Mobile Navigation
  • Im Fokus
    • Fokusthemen

      Cyber-Security-Risiko evaluieren

      Data Act | Pflichten, Chancen, Compliance

      DORA Beratung | Implementierung

      NIS2 Beratung | Implementierung

      Regulatorik Radar

    • T+1: Verkürzte Abwicklungszeiten

      Mit Prozesseffizienz meister – sind Sie bereit, Ihre Settlement-Prozesse auf den Prüfstand zu stellen?
      Mehr lesen

  • Portfolio
    • Consulting

      Financial Services

      • Zahlungsverkehr und Liquiditätsmanagement
      • Regulatorik
      • Sustainable Finance
      • Wertpapiergeschäft

      Processes & Data

      • Geschäftsprozessmanagement
      • Prozessautomatisierung

      Professional Services

      • Agile Consulting
      • Product Lifecycle Management
      • Projektmanagement
      • Vernetztes Projektterminmanagement

      Governance, Risk & Compliance

      • Business Continuity Management
      • Identity Access Management
      • Informationssicherheit
      • Datenschutz

      IT Security

      • Pentest
      • Social Engineering
      • Schatten-IT

      Sustainability

      • Sustainable Finance
      • ESG-Risikomanagement
      • Lieferkettengesetz
      • ESG-Datenmanagement
      • ESG-Tool-Beratung

      Solution Engineering

      • Software Engineering
      • Requirements Management
      • Anwendungsintegration
      • Test und Qualitätssicherung
      • Virtualisierung Consulting

      Atlassian & Service Management

      • Atlassian Beratung
      • Atlassian Apps
    • Solutions

      Atlassian Apps

      PINQ Case Management

      • PINQ Charges
      • PINQ Exceptions & Investigations

      Regulatorik-Radar

  • Über uns
    • Wer wir sind

      Über syracom

      Daten und Fakten

      Management

      Unternehmenskultur

      Consileon-Gruppe

      Kunden

      Standorte

    • Verantwortung

      Nachhaltigkeit

      CO2-Neutral

      Corporate Governance

      Soziales Engagement

  • Karriere
    • Dein Start bei uns

      syracom als Arbeitgeber

      Stellenangebote

      Benefits

      Schüler

      Studenten

      Berufseinsteiger

      Berufserfahrene

    • #codeorange: Deine Zukunft in einer neuen Farbe.

      Du suchst einen Job? Hier findest du ein ganzes Team.
      Jetzt bewerben

  • News
    • News und Trends

      News

      Presse

      Events

      Publikationen

    • Insights

      BLOG

      • life@syracom
      • Financial Services
      • Solution Engineering
      • Sustainibility
      • IT Security
      • Prozesse & Daten
      • Atlassian Solution
  • Navigation
  • Im Fokus
    • Cyber-Security-Risiko evaluieren
    • Data Act | Pflichten, Chancen, Compliance
    • DORA Beratung | Implementierung
    • NIS2 Beratung | Implementierung
    • Regulatorik Radar
  • Portfolio
    • Financial Services
      • Zahlungsverkehr und Liquiditätsmanagement
      • Regulatorik
      • Sustainable Finance
      • Wertpapiergeschäft
    • Processes & Data
      • Geschäftsprozessmanagement
      • Prozessautomatisierung
    • Professional Services
      • Agile Consulting
      • Product Lifecycle Management
      • Projektmanagement
      • Vernetztes Projektterminmanagement
    • Governance, Risk & Compliance
      • Business Continuity Management
      • Identity Access Management
      • Informationssicherheit
      • Datenschutz
    • IT Security
      • Pentest
      • Social Engineering
      • Schatten-IT
    • Sustainability
      • Sustainable Finance
      • ESG-Risikomanagement
      • Lieferkettengesetz
      • ESG-Datenmanagement
      • ESG-Tool-Beratung
    • Solution Engineering
      • Software Engineering
      • Requirements Management
      • Anwendungsintegration
      • Test und Qualitätssicherung
      • Virtualisierung Consulting
    • Atlassian & Service Management
      • Atlassian Beratung
      • Atlassian Apps
    • Atlassian Apps
    • PINQ Case Management
      • PINQ Charges
      • PINQ Exceptions & Investigations
    • Regulatorik-Radar
  • Über uns
    • Über syracom
    • Daten und Fakten
    • Management
    • Unternehmenskultur
    • Consileon-Gruppe
    • Kunden
    • Standorte
    • Nachhaltigkeit
    • CO2-Neutral
    • Corporate Governance
    • Soziales Engagement
  • Karriere
    • syracom als Arbeitgeber
    • Stellenangebote
    • Benefits
    • Schüler
    • Studenten
    • Berufseinsteiger
    • Berufserfahrene
  • News
    • News
    • Presse
    • Events
    • Publikationen
    • BLOG
      • life@syracom
      • Financial Services
      • Solution Engineering
      • Sustainibility
      • IT Security
      • Prozesse & Daten
      • Atlassian Solution
DE
  • DE
  • EN
  • Home
  • News
  • Insights
  • BLOG
  • IT Security
  • Supply Chain Attacks – Einbruch in die Software-Lieferkette

Supply Chain Attacks – Einbruch in die Software-Lieferkette

25.Oct.2022 IT Security Team IT Security
Supply Chain Attacks – Einbruch in die Software-Lieferkette

Das Software-Updates über Nacht zu einem Riesenproblem und Kopfzerbrechen bei den IT-Sicherheitsexperten sorgen können zeigt nun auch der Hacker-Angriff auf die Entwicklerplattform GitHub. Die jüngste Attacke auf eine Software-Lieferkette könnte 83 Millionen Entwickler beeinflussen.

Das Problem mit den Updates und der etwas andere Fall GitHub

Software-Updates zählen zum Alltag eines jeden Mitarbeitenden. Eine plötzliche Ankündigung der IT-Abteilung und die Updates werden entweder innerhalb weniger Minuten oder über Nacht durchgeführt. Insbesondere während Pandemiezeiten erfordert es ein hohes Level an IT-Support und Ressourcen. Aktualisierungen von Soft- und Hardware gelten schlichtweg als wichtiges Mittel zur Verbesserung der Funktionalität und der Datensicherheit. Genau dort setzen Angreifer, die es auf die Software-Lieferkette abgesehen haben, oftmals an. Aber auch abseits von Updates der Soft- und Hardware kann eine Attacke auf die Lieferkette stattfinden.

GitHub, ein US-amerikanisches Unternehmen, bietet einen netzbasierten Dienst zur Versionsverwaltung für Software-Entwicklungsprojekte. Mittlerweile zählt das Unternehmen 83 Millionen Entwickler, die auf der Plattform aktiv sind. Der Angreifer der mehr als 35.000 GitHub-Speicherorte (Repositories) klonte und bösartigen Code beifügte, brachte den Nutzern eine Menge Ärger ein. Die geklonten Projekte versuchten die Benutzer zum Anklicken zu verleiten, indem sie echte Benutzerkonten vortäuschten. Damit konnten umfangreiche Informationen über die Umgebung der Entwickler und ihre Projekte gesammelt, aber auch zusätzliche Malware über Drittanbieterseiten heruntergeladen werden. Durch die zahlreiche Nutzung der Software-Entwicklungsplattform, könnten auch große Software-Unternehmen Opfer des Angriffs werden.

Supply Chain Attacks – Lieferketten als ideale Einstiegspunkte für den Hacker

Wie kann also ein Vorfall dieses Umfangs ausgelöst werden? Die kurze und einfache Antwort ist Supply Chain Attacks. Bei diesem Angriff wird nicht jedes Unternehmen einzeln angegriffen, sondern das Ziel ist eine komplette Software-Lieferkette. Hacker versuchen dabei, einzelne Schwachstellen in Produkten von Drittanbietern zu identifizieren und nutzen diese aus, um bösartigen Code zu platzieren. Beispielsweise ein einfaches Software-Update schleust die manipulierte Software in das Netzwerk der Kunden ein und breitet sich dort aus, bis es zum eigentlichen Ziel gelangt. Auch bei GitHub konnte ein ähnlicher Vorfall beobachtet werden: Dabei diente GitHub als Schwachstelle der Software-Lieferkette für andere Unternehmen. Mithilfe der manipulierten Repositories können Angreifer in die Entwicklungssoftware der Unternehmen eindringen und Schadsoftware einschleusen.

Die Attraktivität von Supply Chain Attacks ist für die Angreifer besonders hoch. Selbst vorhandene Virenschutz-Programme und SoftwareBuildTools identifizieren diese Hacks mit hoher Wahrscheinlichkeit nicht. Der Aufwand für den Angreifer ist bei der Attacke recht gering, sodass lediglich die gesamte Lieferkette genau beobachtet und anschließend auf Schwachstellen abgesucht werden muss. Die Angriffsmöglichkeiten sind dabei umfangreich: So nutzen viele Softwareprodukte externe Bibliotheken und Dienste zur Versionsverwaltung wie GitHub, sind über diverse Downloadserver verfügbar oder basieren auf Open Source Code. Auch Social Engineering ist als Einstiegspunkt denkbar.

Doch GitHub ist nicht das einzige prominente Beispiel. Im Jahr 2017 gelang es Hackern, in den Download der häufig eingesetzten Optimierungssoftware CCleaner, Malware zu injizieren. Bis Sicherheitsforscher die manipulierte Software erkannten, war sie bereits über 2 Millionen Mal heruntergeladen worden. Ein ähnlicher Fall ereignete sich auch vergangenes Jahr: SolarWinds, ebenfalls ein US-amerikanisches Unternehmen, bietet mit seiner Software „Orion“ eine praktikable Lösung zur Verwaltung von Netzwerken an. Ein vermeintlich routinemäßiges Update brachte den Netzwerken zahlreicher Behörden und Unternehmen wie Microsoft, Intel und Cisco eine Menge Ärger ein. Hackern gelang es durch ihren Angriff Schadsoftware bei 18.000 Kunden zu installieren – darunter auch das Pentagon.

So können sich Unternehmen vor Supply Chain Attack schützen

Supply Chain Attacks werden durch ihre hohe Effektivität immer häufiger und beliebter. Die Zahl der Betroffenen kann sich je nach Ziel schnell in die Millionen skalieren und nicht nur Reputationsverluste bewirken, sondern auch enorme Kosten nach sich ziehen. Laut statista entstand der deutschen Wirtschaft im Jahr 2022 ein Schaden von 203 Milliarden Euro durch Datendiebstahl, Sabotage oder Spionage. Dabei gaben 84% der Unternehmen an, davon betroffen zu sein.

Was kann ich als Unternehmen also dagegen tun? Der Schutz vor derartigen Attacken muss durch die regelmäßige Überprüfung der gesamten Lieferkette auf ihre Cyber Resilience sichergestellt werden. Dabei ist eine ganzheitliche Betrachtung ein essenzieller Schritt, um die Nachhaltigkeit der IT-Sicherheit im Unternehmen zu gewährleisten. Es gibt dabei eine Reihe von Methoden, die eingesetzt werden können: Dies beginnt beim Aufbau eines Identity and Access Managements, um die Rechtevergabe der Mitarbeiter und Partner effektiv und sicher zu verwalten. Ein weiterer wichtiger Baustein kann ein automatisierter, regelmäßig durchgeführter Penetrationstest sein, um den Status-Quo technisch zu prüfen und Schwachstellen zu detektieren. Der Aufbau eines Informationssicherheitsmanagementsystems (ISMS), hilft beim Identifizieren und Kontrollieren der Lieferanten. Weiterhin werden im Rahmen des Aufbaus eines ISMS, Risikokriterien in der Lieferkette definiert die anschließend bewertet und überwacht werden können. Auch ein IT-Security Check ermöglicht die schnelle Identifikation und Bearbeitung von Handlungsbedarfen entlang der Lieferkette. Ein Notfallplan bzw. Bedrohungsmodell sollte im Fall der Fälle umgesetzt sein, sodass bei einer Kompromittierung des Systems die richtigen Maßnahmen ergriffen werden können. Schlussendlich helfen auch Methoden, die zur Awareness aller Mitarbeiter beitragen wie beispielsweise Schulungen oder Phishing-Simulationen. So kann ein schnelles Detektieren von Angriffen und ein sicherheitsbewusstes Handeln garantiert und in der Praxis gelebt werden.

Werden Sie daher heute noch aktiv und sprechen Sie uns an it-security(at)syracom.de.


Quellen

How Russia Used SolarWinds To Hack Microsoft, Intel, Pentagon, Other Networks : NPR
SolarWinds: What are Supply Chain Attacks, and How to Avoid Them (datacenterknowledge.com)
Supply Chain-Angriffe - Windows security | Microsoft Docs
Supply Chain: Angriffe als IT-Security Trend 2021 - datensicherheit.de
SolarWinds Describes Attackers' 'Malicious Code Injection' (databreachtoday.com)
SolarWinds-Hack: USA beschuldigen offiziell Hacker des russischen Geheimdiensts - silicon.de
FireEye etc.: Trojaner in SolarWinds-Updates ermöglicht Cyberangriffe | heise online
https://www.theverge.com/2017/9/18/16325202/ccleaner-hack-malware-security
Researchers say enterprise password manager hit in supply chain attack | SC Media (scmagazine.com)
'Raindrop' Is Latest Malware Tied to SolarWinds Hack (databreachtoday.com)
Password Manager Compromised In Supply Chain Attack - My TechDecisions

Dieser Blogpost wurde bisher 3579 mal aufgrufen.

Blogpost teilen

Zurück zur Übersicht

INSIGHTS!

Aktuelle Themen frisch aus dem Kopf. Wir freuen uns diese mit Ihnen zu teilen und zu diskutieren.

Kategorie:

  • Atlassian Solution
  • Financial Services
  • IT Security
  • life@syracom
  • Prozesse & Daten
  • Solution Engineering
  • Sustainibility

Autor:

  • Carsten Gross
  • Hendrik Kurz
  • IT Security Team
  • Manfred Freitag
  • Marketing Team
  • Matthias Kunz
  • Oliver Tornow
  • Philip Tauschek
  • Philipp Kramer
  • Springfluencer
  • Tom Acker

syracom AG
Otto-von-Guericke-Ring 15
65205 Wiesbaden

+49 6122 9176 0 info@syracom.de

SitemapDatenschutzGender-HinweisImpressumCookie Einstellungen