werden.

Für Unternehmen sollte die Lieferkettensicherheit deshalb eine hohe Priorität einnehmen und nicht als einmalige Aufgabe, sondern als dauerhafter Prozess in die eigenen Abläufe integriert werden. Denn nur sichere Lieferketten sind letztlich auch wirtschaftliche Lieferketten.

geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security

Immer auf dem Laufenden:
News direkt in Ihr Postfach.

Wir feiern unser 20-jähriges Firmenjubiläum!

Laden Sie sich jetzt kostenlos unsere neue, umfassende Weiterbildungsbroschüre herunter:

Mit Klick auf den Button melden Sie sich zu unserem E-Mail-Verteiler an & erhalten unsere Weiterbildungs-News direkt in Ihr Postfach. Dieser Nutzung kann jederzeit widersprochen werden.