Wie Sicherheitslücken bei Drittanbietern die Sicherheit Ihrer IT gefährden können

In den vergangenen Jahren haben IT-Schäden, die Unternehmen durch Dritte entstehen – seien es nun Anbieter, Dienstleister, Zulieferer oder Partner – stark zugenommen. In der letztjährigen BlueVoyant-Studie The State of Supply Chain Defense: Annual Global Insights Report 2024 gaben ganze 81 Prozent der befragten IT-Entscheider zu Protokoll, dass die IT ihres Unternehmens schon mindestens einmal durch eine Supply Chain-bezogene Sicherheitsverletzung in Mitleidenschaft gezogen worden sei. Längst haben Schäden, die sich aus Fehlkonfigurationen, fehlenden Updates und Patches kooperierender Drittanbieter ergeben, ein besorgniserregendes Ausmaß erreicht. Nicht ohne Grund haben Vorgaben zum richtigen Umgang mit Drittanbieterrisiken Eingang in die NIS2- und Cyber Resilience Act (CRA)-Vorgaben der EU gefunden. Doch wie genau gehen Angreifer, die Sicherheitslücken von Drittanbietern, Partnern und Zulieferern ausnutzen, eigentlich vor?

Eine beliebte Methode der Angreifer besteht darin, sich Dienstleister zu suchen, die für ihre Kunden Daten auf ihren Servern abgespeichert haben. Um ihre Kosten zu reduzieren, flexibler und skalierbarer zu sein, nicht zuletzt auch in der Hoffnung auf höhere Sicherheitsstandards, lagern immer mehr Unternehmen Daten und Prozesse – zum Beispiel ihre Lohn- und Gehaltsabrechnung oder auch ihre Personalverwaltung – an externe Dienstleister aus. Gelingt es Angreifern in die IT-Systeme dieser Dienstleister einzudringen, können sie personenbezogene und personenbeziehbare Daten der Kunden erbeuten und dann für Phishing-, Spear Phishing- oder auch Social Engineering-Angriffe auf deren Mitarbeiter zum Einsatz bringen.

Eine weitere Methode: die Angreifer nutzen die IT-Infrastruktur eines Dienstleisters als Sprungbrett, um in die Netzwerke ihrer eigentlichen Opfer vorzudringen. Da immer mehr Unternehmen Dienstleister, Anbieter und Partner in ihre digitalen Arbeitsprozesse zu integrieren suchen, entstehen immer häufiger komplexe Überschneidungen von Netzwerken, die die Grenzen zwischen den unterschiedlichen IT-Landschaften mehr und mehr verschwimmen lassen. Angreifer wissen darum und nutzen die enge Verzahnung der Systeme für ihre Zwecke aus. Vom Netzwerk eines Dritten dringen sie – unbemerkt von der IT-Sicherheit ihres eigentlichen Opfers – tief in dessen Systeme vor.

Und schließlich: Software Supply Chain-Angriffe. Hier konzentrieren sich die Angreifer auf die Anbieter von Firm- und Software. Deren Systeme werden infiltriert, der Code ihrer Produkte kompromittiert. Leiten die Anbieter dann die Soft- und Firmware – oder auch Soft- und Firmware-Updates und -Patches – an ihre Kunden weiter, laden diese sich, ohne es zu ahnen, manipulierten Code herunter. Häufig integrieren die Angreifer Backdoors in die Software. Ist sie dann installiert, können sie sich problemlos Zugang zu den Systemen ihrer Opfer verschaffen. Ein bekanntes Beispiel ist der SolarWinds-Hack von 2020, bei dem Angreifer über ein manipuliertes Software-Update ohne größere Probleme in tausende Kundennetzwerke eindringen konnten. Eine andere Möglichkeit: ein Angreifer dringt in die Systeme eines Software-as-a-Service-Anbieters ein oder nutzt einen Distributed Denial of Service-Angriff (DDoS-Angriff), um dessen Online-Präsenz und Cloud-basierte Software lahm zu legen. Gelingt der Angriff, können die Opferunternehmen dann nur noch eingeschränkt oder überhaupt nicht mehr auf die vom Anbieter bezogene Software zugreifen – mit weitreichenden Folgen für deren Arbeits- und Verwaltungsprozesse.

Angreifern bieten sich unzählige Möglichkeiten, Unternehmen über Sicherheitslücken, die bei Dritten bestehen, Schäden zuzuführen. Um die entsprechenden Sicherheitsrisiken zu minimieren, sollten deren Sicherheitsverantwortliche:

• beim Aufbau ihrer Netzwerke auf das Prinzip Zero Trust setzen,
• die Segmentierung ihrer Netzwerke vorantreiben und
• die IT-Umgebungen ihrer Drittanbieter genauso aktiv überwachen, wie ihre eigenen.

Nur die kontinuierliche Überwachung der Perimeter sämtlicher Drittanbieter, Partner und Zulieferer ermöglicht es, Risiken und riskante Verhaltensweisen, Fehlkonfigurationen und nicht gepatchte Schwachstellen, rasch zu erkennen und rechtzeitig entsprechende Gegenmaßnahmen einzuleiten. Unter Zuhilfenahme einer modernen Lösung zum Risikomanagement von Drittanbietern (TPRM) kann die Wahrscheinlichkeit von Sicherheitsvorfällen, die auf Sicherheitslücken in den Systemen von Dritten basieren, spürbar reduziert werden.

Eric Litowsky, Regional Director bei BlueVoyant

Noch mehr zum Stöbern

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky