„Sunburst“ hat es vorgemacht: Über Supply-Chain-Attacken dringen Angreifer innerhalb kürzester Zeit in Tausende fremde Netzwerke ein und platzieren Hintertüren sowie neue Malware. Wir erklären, was Angriffe auf die Lieferkette so gefährlich macht und welche Schritte Sie dagegen einleiten sollten.
2019 machte Steven Adair, der Präsident der IT-Sicherheitsfirma Volexity, die Entdeckung seines Lebens: Bei einer Routineuntersuchung eines Hacker-Angriffs auf einen amerikanischen Think Tank spürte sein Team zwei Gruppen von Angreifern auf, die sich in das Netzwerk der angegriffenen Organisation eingeschlichen hatten.
Während sich die erste Hacker-Gruppe relativ leicht und dauerhaft vertreiben ließ, erwies sich die zweite, die Adair „Dark Halo“ taufte, als deutlich hartnäckiger und raffinierter. Ihre Mitglieder kehrten sogar dann wieder zurück, wenn sie von den Spezialisten aus dem Netzwerk des Think Tanks verjagt worden waren.
Eine Woche lang lieferten sich Angreifer und Verteidiger ein Katz-und-Maus-Spiel, bis die Experten von Volexity den Server fanden, über den die Kriminellen immer wieder eindrangen. Die Admins der angegriffenen Organisation hatten auf dem Rechner eine Software zur Netzwerkverwaltung installiert – der Rest der Geschichte machte bald weltweit Schlagzeilen.
Die von dem Think Tank genutzte Software stammte von der Firma Solarwinds. Ungefähr zur gleichen Zeit wurde beim US-Justizministerium ein ähnlicher Cyberangriff entdeckt, der ebenfalls von einem Server mit einer Solarwinds-Lösung ausging – in diesem Fall sogar nur einer Testversion. Zunächst vermuteten die Sicherheitsexperten in der Anwendung eine der üblichen Schwachstellen, über die sich Angreifer Zugang zu fremden Netzen verschaffen. Doch selbst gemeinsam mit den Entwicklern von Solarwinds fanden sie keine Sicherheitslücke, die die Attacken ermöglicht hätte.
Ganze sechs Monate dauerte es, bis die Ermittler den Angreifern auf die Spur kamen. In der Zwischenzeit hatte „Dark Halo“ bereits zahlreiche weitere Hochkaräter ins Visier genommen, darunter allein in den USA das Verteidigungsministerium, das Heimatschutzministerium sowie Firmen wie Microsoft, Intel, Cisco und Palo Alto Networks. Wie sich herausstellte, hatten die Hacker eine Hintertür in der Netzwerkverwaltungs-Software „Orion“ von Solarwinds platziert. Über diese „Sunburst“ getaufte Backdoor verschafften sie sich verdeckten Zugriff auf die Systeme und Netze der „Orion“-Nutzer und erbeuteten Daten.
Bis heute weiß niemand genau, wie groß der Schaden durch „Sunburst“ weltweit wirklich ist. Nach Schätzungen waren oder sind bis zu 18.000 Unternehmen und Organisationen betroffen. Über die Hintertür wurde nicht nur spioniert, sondern auch weitere Schad-Software eingeschleust.
Experten sehen im Solarwinds-Hack daher „den größten Cyberangriff seit Jahren“. „Sunburst“ gilt als Paradebeispiel für sogenannte Supply-Chain-Attacken, bei denen Cyberkriminelle ihre Opfer nicht mehr direkt angreifen. Stattdessen gelangen sie auf Umwegen in deren Netzwerke.
Anstatt Sicherheitslücken beim eigentlichen Ziel zu suchen, kompromittieren die Angreifer heute lieber die Software vermeintlich vertrauenswürdiger Drittanbieter. Wie der Solarwinds-Fall eindrucksvoll zeigt, kann das selbst etablierte Lösungen treffen, die weitverbreitet sind und als sicher gelten. Über eingeschleuste Hintertüren gelingt es dann zum Beispiel verdeckt per Update-Funktion, weiteren Schadcode auf den Systemen der Opfer zu installieren. Bereits mehrfach wurden dafür sogar IT-Sicherheits-Tools missbraucht, die eigentlich Schaden von ihren Nutzern fernhalten sollen.
Das Fatale: In der eng vernetzten Businesswelt von heute sind praktisch alle Unternehmen auf Partner und Lieferanten angewiesen – kaum jemand kann komplett auf externe Lösungen verzichten. Außerdem bestehen viele Anwendungen heute zu großen Teilen aus Komponenten, Bibliotheken und Frameworks, die oft auf Plattformen wie GitHub frei zur Verfügung stehen. Für Hacker sind diese eng vernetzten Strukturen ein Segen. Sie machen es ihnen deutlich leichter, in fremde Netzwerke einzudringen. Dank der weitverbreiteten Nutzung von Drittanbieter-Code müssen Angreifer nicht mehr mühsam Sicherheitslücken in Firewalls finden. Es genügt, Schwachstellen in einer eingebundenen Komponente auszunutzen, um sich Zugang zu verschaffen.
Der wirksamste Schutz vor Supply-Chain-Attacken besteht darin, die eigene Angriffsfläche so klein wie möglich zu halten. Das bedeutet: Unternehmen sollten nur die Lösungen und Dienste einsetzen, auf die sie wirklich nicht verzichten können. Zudem müssen sie jederzeit die Kontrolle darüber behalten, wie diese Anwendungen im Betrieb zum Einsatz kommen.
Dafür existieren mittlerweile ausgereifte Techniken und Konzepte, wobei das Zero-Trust-Modell als besonders wichtig gilt. Dabei schenken Sie grundsätzlich keinem Akteur mehr Vertrauen – egal ob intern oder extern. Stattdessen gilt die Devise: Alles, was nicht ausdrücklich erlaubt wurde, ist verboten. Konkret bedeutet das: Sie überwachen und kontrollieren kontinuierlich sämtliche Zugriffe und Aktivitäten in Ihren Netzwerken. Berechtigungen vergeben Sie nur noch gezielt und zeitlich begrenzt auf Basis des Least-Privilege-Prinzips.
Zero Trust lässt sich ideal mit Lösungen für sichere Fernverbindungen kombinieren. So greifen Ihre Mitarbeiter, Partner und Lieferanten jederzeit geschützt auf die benötigten Ressourcen zu – egal wo sie sich befinden. Zum Pflichtprogramm zählt auch das kontinuierliche Monitoring aller Aktivitäten in Ihren Netzwerken. Wertvolle Dienste leisten außerdem Lösungen wie Intrusion Detection/Prevention-Systeme oder Security Information and Event Management (SIEM). IDS/IPS und SIEM schlagen Alarm, wenn sie verdächtige Anomalien entdecken – etwa Verbindungen zu unbekannten IP-Adressen, plötzliche Datenspitzen oder gehäufte Systemabstürze.
Mit dem Lösungsportfolio von NCP sind Sie gegen raffinierte Supply-Chain-Attacken bestens gewappnet. Unsere Management-Software verleiht Ihnen volle Kontrolle und Transparenz darüber, welche Nutzer, Gruppen und Anwendungen auf welche Netzwerkressourcen zugreifen dürfen. Hier erfahren Sie mehr darüber, wie Zero Trust von NCP Sie wirksam vor Angriffen über Ihre Lieferkette schützt:
Das könnte Sie auch interessieren:
NCP-Talk mit Chiara - duale Personalmanagement-Studentin
Erzähl uns ein bisschen von Dir: Mein Name ist Chiara und ich arbeite seit Oktober 2022 an der Seite unseres Management-Teams als duale Personalmanagement-Studentin. Das bedeutet, dass ich die Theorie in der Uni zeitgleich mit der Arbeit hier bei NCP verknüpfe und somit direkt ...
Sichere Remote-Zugriffe auf Cloud-Anwendungen
Auf die Cloud verzichtet kaum ein Unternehmen, aber wie lassen sich heterogene Umgebungen schützen? VPNs sind die beste Lösung für sichere Fernzugriffe.
Netzwerksegmentierung: Wie sichere Zonen Ihre IT schützen
Netzwerksegmentierung stoppt Hacker, schützt kritische Daten und vereinfacht die Compliance. Lesen Sie, wie Sie Ihr Netzwerk in sichere Zonen aufteilen.
