Supply Chain Attack – Erklärung + 9 Schutz Strategien in 2022

Supply Chain Attack - Hacking Series Steffen Lippke

Was ist eine Supply Chain Attack?

Dieser Beitrag erklärt Dir den Begriff und 9 effektive Strategien, um Dich gegen die Bedrohung schützen zu können.

Starten wir!

Was ist eine Supply Chain Attack?

Solarwinds war betroffen -Suppy Chain Attack erklärt Hacking Series Steffen Lippke
Solarwinds war betroffen -Suppy Chain Attack erklärt Hacking Series Steffen Lippke

Ein Supply Chain Attack (deutsch: Lieferkettenangriff) ist die absichtliche Manipulation eines Prozesses in einer Lieferkette, damit der Endkunde und das verkaufende Unternehmen zu Schaden kommt.

Lieferkettenangriffe sind in jeder Software möglich, die das Unternehmen nicht selbst vollständig programmiert hat. Jede Software und Betriebssystem, welches nicht zu 100 % selbst programmiert (ohne Bibliotheken) ist, kann eine solche Gefahr beinhalten.

Supply Chain Angriffe passieren nicht nur in der IT, sondern auch z. B. in der Nahrungsmittelindustrie. Kriminelle fangen Kisten vom Schlachter ab und ersetzen diese mit verdorbenem Fleisch. Der Metzger verarbeitet das Fleisch zur Wurst und eine Pizzeria macht aus der Wust eine Pizza.

Erst der Endkonsument spürt die Auswirkungen und muss ins Krankenhaus bzw. muss eine Ransom zahlen.

Steffen Lippke

Wer ist betroffen von Supply Chain Attack?

Theoretisch könntest Du jede Software schreiben, aber in der Praxis sind alle Unternehmen und Privatpersonen von Supply Chain Angriffen betroffen. Wenn Du Closed-Source-Software nutzt, musst Du dem Hersteller blind vertrauen [oder diese sehr aufwendig analysieren]. Du kannst bei Open-Source-Software selbst überprüfen, welche Code Du nutzt. Gehackte Open Source Publisher bzw. Repos sind keine Seltenheit mehr.

Viele System-Admins vertrauen blind auf ein Microsoft-Zertifikat. Microsoft hat in der Vergangenheit häufiger einige zurückziehen müssen, weil Kriminelle diese erbeutet haben.

Microsoft Zertifikat -Suppy Chain Attack erklärt Hacking Series Steffen Lippke
Microsoft Zertifikat -Suppy Chain Attack erklärt Hacking Series Steffen Lippke

Warum sind Supply Chain Attack heute ein Thema?

Die Anzahl solcher Angriffe hat zu genommen. Die Gründe für dieses Problem sind folgende:

Bitcoin sicher bezahlen -Suppy Chain Attack erklärt Hacking Series Steffen Lippke
Bitcoin sicher bezahlen -Suppy Chain Attack erklärt Hacking Series Steffen Lippke
  • Sichere anonyme Bezahlungen mit Krypto-Währungen: Vor 2008 existierten Krypto-Währungen nicht, die eine anonyme Geldtransaktion ermöglichen. Der Hacker kann eine Bezahlung verlangen, ohne eine Rückverfolgung zu riskieren.
  • Organisiertes Verbrechen in größeren Gruppen: Die Digitalisierung schreitet fort. Lebenswichtige Bereiche sind digitalisiert, sodass Kriminelle empfindliche Punkte angreifen und Geld erpressen können. Das erpresste Geld nutzen Sie, um noch weiterzuwachsen.
  • Mehr Abhängigkeiten von anderer Software: Die Vielfalt an Tools und Software und halb-fertige Releases führen zu Schlupflöchern und Einfallstore für Kriminelle. Erweitere und warte lieber 1 Software-Paket als für jede kleine Aufgabe eine neue Software zu nutzen.
  • Schlecht geschulte Mitarbeiter: Wenn die Infrastruktur technisch Tipp-Top ist, dann versuchen Kriminelle über Social Engineering Angriffe ihre Opfer anzugreifen.

Schutz gegen Supply Chain Attack

Du kannst keine 100 % sicheren Schutz gegen solche Angriffe gewährleisten, aber einige Methoden und Maßnahmen, die ich in diesem Beitrag vorstelle, sichern ein Unternehmen sehr gut gegen diesen Typ des Angriffs ab.

Habe Dein Auge überall – SIEM / SOAR

Die ISO Norm 2700X sieht einen zentralen Ort vor, in dem alle Logs (Statusmeldungen zu Ereignissen auf allen Servern) zusammenlaufen.

Ein SIEM-Server kann kriminelles Verhalten erkennen. Dabei müssen die Kriminellen nicht ein bestimmtes Muster verfolgen, sondern neue System haben die Möglichkeit „ungewöhnliches Verhalten“ (Notables) zu erkennen.

Splunk SIEM Tutorial -Suppy Chain Attack erklärt Hacking Series Steffen Lippke
Splunk SIEM Tutorial -Suppy Chain Attack erklärt Hacking Series Steffen Lippke

Kriminelle sind fremde Personen und nutzen die Server und Dateiverzeichnisse nicht wie ein normaler Mitarbeiter. Sie versuchen sich in den Datenbeständen zu orientieren und die Kronjuwelen (Passwörter, Zertifikate, Netzwerkkarten) ausfindig zu machen.

Dieses Verhalten weicht häufig stark von dem Verhalten der Mitarbeiter ab, die sich meist innerhalb des gleichen Dateikreises hin und her bewegen.

Der Kanal der Übertragung für Updates ist entscheidend

Die Kommunikation mit dem Update-Server sollte nur über HTTPs oder FTPs erfolgen, weil sonst ein Dritter das Paket manipulieren könnte. Nutze die neuste Version TLS 1.3 und HTTP/3 garantiert eine schnelle Übertragung.

Eindeutigkeiten explizit nachweisen – Hashes

Ein Hash gleicht dem Fingerabdruck eines Menschen.

Die gleiche unveränderte Datei erkennst Du mit dem Hash. Viele Hersteller signieren die installierbare Datei mit einem Hash. Wenn ein Krimineller HTTPS knackt, kannst Du überprüfen, ob die Datei geändert wurde. Empfehlenswert sind Hash-Algorithmen mit einer 200+ Bit Ausgabe z. B. SHA3-256

Von Grund auf korrekte Infrastruktur – Zero Trust

Vertraue keinem und hinterfrage alles!

Jeder Server und jede Anwendung sollte immer verschlüsselt mit Partnern kommunizieren, welche vorher sich gegenseitig verifiziert haben. Eine unverschlüsselte Datenbank hinter einer Firewall ist kein Zero Trust.

Eine Zero Trust Infrastruktur brauch keine Firewall, weil alle Komponenten einzeln abgesichert sind. Du kannst bei keinem Anbieter „1x Zero Trust!“ kaufen, sondern musst selbst Deine gesamte Infrastruktur ummodellieren.

Nicht warten, sondern Sicherheitspatches patchen!

Nicht warten, sondern patchen!

Wenn ein Sicherheitsupdate verfügbar ist, soll diese eine automatische Routine einspielen.

Braucht ein Hochsicherheitsserver einen Patch, sollte dieser generell physisch vom Internet separiert sein, damit der Admin die Patches zu einem passenden Zeitpunkt installieren kann. Die Systemadministratoren sollten in wichtigen Mail-Listen eingetragen sein, sodass diese immer die aktuellsten Informationen zu Patches erhalten.

Die eine Hand wäscht die andere – Bündnisse

Andere Unternehmen aus ähnlichen Branchen nutzen ähnliche Software.

Falls diese ein Angriff bemerken oder selbst Opfer sind, können Sie diese wertvolle Information vertraulich in einem Cybersecurity-Bündnis weitergeben.

Die anderen Unternehmen können dann gezielt aufrüsten oder Services abschalten. Dein Unternehmen kann z. B. dem CERT-Bund beitreten oder einen eigenen Branchen-spezifischen Verein gründen.

Das System funktioniert nur, wenn jeder unmittelbar seine Erkenntnisse teilt.

Der Teufel steckt im Detail – Manuelle Reviews

Malware auf Github -Suppy Chain Attack erklärt Hacking Series Steffen Lippke
Malware auf Github -Suppy Chain Attack erklärt Hacking Series Steffen Lippke

Updaten sind schön, sollten aber von einer fachkundigen Person geprüft werden. Patchen wir jetzt eine Malware auf unseres System oder ein sinnvolles Update?

Nur Datensammeln ist nutzlos – Auswertungen

Ein SIEM bringt nichts, wenn das System nur die Daten sammelt.

Die Alarme müssen aktiv sein und die regelmäßigen Suchen müssen regelmäßig laufen.

Ein fachkundiger Spezialist aus dem Security Operation Center sollte 24 / 7 das SIEM überwachen. Bei einem Alarm kann dieser Maßnahmen ergreifen, um vorerst das Schlimmste zu verhindern. Die Aufarbeitung eines Vorfalls kann tagsüber das SoC-Tem erledigen.

Kleine Unternehmen sind angeraten ihre Services in die Cloud zu migrieren. Die Kosten für ein professionelles SoC teilen sich viele kleine Unternehmen.

Diesen Aspekt überlesen die meisten – Multi-Faktor

Nutze eine Zwei-Faktor-Authentifizierung, um alle Services abzusichern.

2FA is King -Suppy Chain Attack erklärt Hacking Series Steffen Lippke
2FA is King -Suppy Chain Attack erklärt Hacking Series Steffen Lippke

Phishing bedrohen Passwörter erst nicht seit gestern, sondern sind ein großes Problem, welches einen Milliarden-großen Schaden jedes Jahr verursacht. Schütze Deine Systeme, indem Du eine 2-Faktor-Authentifizierung aktivierst oder eine Identity Provider als Proxy davor schaltest.

Die meisten Identity Provider können eine Anwendung einfach mit einer 2-Faktor-Authentifizierung aufrüsten.

Du kannst z. B. den Microsoft oder Google Authenticator verwenden, um die Tokens auf Deinem Smartphone zu speichern.


Danke fürs Lesen! Erhalte weitere Tutorials in meinem kostenlosen Newsletter.
Jeden Monat teile ich mit Dir 4 neue praxisnahe Tutorials.
Trage Deine Mail zum kostenlosen Empfang des Newsletters* ein.




Quellenangabe Bilder: Icons und SVG-Grafiken im Titelbild von Microsoft PowerPoint 2019, frei verfügbar nach EULA
*) Mit dem Abonnement des Newsletters erklären Sie sich mit der Analyse des Newsletters durch individuelle Messung, Speicherung und Analyse von Öffnungsraten und der Klickraten in Profilen zu Zwecken der Gestaltung künftig besserer Newsletter einverstanden. Sie können die Einwilligung in den Empfang des Newsletters und die Messung mit Wirkung für die Zukunft widerrufen. Mehr in der Datenschutzerklärung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.


Jeden Monat teile ich mit den Mitgliedern
4 neue praxisnahe ausführliche Tutorials (je 1000+ Wörter).


Trage Deine Mail, damit Du
Deine Coding + Hacking Skills erweitern kannst!

Die Website nutzt nur technisch notwendige Cookies.