Wie Cyberkriminelle Angriffe über einen Lieferkettenpartner starten können

Eine Lieferkette erfordert naturgemäß eine partnerschaftliche Zusammenarbeit zwischen Menschen und Organisationen. Dies kann zwar dazu beitragen, ein gemeinsames Ziel zu erreichen und das Wachstum zu fördern, kann aber auch eine Reihe von Problemen aufwerfen.

Durch diese symbiotischen Beziehungen haben Unternehmen unwissentlich sensible Aspekte ihres Geschäfts aufgedeckt. Diese übersehene Schwäche hat jedoch Cyberkriminellen die Möglichkeit eröffnet, in ihren Zielorganisationen Fuß zu fassen.

Eine Studie des Opus and Ponemon Institute unterstreicht die Prävalenz solcher Angriffe und zeigt, dass mindestens 59 % der Unternehmen unter Cyberangriffen durch Drittunternehmen gelitten haben. Noch beunruhigender ist die Tatsache, dass nur 16 % der Unternehmen in der Studie behaupteten, Cybersicherheitsrisiken von Drittanbietern effektiv zu mindern.

Es liegt auf der Hand, dass der erste Schritt zum Schutz Ihres Unternehmens vor solchen Risiken darin besteht, diese zu identifizieren. Im Folgenden sind einige Möglichkeiten aufgeführt, wie böswillige Akteure einen Angriff über einen Lieferkettenpartner starten können, veranschaulicht durch Beispiele aus der Praxis.

Fast jede Organisation verwendet externe Hard- und Software. Nur wenige wollen Technologie von Grund auf neu aufbauen. Vielmehr hat der Boom im Open-Source-Bereich zu einer massiven Outsourcing-Welle in fast allen Bereichen des Geschäftsbetriebs geführt.

Trotz ihrer Bequemlichkeit ist diese Möglichkeit mit erheblichen Risiken verbunden. Der berüchtigte Equifax-Verstoß von 2018 war auf einen Fehler in der Software zurückzuführen, die für den Betrieb von Online-Datenbanken verantwortlich ist. Equifax machte auch einen bösartigen Download-Link auf seiner Website verantwortlich, der von einem anderen Anbieter stammte.

Aufgrund dieser Schwächen in ihrer Lieferkette haben Kriminelle die persönlichen Daten von mindestens 143 Millionen Menschen in die Hände bekommen.

Zahlreiche Unternehmen verwenden Heizungs-, Lüftungs- und Klimaanlagen (HLK), die mit dem Internet verbunden sind, aber keine ausreichenden Sicherheitsmaßnahmen haben. Diese bieten Hackern ein potenzielles Tor zu Unternehmenssystemen, wie es bei der massiven Zielverletzung von 2014 der Fall war.

Hacker erhielten Zugang zu Anmeldeinformationen, die dem Unternehmen gehörten, das das HLK-System von Target bereitstellte. Sie loggten sich dann ein und gelangten in seine Zahlungssysteme, wobei sie Informationen von schätzungsweise 70 Millionen Menschen stahlen. Es enthielt neben anderen sensiblen Daten Namen, physische Adressen, E-Mail-Adressen und Telefonnummern.

Eine weitere Risikoform geht von Cloud-Dienstleistern aus, die vertrauliche Daten von Unternehmen speichern. Natürlich investieren solche Unternehmen erheblich in die Sicherheit ihrer Systeme; Ihr Ruf hängt davon ab.

Aber wie alle anderen Organisationssysteme sind auch diese anfällig für Kompromisse. Das war beim berüchtigten Paradise-Papers-Hack im Jahr 2018 der Fall. Ungefähr 13,4 Millionen sensible Dateien sind durchgesickert und enthüllen sensible Finanzgeschäfte globaler Konzerne und superreicher Einzelpersonen aus der ganzen Welt. Mindestens die Hälfte dieser Akten, etwa 6,8 Millionen, stammte von Appleby, einem Offshore-Rechtsdienstleister.

Ein ähnlicher Angriff fand im Sommer 2018 statt, als Deep Root Analytics die persönlichen Daten von rund 200 Millionen Wählern durchsickerte. Deep Root ist eine Marketingfirma, die sowohl von der republikanischen als auch von der demokratischen Partei genutzt wird. Der Verstoß war darauf zurückzuführen, dass das Unternehmen die Daten versehentlich auf einem öffentlich zugänglichen Server ablegte.

Obwohl dies ein relativ kleines Unternehmen mit nur etwa 50 Mitarbeitern ist, haben sich ähnliche Vorfälle in größeren Organisationen ereignet. Im Fall des Verizon-Verstoßes hat Nice Systems 6 Millionen Kundendatensätze auf einem öffentlichen Amazon S3-Speicherserver abgelegt. Die Aufzeichnungen bestanden aus Kundendienst-Anrufprotokollen von sechs Monaten. Sie enthielten persönliche und Kontoinformationen. Nizza hat über 3.500 Mitarbeiter.

Deloitte mit mehr als 250.000 Mitarbeitern hat eine ähnliche Datenschutzverletzung erlebt. Im September 2018 erhielten Hacker Zugang zu vertraulichen Plänen und E-Mails einiger seiner Blue-Chip-Kunden. Die Lücke bestand in diesem Fall in einer schwachen Zugriffskontrolle für eines seiner Verwaltungskonten.

Bei großen Unternehmen kann die Sicherheit intern wasserdicht sein. Dies gilt jedoch möglicherweise nicht einmal für die IT-Systeme von Anbietern. Das scheint im vergangenen Herbst bei Domino's Pizza in Australien passiert zu sein. Der Vorfall war nach damaligen Berichten auf die schwachen Cybersicherheitssysteme eines ehemaligen Zulieferers zurückzuführen. Infolgedessen gab das System Kundennamen und E-Mail-Adressen durch. Der Verstoß wurde erst bekannt, als betroffene Kunden begannen, personalisierte Spam-E-Mails zu erhalten. Obwohl Domino darauf bestand, dass es keinen böswilligen Hacker für persönliche Daten gab und dass seine Systeme nicht schuld waren, war der Schaden bereits angerichtet.

Eine weitere Lücke, die Cyberkriminelle ausnutzen könnten, sind Sensoren für das Internet der Dinge (IoT). Viele Geschäftsleute sind sich der Sicherheitsrisiken von Computern, Telefonen und Netzwerken bewusst. Aber sie übersehen oft IoT-Geräte, die es Angreifern ermöglichen, in Unternehmenssysteme zu springen.

Diese Geräte verfügen über Sensoren, die sie zu Kommunikationszwecken mit dem Internet verbinden. Sie sind in Lieferketten weit verbreitet, da sie unter anderem bei der Vorhersage von Maschinenausfällen und der Bestandsverwaltung helfen können. Trotz ihres funktionalen Wertes sind sie ein beliebter Angriffsvektor, der Angreifern Zugang zu sensiblen Daten verschaffen und Sabotage- und Botnet-Angriffe erleichtern kann.

Ein Beispiel für einen solchen Angriff nutzte ein Botnet namens Mirai, um Dyn zu kompromittieren, ein Unternehmen, das Domain-Namensdienste unter anderem für Reddit, Netflix und Github anbietet. Mirai ist ein IoT-spezifisches Botnet, das entwickelt wurde, um verteilte Denial-of-Service-Angriffe (DDOS) durchzuführen.

Die obigen Beispiele belegen die Tatsache, dass Angreifer ein schwaches Glied in Ihrer Lieferkette nutzen können, um sich Zugang zu Systemen zu verschaffen. Leider können Sie die Sicherheitsmaßnahmen Ihrer Lieferkettenpartner nicht direkt kontrollieren. Aber am Ende des Tages ist es den Kunden egal, wie Sie kompromittiert wurden. Sie wollen einfach nur wissen, dass ihre Daten sicher sind. Und das legt die Verantwortung für die Gewährleistung strenger Sicherheit in Ihre Hände.

Sorgfalt bei der Bewertung von Sicherheitssystemen von Drittanbietern und deren Datenschutzrichtlinien ist unerlässlich. Wie wir gesehen haben, können große und kleine Organisationen diesen Taktiken zum Opfer fallen. Unabhängig von der Größe Ihrer Partner ist es wichtig, ihr Engagement für die Sicherheit zu bewerten.

Machen Sie es sich zum obersten Ziel, zu beurteilen, wo Ihre Schwächen liegen, und legen Sie Wert darauf, alle Lücken zu schließen.

Olivia Scott ist Marketingmanagerin bei VPNpro.com.