Lieferkette als Angriffsfläche – so sichern Unternehmen ihre Partnerbeziehungen

Lieferketten gelten als beliebtes Ziel für Cyberangriffe. Jeder Lieferant, Partner und Dienstleister eröffnet potenziell neue Wege in sensible Systeme – viele davon bleiben von herkömmlichen Schutzmaßnahmen unentdeckt. Dabei benötigen Angreifer keine bekannten Sicherheitslücken (CVEs), um Zugang zu erhalten. Sie identifizieren Schwachstellen, die in keiner Datenbank verzeichnet sind, und nutzen diese, um sich innerhalb verbundener Systeme zu bewegen. Ein reines Patchen der Systeme reicht daher nicht aus. Um kritische Assets zu schützen, ist es entscheidend, die eigene Umgebung aus Sicht eines Angreifers zu analysieren – einschließlich der Systeme und externen Oberflächen der Lieferanten.

Der Blogbeitrag von XM Cyber zeigt auf, wie modernes Schwachstellenmanagement die Sicherheit von Lieferketten verbessert, welche Bedeutung EASM (Management externer Angriffsflächen) und Bedrohungsinformationen haben und welche konkreten Schritte Unternehmen unternehmen können, um ihre Lieferantenbeziehungen abzusichern.

Warum aktuelle Ansätze Risiken in der Lieferkette übersehen

Das traditionelle Schwachstellenmanagement schafft eine kritische Lücke: Es scannt interne Umgebungen … und ignoriert dabei im Wesentlichen die externen Angriffsflächen, an denen Kompromittierungen der Lieferkette beginnen. Und selbst die internen Scandaten sind manchmal unvollständig und lassen oft wesentliche Elemente vermissen, die für eine ordnungsgemäße Priorisierung der Abhilfemaßnahmen erforderlich sind, wie z. B. Verbindungen zwischen verschiedenen Arten von Risiken.

Sicherheitsteams sind es gewohnt, ihre eigenen Netzwerke und Anwendungen umfassend zu überwachen. Was sie jedoch nicht gewohnt sind, sind die Verbindungen zu Lieferanten, die die gefährlichsten Risiken darstellen – Partnerportale mit schwacher Authentifizierung, dem Internet ausgesetzte Schnittstellen für das Lieferantenmanagement, Überwachungstools mit übermäßigen Berechtigungen. Diese Lieferantenoberflächen können leicht zu Wegen werden, über die Angreifer von kompromittierten Lieferanten in Kundenumgebungen gelangen.

Standard-EASM-Implementierungen sind dieser Herausforderung nicht gewachsen. Zwar bieten sie durch direktes Scannen und Überwachen einen externen Einblick in die Sicherheitslage der Lieferanten. Die meisten Plattformen aggregieren jedoch EASM-Daten von Drittanbietern, anstatt sie in den internen Risikokontext zu integrieren. Sie erstellen separate Schwachstellenberichte, ohne den vollständigen Angriffspfad von externen Lieferantenrisiken über Ihre Umgebung bis hin zu kritischen Assets aufzuzeigen. Das bedeutet, dass Sie keine einheitliche Analyse des Angriffsszenarios erhalten, sondern nur unzusammenhängende Ergebnisse.

Angriffe auf die Lieferkette umgehen herkömmliche Abwehrmaßnahmen

Diese strukturelle Schwäche erklärt, warum sich die jüngsten Angriffe auf die Lieferkette als so verheerend erwiesen haben.

Die Angriffe auf SolarWinds, Kaseya und Okta haben eines gemeinsam: Die Kriminellen umgingen CVE-basierte Abwehrmaßnahmen vollständig, indem sie die Beziehungen innerhalb der Lieferkette ausnutzten. Bei SolarWinds wurde der Software-Build-Prozess infiltriert, wodurch dann Tausende von nachgelagerten Kunden mit bösartigen Updates versorgt wurden. Die Angreifer von Kaseya kompromittierten die Plattform des Managed Service Providers, um an dessen Kunden zu gelangen. Der Angriff auf Okta legte die Identitätsinfrastruktur offen, auf die sich mehrere Unternehmen verlassen hatten.

Diese Angriffe waren alle erfolgreich, weil sie auf die privilegiertesten Verbindungspunkte der Lieferkette abzielten – die Überwachungsplattformen, die Kundennetzwerke überwachen, die Verwaltungstools, die Kundensysteme steuern, und die Identitätsanbieter, die den Zugriff über Unternehmen hinweg authentifizieren. Durch die Kompromittierung nur eines dieser Punkte erhielten die Angreifer Zugriff auf Hunderte von nachgelagerten Opfern.

Angreifer auf die Lieferkette haben gelernt, die vertrauenswürdigen Verbindungen zwischen Unternehmen auszunutzen – die Integration von Anbietern, die für die Arbeitsweise der meisten Unternehmen mittlerweile von entscheidender Bedeutung ist. Um die Sicherheit der Lieferkette zu gewährleisten, müssen Sie sich darüber im Klaren sein, wie diese Lieferantenbeziehungen zu Angriffsvektoren werden können. Dazu müssen Sie technische Erkenntnisse mit den Geschäftsbeziehungen verknüpfen, die tatsächlich Veränderungen bewirken können.

Die Einrichtung einer starken Governance-Funktion für das Risikomanagement von Drittanbietern (TPRM) ist für ein wirksames Risikoprogramm für die Lieferkette von entscheidender Bedeutung. Dazu gehört die Klassifizierung von Lieferanten auf der Grundlage ihrer geschäftlichen Abhängigkeit und potenziellen Auswirkungen, was bei der Priorisierung von Risikomanagementmaßnahmen hilft. So würde beispielsweise ein kritischer Rohstofflieferant eine höhere Einstufung erhalten als ein nicht essenzieller Dienstleister. Ein robustes Governance-Framework muss auch dokumentierte Prozesse zur Behebung von Verstößen gegen Compliance-Vorgaben sowie einen klaren, überprüfbaren Offboarding-Prozess für den Fall der Beendigung einer Lieferantenbeziehung umfassen.

Aufbau einer Verteidigungsstrategie für die Lieferkette: Das Vier-Säulen-Modell

External Attack Surface Management (EASM): Wie bereits erwähnt, ist EASM die erste Säule der Lieferkettensicherheit. Unternehmen nutzen EASM-Tools, um die externen Oberflächen von Drittanbietern kontinuierlich zu scannen und Schwachstellen in Echtzeit zu identifizieren – falsch konfigurierte Dienste, offengelegte Anmeldedaten, Schatten-IT-Ressourcen und operative Schwächen, die in herkömmlichen Fragebögen von Anbietern völlig übersehen werden.

Effektive Abhilfe durch Dritte: Die zweite Säule nutzt die technischen Erkenntnisse aus EASM als Ausgangspunkt für Geschäftsgespräche, die Veränderungen vorantreiben. Wenn EASM erhebliche Schwachstellen bei einem Lieferanten aufdeckt, müssen Sicherheitsteams Relationship Manager einschalten, um Abhilfe zu schaffen. Das Gespräch verlagert sich von „Wir vertrauen darauf, dass Sie die Sicherheit ordnungsgemäß handhaben“ zu „Hier sind genau die Probleme und wie Sie sie beheben müssen“.

Einflussnahme auf Lieferanten und Governance: Die Wirksamkeit dieser Gespräche hängt von der dritten Säule ab: geschäftliche Einflussnahme und Organisationsstruktur. Unternehmen, die in hohem Maße von Lieferanten abhängig sind, können durch ihre Kaufkraft und vertragliche Anforderungen Sicherheitsverbesserungen verlangen. Kleinere Unternehmen sind aufgrund ihrer begrenzten personellen Ressourcen und Verhandlungsmacht eingeschränkt, können sich aber dennoch auf Vertragsformulierungen und technische Kontrollen wie Netzwerksegmentierung stützen.

Bedrohungsinformationen und Priorisierung: Die vierte Säule sind aktuelle Bedrohungsinformationen darüber, wie Angreifer die Schwachstellen von Lieferanten tatsächlich ausnutzen. Das Verständnis der aktuellen TTPs (Tactics, Techniques and Procedures) von Angreifern – also der spezifischen Techniken, mit denen Cyberkriminelle Überwachungstools, Verwaltungsplattformen und Identitätsanbieter kompromittieren – wandelt die EASM-Ergebnisse von generischen Schwachstellendaten in gezielte Bedrohungsszenarien um. So entstehen fokussierte Abhilfemaßnahmen, die reale Angriffsszenarien widerspiegeln und nicht nur theoretische Schweregrade.

Sicherheit in der Lieferkette gewährleisten

Wie lässt sich dieses Vier-Säulen-Modell in die Praxis umsetzen? Beginnen Sie mit dem Einsatz von EASM-Tools, um die externen Oberflächen Ihrer Lieferanten kontinuierlich zu scannen. Legen Sie klare Eskalationswege von Ihrem Sicherheitsteam zu den Relationship Managern für Drittanbieter fest, die diese wichtigen Gespräche mit den Lieferanten führen können. Schaffen Sie sich durch Vertragsklauseln und Bewertungen der Lieferantenabhängigkeit einen geschäftlichen Hebel. Integrieren Sie Threat-Intelligence-Feeds, die aktuelle TTPs von Angreifern aufdecken, die es auf Lieferkettenbeziehungen abgesehen haben.

Konzentrieren Sie sich bei der Priorisierung eher auf die Modellierung von Angriffsgraphen als auf Schwachstellenbewertungen. Herkömmliche Plattformen erstellen Listen mit einzelnen Schwachstellen in unverbundenen Systemen – interne Schwachstellenscans hier, EASM-Ergebnisse dort, Compliance-Berichte woanders. Viele Plattformen nehmen einfach Datenfeeds von anderen EASM-Anbietern auf und präsentieren sie als separate Ergebnisse statt als integrierte Angriffsszenarien. Eine effektive Sicherheit in der Lieferkette bildet vollständige Angriffspfade von den Schwachstellen der Lieferanten bis zu Ihren kritischen Ressourcen ab. So wird deutlich, welche externen Schwachstellen ein echtes Risiko für den Geschäftsbetrieb darstellen, weil Angreifer sie tatsächlich ausnutzen könnten.

Messen Sie, was wichtig ist. Verfolgen Sie die Zeit von der Entdeckung der Schwachstelle bis zur Einbindung des Anbieters. Überwachen Sie die Behebungsraten der Lieferanten. Bewerten Sie die Verringerung der realisierbaren Angriffspfade im Laufe der Zeit. Diese Kennzahlen zeigen, ob Ihr Programm echte Sicherheitsverbesserungen bewirkt oder nur mehr Berichte generiert.

Fazit

Die Sicherheit der Lieferkette ist dann gewährleistet, wenn Unternehmen Risiken bei Lieferanten erkennen, sobald diese auftreten, und reagieren, bevor Angreifer sie ausnutzen können. Kriminelle wissen bereits, wie Ihre Lieferantenbeziehungen Chancen bieten. Ihr Sicherheitsprogramm muss diese Zusammenhänge ebenso klar erkennen – und schneller als die Angreifer darauf reagieren.

Quelle: XM Cyber-Blog

Auch interessant für Sie

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky