Ein Unternehmen kann noch so viel Zeit und Geld in seine Cybersecurity investieren: Wenn die externen Partner nicht ausreichend auf ihre IT-Sicherheit achten, können auch sie Opfer einer Hacker-Attacke werden. Hacker nutzen die mangelnde Beachtung der IT-Sicherheit von externen Partnern aus, um in eine Zielorganisation einzudringen. Sobald sie in die Lieferkette eines Unternehmens vorgedrungen sind, können Hacker tausende von Opfer gleichzeitig kompromittieren.
Unternehmen auf der ganzen Welt sind in den letzten Jahren immer anfälliger für die wachsende Bedrohung durch Supply-Chain-Angriffe geworden. Tatsächlich wurde in einer entsprechenden Studie von Argon festgestellt, dass Angriffe auf Lieferketten im Jahr 2021 im Vergleich zu 2020 um mehr als 300 Prozent zugenommen haben.
Das vielleicht prominenteste Beispiel für einen gezielten Angriff auf die Lieferkette eines Unternehmens, ist eine Attacke auf SolarWinds im Jahr 2020. Es wird geschätzt, dass allein von diesem Angriff 18.000 Kunden betroffen waren – einschließlich großer Regierungsbehörden.
Beispiel SolarWinds: So kann es gehen
SolarWinds, Anbieter von Netzmanagementsoftware, sah sich Ende 2020 einem folgenreichen Angriff auf seine Lieferkette ausgesetzt. Rund 18.000 seiner Kunden hatten eine infizierte Version seiner Orion-Produkte installiert.
Das Unternehmen stellte fest, dass eine Kompromittierung seiner Microsoft Office 365-E-Mail- und Office-Konten stattgefunden hatte. Zudem soll ein öffentlich zugängliches GitHub-Repository von SolarWinds die Anmeldeinformationen der Domain „downloads.solarwinds.com“ preisgegeben haben. Dadurch konnten die Angreifer eine bösartige Datei, die als Orion-Software-Update getarnt war, auf das Download-Portal des Unternehmens hochladen.
Was kann ich tun, um das Risiko für einen Supply-Chain-Angriff zu reduzieren?
Das Risiko für Angriffe auf die Lieferkette wächst. Doch noch scheinen viele Unternehmen unsicher zu sein, wie sie darauf reagieren sollen.
Um Ihr Verteidigungsniveau gegen Angriffe auf die Lieferkette einzuschätzen, stellen Sie sich folgende Fragen:
Wie gut kenne ich die IT-Security meiner Lieferanten?
Welche Arten von Daten verarbeiten Ihre Lieferanten? Welche Systemschnittstellen nutzen sie? Wie stark sind sie in Ihr Unternehmen integriert? Sie sollten die Berechtigungen und Anknüpfungspunkte all Ihrer Partner kennen und einschätzen können.
Was unternehmen meine Lieferanten, um sich zu schützen?
Finden Sie heraus, wie sich Ihre Partner vor Cyber-Angriffen schützen. Erstellen Sie hierzu eine Liste mit klar definierten Anforderungen und trauen Sie sich, Ihren Lieferanten unbequeme Fragen zu stellen. Sie dürfen von jedem Anbieter erwarten, dass er Ihnen zeigt, wie er sich und seine Kunden vor Angriffen schützt. Fragen Sie hierzu ab, wie der Zugriff auf Systeme beschränkt und Daten verschlüsselt werden.
Können meine Lieferanten im Falle eines geglückten Angriffs meine Business Continuity gewährleisten?
Eine gute Verteidigung ist der beste Schutz vor Angriffen auf die Lieferkette. Aber kein System kann jemals vollkommen sicher sein. Was passiert also, wenn es zu einem Angriff kommt? Wenn es um Business Continuity und Disaster Recovery (BCDR) geht, sollten Sie klare Erwartungen an Ihre Partner stellen. Bauen Sie diese in Ihre Verträge ein. Sollte einer Ihrer Lieferanten keine formelle BCDR-Strategie haben, erstellen Sie diese gemeinsam.
Lebt meine Organisation eine nachhaltige Sicherheitskultur?
Während die ersten Fragen auf die IT-Sicherheit bei Ihren Lieferanten und Partnern abzielen, geht es nun im Ihr Unternehmen. Was wird bei Ihnen unternommen, um zu einer gelebten Security Awareness und IT-Sicherheit beizutragen? Was investieren Sie in den Aufbau eines entsprechenden Mindsets, Toolsets und Skillsets Ihrer Belegschaft? Fühlen sich Sie und die Anwender:innen in Ihrem Unternehmen fähig, einen Angriff zu erkennen und passend zu reagieren?
Ein nachhaltiges Security Awareness Training bieten einen guten Ansatz für all diese Fragen. Testen Sie deshalb jetzt Ihre Security Awareness mit der kostenlosen Demo zu unseren Trainings und schützen Sie Ihr Unternehmen nachhaltig vor Cyberangriffen.
