Via Software-Update ins Firmennetz: Cyberkriminelle versuchen, über manipulierte Anwendungen von Drittherstellern in gut gesicherte Firmennetze einzudringen. Oder nutzen Lücken in Komponenten wie bei «Log4Shell». Dieser Angriffsvektor über die Supply Chain stellt IT-Sicherheitsverantwortliche vor neue Herausforderungen.
Text: Andreas Heer, Bilder: AdobeStock,
Im Dezember 2020 wurde über Nacht einer breiten Öffentlichkeit bekannt, dass Cyberkriminelle die IT-Infrastruktur von Organisationen nicht nur direkt angreifen. Sondern auch über die von Organisationen eingesetzte Software. Mutmasslich staatlich unterstützten Akteuren war es gelungen, eine Hintertür in die Netzwerkmanagement-Software SolarWinds Orion einzubauen. Das kompromittierte und von der Herstellerin signierte Update wurde anschliessend an rund 18’000 Organisationen verteilt, auf deren Infrastruktur die Cyberkriminellen nun einfacher Zugriff hatten. Dieser «Sunburst» betitelten Attacke kommt die zweifelhafte Ehre zu, nicht nur einer der raffiniertesten und gravierendsten Cyberangriffe zu sein. Sondern auch der bis anhin vermutlich grösste auf die Software-Zulieferkette.
Doch schlimmer geht es immer. Kaum hatte sich die IT-Security-Welt von diesem Schock erholt, machte eine kleine Java-Bibliothek von sich reden. «Log4j» speichert nicht nur Logdateien von Anwendungen. Sondern führte im Dezember 2021 auch beliebigen Programmcode von einem entfernten System aus. Hierzu reichte es, dass eine Applikation beim Aufruf einen einfach zu konstruierenden URL-String an Log4j übergab. Die Kritikalität dieser RCE-Lücke (Remote Code Execution) erhielt entsprechend die Höchstnote 10. Die Lücke selbst machte als «Log4Shell» die Runde und wurde bereits kurz nach Bekanntwerden aktiv ausgenutzt.
Doch damit nicht genug. Weil die Bibliothek in Anwendungen integriert ist, mussten Unternehmen zuerst herausfinden, ob sie selbst betroffen waren. Rund um den Globus begann eine fieberhafte Suche nach Applikationen, die Log4j nutzen. Erst dann konnte das Update eingespielt werden, das die Lücke stopfte.
Kompromittierte Software aus vertrauenswürdigen Quellen, Lücken in Software-Bibliotheken, dazu fehlende Transparenz über die effektiv eingesetzten Bibliotheken und Frameworks: Die Software Supply Chain entpuppt sich als Achillesferse in einer ansonsten gut geschützten IT-Infrastruktur. Und die Gefahr ist alles andere als vorbei: Anfangs 2022 wurde eine Lücke im «Spring»-Framework entdeckt, das von vielen Java-Applikationen verwendet wird. Fortsetzung folgt garantiert.
Supply-Chain-Attacken gehören gemäss Swisscom Cybersecurity Threat Radar zu den Trends, die IT-Sicherheitsverantwortliche genauer beobachten sollten. Oliver Jäschke, Security Governance Manager bei Swisscom, schätzt im Interview die Situation ein.
Oliver Jäschke, welchen Stellenwert haben Supply-Chain-Attacken in der IT-Sicherheit, etwa im Vergleich zu den häufigen Ransomware-Angriffen?
Supply-Chain-Attacken, also Angriffe auf die Lieferobjekte, sind im Vergleich immer noch rar. Denn sie gehen nicht so in die Breite, wie man das heute bei den Ransomware-Angriffen sieht. Aber die Entdeckung ist viel schwieriger, da die Änderungen in den Lieferobjekten über berechtigte Benutzer erfolgen und damit vielfach nicht auffallen. Hierzu bräuchte es im Entwicklungsprozess weitere Massnahmen, die über das Vieraugen-Prinzip hinausgehen.
Trotzdem haben Supply-Chain-Attacken viel Aufmerksamkeit erhalten. Was ist denn die Problematik daran?
Attacken innerhalb der Supply Chain sind sehr schwierig zu entdecken. Man vertraut seinem Lieferanten, dass er die Sicherheit im Griff hat. Schliesslich bezieht man ein Produkt, für das in der Regel bezahlt wird. Implizit wird damit auch Security gekauft.
Vielfach wird ausser Acht gelassen, dass der Lieferant weitere Lieferanten für Teilkomponenten hat oder auch FOSS (Freie und Open Source Software) einsetzt. Spätestens hier ist die Nachvollziehbarkeit sehr schwierig.
Wie können Unternehmen auf diese Situation reagieren?
Natürlich müssen Unternehmen Security-Massnahmen umsetzen. Zudem können sie verlangen, dass Lieferobjekte mit gewissen Security-Checks geprüft sind. Darüber hinaus ist im Moment das Thema SBOM sehr aktuell. Eine solche Software Bill of Materials, also eine Art Stückliste der verwendeten Software-Komponenten, verhindert Angriffe auf die Supply Chain nicht per se. Sie erlaubt es aber, sehr schnell Produkte mit den entsprechenden Schwachstellen zu identifizieren und Massnahmen zu ergreifen. Log4Shell wäre für die Unternehmen einfacher zu bewältigen gewesen, wenn über eine SBOM jeder Lieferant ausgewiesen hätte, dass er eben diese spezifische Komponente nutzt.
Newsletter
Möchten Sie regelmässig spannende Artikel und Whitepaper zu aktuellen ICT-Themen erhalten?
Andere Leser interessierte auch: