Angriff über die Lieferketten
Suche nach dem schwächsten Glied
Datenlecks sind aber nur ein Aspekt bei Supply-Chain-Attacken. Oft wird das Netz des Partners als Zugangsmöglichkeit in die eigene IT missbraucht. Den Grund nennt Biolley: «Kanäle, die einem zuliefernden Betrieb auf ein Netzwerk vorbehalten sind, sind oftmals weniger abgesichert und werden meist nur durch ein klassisches Monitoring überwacht.»
Allerdings greift es zu kurz, nur nach dem schwächsten Glied in der Kette zu fahnden. «In der Supply Chain Security muss jeder einzelne Punkt der Lieferkette als mög-licher Angriffspunkt verstanden werden – nicht nur der schwächste», gibt diesbezüglich Thomas Uhlemann, Security Specialist für die DACH-Region beim IT-Security-Spezialisten Eset, zu bedenken. «Angreifer attackieren selten ein Gesamtsystem, sondern gehen eher den Weg des geringsten Widerstands», doppelt er nach.
“Je grösser das Netzwerk von Lieferanten und Partnern, desto grösser sind Supply-Chain-basierte Cyberrisiken„
Umberto Annino, InfoGuard
Schliesslich können Cybervorfälle bei Dritten schwerwiegende Folgen haben, selbst dann, wenn die Hacker nicht direkt ins eigene Unternehmen einbrechen. «Wenn es bei einem Lieferanten zu einem Sicherheitsvorfall, zu Verzögerungen oder zu Ausfällen kommt, können die Auswir-kungen auf die eigenen Prozesse oder die Infrastruktur schwerwiegend sein», meint daher Annino von InfoGuard. Dies könne zu erheblichen finanziellen Verlusten, Reputationsschäden oder auch zu rechtlichen Konsequenzen führen, fügt er an.
Die Situation verschärft sich zudem durch die vielerorts praktizierte Just-in-time-Produktionsweise. Diese eröffne Cyberkriminellen ein neues Druckmittel, meint Biolley von Kaspersky. «Dadurch, dass die Produktion zeitkritisch ist, müssen Unternehmen einen reibungslosen Ablauf gewährleisten», meint er. Angreifer könnten daher diesen Umstand ausnutzen und die zeitliche Relevanz für sich einsetzen. «Insbesondere bei Ransomware ist das ein Problem, weil hier Erpressung im Spiel ist. Wird die Produktion lahmgelegt, kann ein Unternehmen nicht fristgerecht liefern – das kann wiederum zu finanziellen Verlusten führen, da die Auftraggeber Schadensersatz geltend machen könnten, sowie einen herben Reputationsverlust nach sich ziehen», schildert Biolley ein typisches Szenario.