Ein kurzer Überblick über die Anforderungen der NIS2-Lieferkette.
Angriffe auf die Lieferkette nutzen Schwachstellen innerhalb der Lieferkette eines Unternehmens aus, einschließlich Drittanbieter oder Software-Updates, um das primäre Ziel zu kompromittieren, indem sie häufig auf das schwächste Glied abzielen. Diese Angriffe nutzen Systemschwächen aus und stellen eine erhebliche Bedrohung für die Cybersicherheit dar, da sie über ein einziges kompromittiertes Glied mehrere Einrichtungen beeinträchtigen können. Um solche Angriffe zu bekämpfen, hat die EU im Rahmen der NIS2-Richtlinie verbindliche koordinierte Risikobewertungen für Unternehmen in ausgewählten Branchen eingeführt. Angriffe auf die Lieferkette sind in der heutigen Bedrohungslandschaft immer häufiger zu beobachten. Zu den bemerkenswerten Beispielen gehören der Angriff auf die Orion-Plattform von SolarWinds und die Log4j-Schwachstelle.
Angriffe auf die Lieferkette lassen sich in verschiedene Kategorien einteilen:
Jede Kategorie nutzt unterschiedliche Aspekte der Lieferkette aus, so dass ein umfassendes Risikomanagement unerlässlich ist.
Bei Angriffen auf die Software-Lieferkette wird bösartiger Code in Softwareprodukte oder -Updates eingeschleust. Dies kann durch die Beeinträchtigung der Entwicklungsumgebung geschehen, wie bei dem Angriff auf die SolarWinds Orion-Plattform, oder durch das Einfügen von bösartigem Code in ein Projekt, wie bei der Log4j-Schwachstelle. Sobald die kompromittierte Software verbreitet wird, sind alle Benutzer, die sie installieren oder aktualisieren, anfällig. Angreifer können auch den Update-Mechanismus kompromittieren, um bösartige Updates an Benutzer zu verteilen. Da viele Softwareprojekte auf Bibliotheken und Abhängigkeiten von Drittanbietern angewiesen sind, die den Benutzern oft verborgen bleiben, wird diese Bedrohung immer gefährlicher.
Bei Angriffen auf die Hardware-Lieferkette werden physische Komponenten während der Herstellung oder des Vertriebs verändert. Im Allgemeinen ist es einfacher, Hardware während des Vertriebs zu verändern, als dies im Werk der Fall ist. Angreifer können bösartige Hardware oder Firmware in Geräte einfügen, die aktiviert werden können, sobald das Gerät in Gebrauch ist. Eine kompromittierte Netzwerkkarte könnte es Angreifern beispielsweise ermöglichen, Daten abzufangen und zu manipulieren, die über sie laufen. Diese Angriffe sind schwer zu erkennen, da bösartige Komponenten oft identisch mit legitimen Komponenten aussehen. Je nach Art des Angriffs kann die Sicherheitslücke nicht behoben werden.
Auch Dienstleister, einschließlich IT-Lieferanten und Anbieter von verwalteten Diensten, können ein Ziel sein, um Zugang zu einem System zu erhalten. IT-Dienstleister haben oft weitreichende administrative Rechte auf die Infrastruktur und Software ihrer Kunden. Wie SolarWinds bedienen sie unterschiedliche und interessante Kundenstämme, die alle mit minimalem Zusatzaufwand gleichzeitig angegriffen werden können. Manchmal sind Unternehmen ungewollt von solchen Angriffen betroffen. Bei dem Orion-Angriff war die Mehrheit der SolarWinds Orion-Kunden verwundbar, wurde aber nicht ausgenutzt, da der Angreifer nur bei ausgewählten Kunden zum nächsten Schritt überging.
Alle Arten von Angriffen auf die Lieferkette sind schwer zu erkennen, stellen aber eine erhebliche Bedrohung für Unternehmen dar, insbesondere für solche mit kritischer Infrastruktur. Die Einsicht in die eigene Lieferkette ist eine mühsame und ressourcenintensive Aufgabe. Vergleicht man die Angriffsvektoren, so ist es für Angreifer oft einfacher, auf Software als auf Hardware abzuzielen. Angriffe auf die Hardware-Lieferkette sind zwar selten, kommen aber vor, wie z. B. die Operation Grim Beeper, die im Jahr 2024 zur Explosion tausender Pager im Libanon führte. Angriffe auf Anbieter von verwalteten Diensten können manchmal nicht von Angriffen auf die Software-Lieferkette unterschieden werden und sollten sowohl von den Dienstleistern als auch von ihren Kunden ernst genommen werden.
Die NIS2-Richtlinie unterstreicht die Bedeutung einer soliden Sicherheit der Lieferkette für den Schutz kritischer Infrastrukturen. Eine Schlüsselkomponente der NIS2-Anforderungen ist eine koordinierte Risikobewertung, um potenzielle Schwachstellen und Bedrohungen für die Cybersicherheit zu verstehen.
In der Vergangenheit hatten Unternehmen möglicherweise keinen Einblick in ihre Lieferketten, was eine effektive Risikobewertung erschwerte. Dies zeigte sich im Fall von Log4j, wo viele Unternehmen anfangs Schwierigkeiten hatten herauszufinden, ob sie die kompromittierte Software verwendeten, wodurch wertvolle Zeit bei der Eindämmung des Angriffs verloren ging. Die Kooperationsgruppe, die sich aus Vertretern der EU-Mitgliedstaaten, der Europäischen Kommission und der Agentur der Europäischen Union für Cybersicherheit (ENISA) zusammensetzt, ist an dem Prozess zur Erlangung von Transparenz beteiligt. Gemeinsam identifizieren und bewerten sie die Risiken, die mit kritischen IKT-Diensten, -Systemen und -Produkten innerhalb der Lieferketten verbunden sind. Bei der Bewertung werden sowohl technische als auch nicht-technische Faktoren berücksichtigt, wie etwa Software-Schwachstellen und geopolitische Risiken. Ziel ist es, kritische Elemente zu identifizieren, die Aufmerksamkeit erfordern, und Strategien zu entwickeln, um diese Risiken zu mindern. Die Ergebnisse dieser Bewertungen tragen dazu bei, die Sicherheitspraktiken zu verbessern, die Transparenz der Lieferkette zu erhöhen und die Widerstandsfähigkeit gegen Cyber-Bedrohungen zu stärken, um ein sichereres digitales Umfeld in der gesamten EU zu gewährleisten.
Angriffe auf die Lieferkette stellen eine erhebliche Bedrohung für die Cybersicherheit dar, da sie Schwachstellen innerhalb der Lieferkette eines Unternehmens ausnutzen, z. B. bei Drittanbietern oder Software-Updates. Diese Angriffe können auf das schwächste Glied abzielen und über ein einziges kompromittiertes Glied mehrere Unternehmen beeinträchtigen. Die NIS2-Richtlinie der EU begegnet dieser Bedrohung, indem sie koordinierte Risikobewertungen für Unternehmen in ausgewählten Branchen vorschreibt. Diese Bewertungen helfen dabei, die mit kritischen IKT-Diensten, -Systemen und -Produkten verbundenen Risiken zu ermitteln und zu bewerten, wobei sowohl technische als auch nichttechnische Faktoren berücksichtigt werden. Durch die Förderung der Zusammenarbeit zwischen den EU-Mitgliedstaaten, der Europäischen Kommission und der ENISA zielt die NIS2-Richtlinie darauf ab, die Sicherheitspraktiken zu verbessern, die Transparenz der Lieferkette zu erhöhen und die Widerstandsfähigkeit gegenüber Cyber-Bedrohungen zu stärken. Dieser umfassende Ansatz gewährleistet ein sichereres digitales Umfeld in der gesamten EU, schützt kritische Infrastrukturen und reduziert die Auswirkungen von Angriffen auf die Lieferkette.