Lieferkettenangriffe (Supply Chain Attacks)
Angriffe, die über kompromittierte Zulieferer, Software-Komponenten oder Dienstleister in das Zielnetzwerk eindringen.
Lieferkettenangriffe (Supply Chain Attacks) zielen nicht direkt auf das eigentliche Opfer, sondern kompromittieren einen Zulieferer, Softwareanbieter oder Dienstleister in der Wertschöpfungskette. Über diesen Umweg gelangt Malware oder ein Angreifer in die Infrastruktur des eigentlichen Ziels — oft ohne dass herkömmliche Schutzmaßnahmen Alarm schlagen, da die kompromittierte Quelle als vertrauenswürdig gilt.
Typen von Lieferkettenangriffen
Die Angriffsfläche erstreckt sich über die gesamte Lieferkette — von der Softwareentwicklung bis zur Hardwareproduktion.
| Angriffstyp | Beschreibung | Angriffsvektor |
|---|---|---|
| Software Supply Chain | Kompromittierung von Software-Updates oder Paketen | Manipulierte Updates, infizierte Bibliotheken, trojanisierte Build-Pipelines |
| Hardware Supply Chain | Manipulation physischer Komponenten | Modifizierte Firmware, kompromittierte Chips, manipulierte Geräte |
| Service Provider | Angriff über Managed Service Provider oder Cloud-Dienstleister | Kompromittierte Zugänge, manipulierte Fernwartung, gehackte MSP-Plattformen |
| Open-Source Supply Chain | Einschleusung von Schadcode in Open-Source-Projekte | Typosquatting, übernommene Maintainer-Konten, Dependency Confusion |
Warum Lieferkettenangriffe schwer zu erkennen sind
Software von einem vertrauenswürdigen Anbieter wird in der Regel nicht mit demselben Misstrauen behandelt wie eine unbekannte Datei. Signierte Updates passieren Sicherheitsprüfungen, und MSP-Zugänge haben oft weitreichende Berechtigungen. Genau dieses Vertrauen nutzen Angreifer aus. Die Kompromittierung findet außerhalb der eigenen Infrastruktur statt und ist daher mit internen Sicherheitstools kaum zu erkennen.
NIS2 und Lieferkettensicherheit
Die NIS2-Richtlinie adressiert Lieferkettenrisiken explizit. Unternehmen müssen Sicherheitsanforderungen an ihre Zulieferer stellen, die Einhaltung überprüfen und Risiken in der Lieferkette dokumentieren. Dies betrifft nicht nur kritische Infrastruktur, sondern auch deren Zulieferer — eine deutliche Ausweitung des Geltungsbereichs gegenüber der Vorgängerrichtlinie.
Schutzmaßnahmen
Eine Software Bill of Materials (SBOM) schafft Transparenz über alle eingesetzten Software-Komponenten und deren Herkunft. Regelmäßige Vendor-Assessments bewerten die Sicherheitspraktiken von Zulieferern und Dienstleistern. Konsequentes Patch Management stellt sicher, dass bekannte Schwachstellen in Drittanbieter-Komponenten zeitnah geschlossen werden. Netzwerksegmentierung begrenzt den Zugriff von Drittanbieter-Software auf das Notwendige. Kontinuierliches Monitoring über ein SIEM erkennt anomales Verhalten auch bei vertrauenswürdiger Software. Zero-Trust-Prinzipien stellen sicher, dass auch interne Verbindungen authentifiziert und autorisiert werden.
Relevanz für KMUs
KMUs sind häufig Teil größerer Lieferketten und damit sowohl potenzielle Opfer als auch ungewollte Angriffsvektoren für ihre Kunden. Besonders die Abhängigkeit von wenigen IT-Dienstleistern und Softwareanbietern schafft Konzentrationsrisiken. Eine Bestandsaufnahme der eingesetzten Software und Dienstleister, klare Sicherheitsanforderungen in Verträgen und konsequente Systemhärtung sind pragmatische erste Schritte.