Die zunehmende Vernetzung von Gesellschaft, Wirtschaft und Staat birgt auch gewaltige Gefahren in sich. Nicht zuletzt durch die wachsende Komplexität öffnen sich neue Flanken für Angreifer, und zwar an
Stellen, die derzeit von vielen Unternehmen noch zu wenig beachtet werden.

Eine dieser kritischen Angriffspunkte ist die Lieferkette. Diese weist aus Cybersecurity-Sicht immer mehr Schwachstellen auf. Und wo wunde Punkte auftauchen, kann man davon ausgehen, dass Hacker sowie Spione und Saboteure im Staatsauftrag diese gnadenlos ausnutzen werden.

Angriffe über die Lieferkette, auch als Supply Chain Security bekannt, weisen dabei zwei Hauptaspekte auf. Einerseits geht es um die Security der eigenen Lieferkette sowie von Drittparteien und Geschäftspartnern. Es kann nämlich für die eigene IT-Sicherheit bedenklich sein, wenn Partnerfirmen oder Lieferanten schlecht geschützt sind und Hacker über diese Drittfirmen das eigene Unternehmen anzugreifen versuchen. Andererseits kann die Lieferkette von Software- und Hardware-Produkten selbst eine Schwachstelle darstellen, indem Lücken ausgenutzt werden, seien es Fehler oder bewusst platzierte Hintertüren – sogenannte Backdoors.

Heutige Unternehmen sind immer stärker miteinander verzahnt und daher auch vom Cybersecurity-Standpunkt aus mehr voneinander abhängig. Angriffe über Drittfirmen nehmen daher laufend zu, zumal das entsprechende Ökosystem immer grösser und komplexer wird. «Je grösser das Netzwerk von Lieferanten und Partnern, desto grösser sind Supply-Chain-basierte Cyberrisiken», gibt diesbezüglich Umberto Annino, Principal Cyber Security Consultant beim Baarer IT-Security-Spezialisten InfoGuard, zu bedenken.

Eine internationale Studie des Ponemon Institute hat die enge Verzahnung unlängst aufgezeigt. Die 1000 dort befragten CISOs gaben an, dass ihre Firmen durchschnittlich jeweils mit 583 Partnern Daten austauschen. Dabei handelt es sich unweigerlich auch um heikle Informationen, die nicht in die Hände Dritter gelangen sollten. Viele Unternehmen wissen zudem nicht einmal, mit wie vielen Drittfirmen sie Daten austauschen. Nur 34 Prozent führen nämlich nur Buch über diese Beziehungen.

Diese Fülle an Partnern eröffnet Cyberkriminellen viele mögliche Einfallstore. «Diese Auswahl an möglichen
Angriffspunkten machen sich Angreifer häufig zunutze, um genau das Unternehmen zu identifizieren, das am
wenigsten geschützt ist beziehungsweise für sie das einfachste Ziel darstellt», sagt Christophe Biolley, PreSales Group Manager DACH bei Kaspersky. «Je nach Art und Absicht eines Angriffs können betriebsinterne Daten aus­spioniert oder ein Unternehmen sogar ganz sabotiert werden», fügt er an.
Kein Wunder, mehren sich Datendiebstähle bei Partnerfirmen, die dann als Ausgangspunkt für weitere Angriffe verwendet werden können. Wie die genannte Ponemon-Studie zeigt, die unter dem Titel «Data Risk in the Third-Party Ecosystem» erschienen ist, berichteten 59 Prozent der befragten CISOs über einen Datendiebstahl bei Dritt­firmen und Partnerunternehmen. Die Dunkelziffer könnte zudem beachtlich sein. Schliesslich gaben 22 Prozent an, sie hätten keine Ahnung, ob es bei Dritten zu Datenlecks gekommen sei.

Datenlecks sind aber nur ein Aspekt bei Supply-Chain-Attacken. Oft wird das Netz des Partners als Zugangs­möglichkeit in die eigene IT missbraucht. Den Grund nennt Biolley: «Kanäle, die einem zuliefernden Betrieb auf ein Netzwerk vorbehalten sind, sind oftmals weniger ab­ge­sichert und werden meist nur durch ein klassisches Monitoring überwacht.»

Allerdings greift es zu kurz, nur nach dem schwächsten Glied in der Kette zu fahnden. «In der Supply Chain Security muss jeder einzelne Punkt der Lieferkette als mög­-licher Angriffspunkt verstanden werden – nicht nur der schwächste», gibt diesbezüglich Thomas Uhlemann, Security Specialist für die DACH-Region beim IT-Security-Spezialisten Eset, zu bedenken. «Angreifer attackieren selten ein Gesamtsystem, sondern gehen eher den Weg des geringsten Widerstands», doppelt er nach.

Schliesslich können Cybervorfälle bei Dritten schwerwiegende Folgen haben, selbst dann, wenn die Hacker nicht direkt ins eigene Unternehmen einbrechen. «Wenn es bei einem Lieferanten zu einem Sicherheitsvorfall, zu Verzögerungen oder zu Ausfällen kommt, können die Auswir­-kungen auf die eigenen Prozesse oder die Infrastruktur schwerwiegend sein», meint daher Annino von InfoGuard. Dies könne zu erheblichen finanziellen Verlusten, Reputationsschäden oder auch zu rechtlichen Konsequenzen führen, fügt er an.

Die Situation verschärft sich zudem durch die vielerorts praktizierte Just-in-time-Produktionsweise. Diese eröffne Cyberkriminellen ein neues Druckmittel, meint Biolley von Kaspersky. «Dadurch, dass die Produktion zeitkritisch ist, müssen Unternehmen einen reibungslosen Ablauf gewährleisten», meint er. Angreifer könnten daher diesen Umstand ausnutzen und die zeitliche Relevanz für sich einsetzen. «Insbesondere bei Ransomware ist das ein Problem, weil hier Erpressung im Spiel ist. Wird die Produktion lahm­gelegt, kann ein Unternehmen nicht fristgerecht liefern – das kann wiederum zu finanziellen Verlusten führen, da die Auftraggeber Schadensersatz geltend machen könnten, sowie einen herben Reputationsverlust nach sich ziehen», schildert Biolley ein typisches Szenario.

Was können nun aber Firmen gegen diese Gefahren aus der Lieferkette unternehmen? Die sorgfältige Auswahl der Geschäftspartner auch in Sachen Cybersecurity wäre hier wünschenswert. Allerdings ist dies in der Praxis wohl schwierig umzusetzen. Denn wer hat schon die Zeit und die finanziellen Ressourcen, die IT aller Drittfirmen auf deren Schutz hin zu untersuchen.

Zugegeben, das ist eine diffizile Aufgabe. Aber auch zu diesem Thema hat man sich in der IT-Sicherheitsbranche schon Gedanken gemacht und Standards sowie Best Practices entwickelt. Die IT-Sicherheit in Lieferantenbeziehungen beschreibt etwa die Norm ISO/IEC 27036:2013 als Teil der ISO/IEC-27001-Serie (vgl. Kasten unten).

Zudem findet sich zum Thema die erst vor Kurzem hinzugefügte Kategorie «Supply Chain Risk Management» im «Cyber Security Framework» der US-Normungsbehörde NIST (National Institute of Standards and Technology). Ein solches Risikomanagement für Drittfirmen verlangt von Geschäftspartnern die verbindliche Verpflichtung, die eigene IT, aber auch Daten von Dritten genauso zu schützen, wie es die eigenen Vorgaben in Sachen Cybersecurity vorsehen.

«Cyber Supply Chain Risk Management ist aber eigentlich keine neue Disziplin, sondern vielmehr eine Aus­weitung des eigenen Risikomanagements und der Cyber Security auf die Lieferanten», meint InfoGuards Annino. «Die Vorteile liegen auf der Hand: Nur so ist es möglich, die erforderliche Transparenz über die Cyberrisiken und die Maturität bezüglich Cyber Security innerhalb der Lieferkette zu gewährleisten», fügt er an. Annino verweist in diesem Zusammenhang auf professionelle Lösungen wie Secu­rityScorecard. «Diese ermöglichen es, die Transparenz zu erhöhen und helfen, das Cyber Supply Chain Risk Management ressourceneffizient umzusetzen», ist er überzeugt.

Eine weitere beträchtliche Gefahr geht von den eingekauften IT-Produkten aus, handle es sich dabei nun um Software oder Hardware. Entsprechende Komponenten können nämlich bereits vor der Lieferung kompromittiert oder manipuliert werden.

Neben der eigentlichen Gefahr durch solche Schwachstellen und Backdoors kommt hier noch die fehlende Risiko­wahrnehmung als weiterer Unsicherheitsfaktor hinzu. Diese ist bei den eingekauften Technologieprodukten nämlich stark eingeschränkt, da die Schwachstellen gut versteckt sind. Die Risiken sind somit faktisch unsichtbar oder können nur mithilfe äusserst aufwendiger Tests überhaupt aufgedeckt werden. Für IT-Sicherheitsverantwortliche diesbezüglich besonders bitter: Da diese Form der Supply-Chain-Gefahr nicht so offensichtlich ist, wird es auch schwierig, von der Firmenleitung die entsprechenden Ressourcen für deren Eindämmung zu erhalten.

Derweil kann das Ausmass nur erahnt werden. «Ohne effektive Qualitätsprüfung von digitalen Produkten muss davon ausgegangen werden, dass kompromittierte Komponenten und Cyberprodukte bereits heute in Industrie und Behörden im Einsatz sind, auch wenn diese noch nicht unmittelbar sichtbar sind», meint Stefan Frei, Dozent für Cyber Security an der ETH Zürich. Er vergleicht die Situation mit jener in der Autoindustrie in den 1960ern. «Damals gab es noch keine verbindlichen Anforderungen an die Sicherheit der Fahrzeuge, die Schuld wurde auf den Kunden geschoben, mit entsprechend vielen fatalen Vorfällen», sagt Frei.

In Sachen Hardware-Kompromittierung zählt Frei hauptsächlich drei Angriffsarten auf. Zum einen würden Fälschungen oder qualitativ minderwertige Hardware in die Lieferkette gelangen und würden so zum Einfallstor für Attacken. Zweitens können Angreifer mittels präparierter Bauteile die Hardware infiltrieren. So können Chips auf Platinen oder in Computern durch kompromittierte Versionen getauscht werden oder es werden Schaltkreise in das Package eingebracht. Schliesslich lässt sich das Chip-Design sozusagen von Beginn weg kompromittieren. Angesichts der Menge an jährlich neu entwickelten Chips, ist die Wahrscheinlichkeit gross, dass auch manipulierte Halbleiter in den Verkehr kommen. Frei spricht von Tausenden von Unternehmen mit Hunderttausenden Entwicklern, die pro Jahr über 5000 neue Chips entwickeln. Wenn nur einer von tausend Chipdesignern in Betracht ziehe, ein Design zu manipulieren, sei es für Wettbewerbsvorteile, Profit oder aus einem anderen Grund, entspreche dies noch Hunderten von Spezialisten mit entsprechendem Know-how und Zugang, gibt Frei zu bedenken. «Die Annahme, dass Chips niemals absichtlich kompromittiert werden, ist angesichts der Cybersecurity-Erfahrungen der letzten Jahre schlicht nicht haltbar», warnt Frei folglich.

Kompromittierte Hardware ist denn auch kein neues Phänomen. Schon Mitte der 1970er-Jahre, also mitten im Kalten Krieg, hatten beispielsweise sowjetische Geheimagenten Kugelkopfschreibmaschinen von IBM in der US-amerikanischen Botschaft in Moskau mit Kleinstsendern versehen, welche die Signale an den Typenkopf aufnahmen, dortselbst zwischenspeicherten und per Funk an Abhöranlagen in umliegenden Gebäuden übermittelten. Die Sowjets konnten so während gut acht Jahren nach­vollziehen, was auf den Schreibmaschinen getippt wurde. Sie verwendeten also die frühe Form eines Keyloggers. Erst durch aufwendige Untersuchungen durch die NSA konnte das Leck entdeckt werden.

Auch westliche Geheimdienste hörten die Gegenseite mit kompromittierten Geräten ab, wie die erst vor ­Kurzem aufgedeckte Affäre rund um die Zuger Crypto AG ver­deutlicht. Hier wurden bis 2018 im Rahmen der «Ope­ration Rubikon» manipulierte Chiffriermaschinen aus der Pro­duktion des Schweizer Unternehmens von der CIA und dem deutschen Geheimdienst BND dazu ­missbraucht, die Kommunikation von über 100 ­Staaten
abzuhören.

Aber nicht nur Hardware kann für die Supply Chain gefährlich werden, sondern auch Software. Neben speziell hinzuprogrammierten Backdoors wird derzeit ein weiteres Phänomen in der Cybersecurity-Szene diskutiert. So wurde an den diesjährigen Hackerkonferenzen Defcon und Black Hat verschiedentlich von sogenannten Zombie-Sicherheits­lücken berichtet. Dabei handelt es sich beispielsweise um alte Sicherheitslücken, die als längst gepatcht galten. Diese tauchen dann in Programmen und eben auch Geräten wieder auf, weil alte, ungepatchte Software-Bibliotheken in neuen Projekten verwendet werden. Auch werden darunter Lücken verstanden, die zwar schnell gepatcht wurden, aber mit kleinen Änderungen doch wieder geöffnet werden können.

So berichteten Cybersecurity-Forscher von JSOF von diversen Fehlern in einer TCP/IP-Bibliothek, die in der Folge in einer grossen Zahl von vernetzten Gerätschaften Verwendung fand. Die «Ripple20» getaufte Lücke schlummert somit in medizinischen Apparaten, industriellen Steuer­einheiten oder Druckern. Einen Patch auszuliefern, ist hier fast ein Ding der Unmöglichkeit. Schliesslich geben die wenigsten Hersteller bekannt, welche Software-Versatz­stücke in all ihren Produkten untergebracht sind.

«Die Gefahr ist gross und real», kommentiert Frei diese jüngste Entwicklung. «Wir hängen von unzähligen Software-Produkten ab, quelloffen oder proprietär, welche wiederum von unzähligen Software Libraries abhängen, die wiederum über Abhängigkeiten verfügen», veranschaulicht er die Verkettungen.

Die Ripple20-Lücke erstaunt auch Uhlemann von Eset keineswegs. «Netzwerk-Stacks, DNS und manch andere, kritische Komponenten des heutigen Internetverkehrs haben ihre Ursprünge teilweise in den 1970er-Jahren», umschreibt er die Situation. Über diese werde häufig nicht weiter nachgedacht. Ihm zufolge gelten sie als «vertrauenswürdig, weil schon immer da». Dies wüssten Kriminelle und nutzten diesen Zustand entsprechend aus. «Fehlende Authentifizierungsmassnahmen, obsolete, aber immer noch funktionierende Netzwerk-Tools wie Telnet, stellen eine durchaus ernst zu nehmende Gefahr dar», sagt Uhlemann.

Es gibt aber auch Möglichkeiten, Gegensteuer zu geben. «Ein Open-Source-Ansatz und reizvolle Bug-Bounty-Programme sind daher begrüssenswert», fordert Uhlemann. «Sie fördern das rasche Auffinden und Beseitigen von potenziellen Schwachstellen oder solchen, die durch Verknüpfungen von (alten) Standards entstehen», ist er überzeugt.

Schliesslich haben es Cyberkriminelle vielfach auf die Software-Lieferkette als solche abgesehen. Kasperskys Biolley nennt in diesem Zusammenhang die sogenannte Operation ShadowHammer. Dabei wurde eine Backdoor in das Update-Programm des PC-Herstellers Asus eingefügt. Alle Anwender, die ihren Rechner in der Folge mit einem Update versorgen wollten, handelten sich eine Malware ein. «Das Perfide an Supply-Chain-Attacken im Software-Bereich ist, dass womöglich Millionen von Nutzern betroffen sind, wenn es den Angreifern gelingt, Malware einzuschleusen», betont Biolley.

Die mannigfaltigen und offensichtlichen Schwächen in der digitalen Lieferkette sind somit gravierend. Doch es gibt auch Lösungsansätze. So hat der Branchenverband ICT­switzerland unlängst die Idee eines unabhängigen Cybertesting Lab für die Schweiz gefordert. Schliesslich fehlen bis heute unabhängige Tests, die eine Integrität der gekauften Cyberprodukte hinreichend sicherstellt.

Ein solches Cybertesting Lab würde diverse Funktionen übernehmen. So könnte es den Quelltext von Produkten, falls verfügbar, überprüfen, nebst der Konfiguration und den Einstellungen. Daneben könnte eine Analyse von Software und Hardware durch Reverse Engineering erfolgen. Danach müssten die Resultate einer Risikobeurteilung unterzogen sowie die Kommunikation mit dem Auftraggeber und Hersteller in Form einer sogenannten «Coordinated Disclosure» koordiniert werden. Schliesslich würde das geplante Labor die Ergebnisse publizieren.

Dem Verband schwebt beim Testlabor schlussendlich eine Institution analog zum Chemielabor Spiez vor. «Als neutrale Nation mit einer stabilen Rechtsprechung und einer langen Tradition als Standort von internationalen Diensten, ist die Schweiz als Kompetenzzentrum und Betreiber eines unabhängigen Cybertesting Labs prädestiniert», heisst es im Whitepaper «Supply Chain Security» von ICT­switzerland.

Es tut sich also etwas in Sachen «Supply Chain Security», und zwar sowohl auf nationaler als auch auf kan­tonaler Ebene. So hat vor Kurzem der Kanton Zug die Einrichtung einer entsprechenden Prüfinstitution angekündigt, eingerahmt in weitere Bemühungen um ein Mehr an Cybersecurity.