Lehren aus den jüngsten Sicherheitsverletzungen in der Lieferkette

27. Juli 2023

Uber, LastPass, DoorDash und andere Unternehmen sind Berichten zufolge kürzlich von einer Sicherheitsverletzung bei einem Lieferanten betroffen gewesen, die zu negativer Publicity für diese Unternehmen geführt hat. Sie sind bei weitem nicht die Einzigen – in einer kürzlich durchgeführten BlueVoyant-Umfrage gaben 98 % der befragten Führungskräfte an, dass ihr Unternehmen von einer Sicherheitsverletzung in ihrer Lieferkette negativ betroffen war. Im Folgenden erfahren Sie, was Sie über die jüngsten Angriffe wissen sollten und wie Sie Ihr Unternehmen besser schützen können.

Ein Angriff auf die Lieferkette kann für jedes Unternehmen eine Vielzahl von Auswirkungen haben. Digitale Lieferketten bestehen aus Anbietern, Lieferanten und anderen Drittparteien, die Zugang zum Netzwerk haben. Unternehmen sind nur so sicher wie ihre schwächste Drittpartei, und wenn diese Schwachstelle von Cyberkriminellen ausgenutzt wird, kann dies leider einen Dominoeffekt von Sicherheitsrisiken mit langfristigen negativen Auswirkungen auf die Finanzen des Unternehmens, den Ruf, das Wohlergehen der Mitarbeiter und die persönlichen Daten der Kunden auslösen.

Werfen wir einen Blick auf Uber – die jüngste Sicherheitsverletzung, die so genannten „UberLeaks“, hat angeblich eine große Menge an Unternehmensdaten offengelegt, darunter Informationen über IT-Anlagen und mehr als 70.000 E-Mail-Adressen von Mitarbeitern. Berichten zufolge wurden keine Kundendaten gestohlen

Angriffe wie dieser öffnen Tür und Tor für gezielte Spear-Phishing-Kampagnen, bei denen die durchgesickerten Informationen genutzt werden, um sehr glaubwürdige gezielte E-Mails und Texte zu versenden. Ziel dieser Nachrichten ist es, Anmeldedaten, Geld oder andere sensible Informationen zu stehlen. Phishing dieser Art setzt Uber und andere Unternehmen, die in ähnlicher Weise betroffen sind, sowie deren Mitarbeiter und Interessengruppen einem größeren Risiko aus.

Der jüngste Angriff erfolgte nur wenige Monate, nachdem sich Lapsus$ Berichten zufolge Zugang zum internen Netzwerk des Unternehmens verschafft hatte, was das Potenzial hat, das Vertrauen der Beteiligten und Kunden zu untergraben. Nach den Erkenntnissen von BlueVoyant handelt es sich bei Lapsus$ um eine finanziell motivierte Gruppe von Cyberkriminellen, die sich zu den gemeldeten Angriffen auf Okta, NVIDIA, Samsung und andere Unternehmen bekannte.

Bei diesem Angriff nutzten die Angreifer Social Engineering, um die Multi-Faktor-Authentifizierung (MFA) zu umgehen. MFA verwendet mehrere Informationen, um auf ein Konto oder System zuzugreifen, z. B. ein Passwort und einen Code aus einer App. Sie erhöht die Cybersicherheit, wurde aber Berichten zufolge kürzlich für Angriffe auf Uber und Rockstar Games verwendet.

Der Stand der Sicherheit in der Lieferkette

BlueVoyant befragte kürzlich mehr als 2.000 Führungskräfte auf globaler Ebene zum Thema Cybersicherheit in der Lieferkette und stellte fest, dass Unternehmen immer noch Schwierigkeiten haben, negative Auswirkungen von Anbietern und Zulieferern zu überwachen und zu verhindern. Achtundneunzig Prozent der befragten Unternehmen gaben an, dass sie schon einmal von einer Verletzung der Cybersicherheit in ihrer Lieferkette betroffen waren, ein leichter Anstieg gegenüber 97 % der Befragten im letzten Jahr. Ein Grund dafür könnte sein, dass 40 % der Befragten sich darauf verlassen, dass der Drittanbieter oder Lieferant für angemessene Sicherheit sorgt, was sie anfällig für Sicherheitsverletzungen machen kann.

Outsourcing ist eines der am schnellsten wachsenden Sicherheitsrisiken für die sensiblen Daten eines Unternehmens, doch nur wenige verfügen über die internen Ressourcen und das Fachwissen, um die mit Drittanbietern verbundenen Cyberrisiken effektiv zu erkennen und zu überwachen.

Verringerung des Risikos in der Lieferkette

Ressourcenbeschränkungen sind oft ein Haupthindernis, das Unternehmen daran hindert, eine angemessene Transparenz der Lieferkette zu gewährleisten. Unternehmen haben manchmal Schwierigkeiten, ihre Zulieferer kontinuierlich zu überwachen, wenn überhaupt, was bedeutet, dass Schwachstellen nicht so effektiv erkannt und behoben werden können.

Wenn Unternehmen keine Cybersicherheitsspezialisten oder einen ähnlichen externen Dienst beschäftigen, haben sie möglicherweise mit einem Mangel an Fachwissen im Bereich des Cyber-Risikomanagements zu kämpfen, was bedeutet, dass die Unternehmen mit zunehmender Größe ihrer Lieferketten Lücken in der Sorgfaltspflicht aufweisen. Ein echter und zuverlässiger Einblick in die Lieferkette kann nicht durch Ad-hoc-Bewertungen erreicht werden, die bei grundlegenden Compliance-Maßnahmen erforderlich sind.

Um das Risiko in der Lieferkette zu verstehen, ist es wichtig, zunächst die Lieferanten zu kennen. Machen Sie sich klar, welche von ihnen Netzwerkzugang haben und auf welche Systeme. Machen Sie sich auch klar, welche Lieferanten für die Geschäftskontinuität entscheidend sind. Möglicherweise können Sie die Daten und den Zugang für Dritte einschränken, wenn dies für die erbrachte Dienstleistung nicht erforderlich ist.

Der nächste Schritt ist die kontinuierliche Überwachung Ihrer Drittanbieter. Da die Bedrohungen für die Cybersicherheit in der Lieferkette dynamisch sind, ist eine vielschichtige, kontinuierliche Überwachung und Bewertung unerlässlich.

Wenn Schwachstellen und Sicherheitslücken festgestellt werden, muss die Abhilfe schnell und effektiv sein und umsetzbare Anweisungen enthalten. Dies gelingt am besten, wenn Sie mit Ihren Drittanbietern zusammenarbeiten oder einen externen Anbieter beauftragen, in Ihrem Namen mit ihnen zu arbeiten. Es reicht bei weitem nicht aus, den Anbietern zu vertrauen, dass sie ihre Schwachstellen selbst beheben. BlueVoyant hat beobachtet, dass Cyber-Angreifer ungepatchte Systeme schneller angreifen als in früheren Jahren. Ein Anstoß von einem Kunden oder einem externen Anbieter, der in ihrem Namen arbeitet, kann Unternehmen dazu bringen, die Schwachstellen schneller zu beheben. Die Zeit bis zur Behebung und der Prozentsatz der Anbieter, die eine Schwachstelle oder Fehlkonfiguration beheben, verbessert sich.

Wenn Sie zum Opfer werden, können Sie Maßnahmen ergreifen, um zu verhindern, dass Sie erneut zum Opfer werden. Unternehmen wie Uber sollten beispielsweise so schnell wie möglich die Passwörter und Anmeldedaten aller ihrer Mitarbeiter ändern und sicherstellen, dass ihre Mitarbeiter eine strenge Anti-Phishing-Schulung absolvieren, um dieses erweiterte Risiko zu mindern. Diese Sensibilisierungskampagnen müssen mehrere Arten der Kommunikation umfassen, um die Mitarbeiter wirklich vor Phishing-Angriffen zu schützen, sowohl im Unternehmen als auch privat. Auch wenn das Risiko erhöht ist, sollten Unternehmen verlangen, dass wichtige Entscheidungen von zwei Führungskräften abgesegnet werden.

Die Einführung einer grundlegenden Cyber-Hygiene-Routine als Standard in Ihrem Unternehmen wird ebenfalls dazu beitragen, viele Risiken zu mindern und zu verhindern.

Lorri Janssen-Anessi ist Director, External Cyber Assessments bei BlueVoyant und Tom Huckle ist Director of Information Security & Compliance EMEA bei BlueVoyant.