Digitales Risiko 2018

In der Supply Chain steckt der Wurm

08.03.2018 von Daniel Voss
2017 markierte den bisherigen Höhepunkt in puncto Cyberkriminalität. Mit Spectre & Meltdown, neuen Bitcoin-Diebeszügen in Millionenhöhe und dem Verschlüsselungstrojaner Rapid dreht sich das IT-Sicherheits-Karussell munter weiter. Für gezielte Gegenmaßnahmen sollten Unternehmen daher wissen, wo sie angreifbar sind.

Ein Blick auf cyberkriminelle Aktivitäten des vergangenen Jahres lässt ahnen was auf die Unternehmen in den nächsten Monaten zukommt. In Zeiten von IoT, SaaS und Cloudrückt insbesondere die Supply Chain als Unsicherheitsfaktor in den Fokus der Angreifer. Denn gelingt der Hackerangriff nicht direkt, wird auch gerne ein Umweg über das Partnernetzwerk genommen.

Wurmfähige Malware, wie WannaCry, ist besonders gefährlich.
Foto: wk1003mike - shutterstock.com

Supply Chain im Visier

Beispiele dafür gab es im letzten Jahr genug: Der Erpressungstrojaner NotPetya würde über ein Update der ukrainischen Steuersoftware MeDoc verbreitet, die dort fast schon standardmäßig zur Steuererklärung genutzt wird. ShadowPad schlich sich über die Hintertür einer Server-Management-Software des Anbieters NetSarang in Unternehmensnetzwerke, während das beliebte und kostenlose Systemreinigungs-Tool CCleaner Malware enthielt und mehr als zwei Millionen Rechner infizierte. Managed-Service-Anbietern (MSPs) dienten als Einfallstor der Angriffskampagne Operation Cloud Hopper, die systematisch Unternehmen in 14 Ländern zum Ziel hatte.

Lieferanten sind attraktive Einstiegsziele, da sie entweder privilegierte Zugänge zu Kundennetzwerken haben oder ihren Kunden regelmäßig Software-Updates bereitstellen. Infolgedessen werden kompromittierte Softwareversionen von den Sicherheitsfachleuten und -systemen der Kunden fast schon automatisch auf die Whitelist gesetzt oder schlichtweg übersehen.

Lesetipp: 15 Tricks gegen Cyberkriminelle - So halten Sie Hacker ab

Wurmfähige Malware

2017 sah eine ganze Reihe neuer und besonders gefährlicher Schadprogramme: die wurmfähige und damit selbstreplizierende Malware, die sich - einmal eingeschleust - über ganze Netzwerke ausbreiten kann. WannaCry ist hier das bekannteste Beispiel, aber auch die Ransomware Bad Rabbit scheint in der Lage zu sein über eine Kombination aus Windows Management Instrumentation (WMI) und dem SMB-Protokoll (Server Message Block) Rechner zu infizieren.

Aufgrund der hohen Medienwirksamkeit von Wanna Cry und NotPetya sowie dem Bekanntwerden betroffener Unternehmen wie die Deutsche Bahn mit der Logistiktochter Schenker, ist es wahrscheinlich, dass diese Art von Malware auch 2018 Nachahmer finden wird.

Der Trend zu Supply-Chain-Angriffen und wurmfähiger Malware verdeutlicht aus welcher Richtung, zukünftige Angriffe zu erwarten sind. Damit können Unternehmen ihre IT-Sicherheitsvorkehrungen wirksam bündeln und sich auf Angriffspunkte fokussieren. Dazu empfehlen sich fünf Maßnahmen:

1. Verpflichtende Standards:Lieferanten, Partner und Dritte gelten häufig als attraktive Einstiegspunkte für Angreifer, da sie eventuell keine angemessenen Sicherheitsvorkehrungen haben. Umso notwendiger sind detaillierte Richtlinien im Rahmen desLieferantenmanagements, in denen alle Teilnehmer klassifiziert und geeignete Kontrollen festgeschrieben sind, die den Zugang zu sensiblen Daten und wichtigen Systemen regeln. Diese Sicherheitsmaßnahmen gilt es kontinuierlich zur überprüfen und über alle Glieder der Supply Chain hinweg durchzusetzen.

2. Identitäts- und Accessmanagement: Lieferanten erhalten oft einen viel breiteren Zugang zu Unternehmensnetzwerken als interne Benutzer. In vielen Fällen ist das weder sinnvoll noch tatsächlich notwendig.

3. Schwachstellen beheben: Es kann nicht oft genug wiederholt werden: Patches und Updates für Anwendungen sind zentraler Kern einer jeder IT-Verteidigungsstrategie. Wer darauf verzichtet, öffnet Angreifer Haus und Hof. Patches können Malware unmittelbar einen Riegel vorschieben, wie etwa das Microsoft Patch, das den Exploit von SMB-Netzwerkdiensten für laterale Bewegungen innerhalb von Zielnetzwerken verhindert. Indem nicht benötigte Legacy-Funktionen deaktiviert werden, lässt sich zudem generell das digitale Risiko reduzieren.

Lesetipp: Supply Chain Finance - Alternative Formen der Finanzierung

4. Kommunikation einschränken: Durch Netzwerkisolierung, die Segmentierung sowie die Einschränkung der Kommunikation zwischen Arbeitsplätzen lassen sich Abläufe innerhalb der Supply Chain von anderen, internen Datenströmen trennen. Dadurch lassen sich Angriffe, die sich wie WannaCry und NotPetya über ganze Netzwerke automatisch ausbreiten, wirkungsvoll unterbinden.

5. Daten verstehen und sichern: Daten sind nicht gleich Daten und brauchen daher nicht über ein gleiches Maß an Sicherheit verfügen. Vielmehr sollten sie nach ihrem geschäftsentscheidenden Wert für das Unternehmen kategorisiert werden. Netzwerke für verschiedene geschäftliche Funktionen sollten demnach physisch oder logisch getrennt sein. Kritische Systeme und Daten sind - trotzt aller Sicherheitsbedenken - in vielen Fällen oft besser in der Cloud aufgehoben. Alternativ lassen sich auch physische Backups einsetzen, deren Integrität kontinuierlich zu überprüfen ist. Dabei sollten sich die Backups fernab der zu sichernden Netzwerken und Maschinen befinden.

Auch Cyberkriminelle evaluieren ihre Ziele und entwickeln Taktiken, Techniken und Prozeduren (TTP) weiter. Gerade hinsichtlich der Supply Chain reicht es längst nicht mehr aus das World Wide Web, das Deep Web und das Dark Web auf mögliche Nennungen des eigenen Unternehmensnamen zu beobachten, sondern auch hinsichtlich Lieferanten und Partner. Je zielgerichteter Unternehmen hier vorgehen, desto besser lassen sich für ausgemachte Geschäftsbereiche wirksame Gegenmaßnahmen treffen, die es erlauben die digitalen Risiken in den Griff zu bekommen.