Kommentar: Warum Supply-Chain-Attacken Unternehmen auf mehreren Ebenen bedrohen

Cyberkriminelle haben längst erkannt, dass der direkte Angriff auf Unternehmen oft durch Sicherheitsmaßnahmen erschwert wird. Stattdessen verlagern sie ihre Strategie auf die Lieferkette – mit zunehmendem Erfolg. Supply-Chain-Attacken zielen darauf ab, Schwachstellen in der Wertschöpfungskette auszunutzen, um Unternehmen über deren Dienstleister, Software-Anbieter oder eingebettete Codes zu kompromittieren.

Kommentar von Victor Acin, Director Product Management at Outpost24

Eine gängige Methode solcher Angriffe ist die gezielte Kompromittierung von Software-Updates oder IT-Dienstleistungen durch manipulierte Zulieferer. Unternehmen verlassen sich auf ihre Partner, erwarten funktionale und sichere Lösungen – doch wenn ein Dienstleister selbst Opfer eines Angriffs wird, sind alle nachgelagerten Unternehmen ebenfalls gefährdet. Der berüchtigte SolarWinds-Hack aus dem Jahr 2020 ist hier ein Paradebeispiel. Angreifer kompromittierten die Update-Server der IT-Management-Software Orion von SolarWinds und schmuggelten Schadcode in eine reguläre Software-Aktualisierung. Mehr als 18.000 Unternehmen und Behörden weltweit installierten diese infizierten Updates unwissentlich und öffneten so eine Hintertür für Cyberangreifer. Besonders brisant war, dass auch hochrangige US-Behörden betroffen waren, darunter das Finanzministerium und das Heimatschutzministerium. Der Angriff verdeutlichte eindrücklich, wie weitreichend die Auswirkungen eines Supply-Chain-Angriffs sein können – insbesondere, wenn ein weit verbreitetes IT-Produkt als Einfallstor missbraucht wird.

Virtuelle Abhängigkeiten als unterschätzte Bedrohung

Doch nicht nur klassische Kunden-Lieferanten-Beziehungen bergen Risiken. Eine oft unterschätzte Bedrohung sind „virtuelle Abhängigkeiten“. Moderne Webseiten und Software-Anwendungen binden zahlreiche externe Bibliotheken, Frameworks und Code-Snippets ein – Komponenten, die Unternehmen nicht direkt kontrollieren.

Ein aktuelles Beispiel ist der Angriff auf das weit verbreitete Polyfill.io, eine JavaScript-Bibliothek, die von unzähligen Webseiten genutzt wurde. Cyberkriminelle übernahmen die Kontrolle über die Domain und Github-Repository und ersetzten harmlose Skripte durch schädlichen Code, der die Besucher der betroffenen Webseiten auf Scam und Phishing-Seiten weiterleitete. Das Perfide daran: Die Server-Infrastruktur der einzelnen Webseiten war nicht kompromittiert und Webseitenbetreiber bemerkten die Manipulation oftmals zu spät.

Neben solchen Domain-Ãœbernahmen sind auch Angriffe auf Open-Source-Pakete eine ernsthafte Gefahr. Angreifer platzieren gezielt manipulierte Versionen oder übernehmen beliebte Bibliotheken, um später Hintertüren in Unternehmenssoftware einzuschleusen. Diese „Dependency Confusion“-Attacken nutzen die Tatsache aus, dass Entwickler oft externe Pakete einbinden, ohne deren Herkunft und Inhalte genau zu prüfen. In den letzten Jahren hat sich gezeigt, dass nicht nur IT-Sicherheitsverantwortliche, sondern auch Entwickler stärker für diese Bedrohung sensibilisiert werden müssen.

Was können Unternehmen tun?

Um sich gegen die wachsenden Bedrohungen durch Supply-Chain-Attacken zu wappnen, sind umfassende Sicherheitsmaßnahmen notwendig. Unternehmen sollten:

Eine tiefgehende Risikoanalyse der Lieferkette durchführen: Wer sind die Dienstleister? Welche Sicherheitsstandards haben sie? Wie wird der Zugriff auf Systeme und Daten geregelt?

Software-Lieferketten absichern: Open-Source- und Drittanbieter-Komponenten müssen regelmäßig überprüft werden. Der Einsatz einer Software Bill of Materials (SBOM) schafft Transparenz und hilft, verdächtige Änderungen frühzeitig zu erkennen.

Zero-Trust-Strategien implementieren: Sowohl physische als auch digitale Abhängigkeiten müssen kritisch hinterfragt werden. Eine stärkere Kontrolle über externe Integrationen sowie die Einschränkung von Berechtigungen können das Risiko reduzieren.

Automatisierte Sicherheitsprüfungen einführen: Unternehmen sollten regelmäßig ihre Systeme auf Schwachstellen scannen und Sicherheitsmechanismen für externe Code-Integrationen etablieren.

Die Bedrohung durch Supply-Chain-Attacken wächst rasant. Unternehmen stehen vor der Herausforderung, nicht nur ihre eigenen Systeme zu schützen, sondern auch Risiken in der gesamten Lieferkette – einschließlich virtueller Abhängigkeiten – zu managen. Während klassische Sicherheitsmaßnahmen oft noch auf den Schutz der eigenen Infrastruktur fokussiert sind, erfordert die heutige Bedrohungslage ein Umdenken: IT-Sicherheit endet nicht an der Unternehmensgrenze, sondern muss sich über die gesamte digitale Wertschöpfungskette erstrecken.