Lieferkettenangriffe: Ein Einblick

Bekannte Lieferkettenangriffe

Lieferkettenangriffe (Supply Chain Attacks) haben es in den vergangenen zehn Jahren immer wieder in die Schlagzeilen geschafft, wobei sie allerdings zunehmend häufiger auftreten. Dabei wird schädlicher Code in vertrauenswürdige Produkte – sei es Hardware oder Software – eingeschleust, die dann wiederum die Unternehmen kompromittieren, die diese Produkte einsetzen. Angreifer visieren Zulieferer an, um deren Kundenbeziehungen auszunutzen und so möglicherweise Tausende oder gar Millionen Opfer zu erreichen. Die Ausmaße dieser Bedrohung sind überwältigend. Dies sind nur einige Beispiele:

• Salt Typhoon (noch laufend): Der vom chinesischen Staat geförderte Akteur mit dem Alias Salt Typhoon kompromittiert bereits seit einigen Jahren im Rahmen einer umfangreichen Cyberspionagekampagne international bedeutende Telekommunikationsanbieter.
• Sunburst: Die Ende 2020 entdeckte CVE-2020-10148-Schwachstelle wird dem russischen Auslandsgeheimdienst (SWR) zugeschrieben. Durch sie wurde die Entwicklungsumgebung von SolarWinds kompromittiert, indem schädlicher Code in die digital signierte orion.dll eingeschleust wurde. Obwohl mit dem Angriff etwa einhundert Ziele (u. a. Cisco, Microsoft sowie das Verteidigungs- und das Finanzministerium der USA) anvisiert waren, wurden bei der Aktion Tausende Unternehmen infiziert. In einem Artikel von Wired (hinter Paywall) wird der Angriff ausführlich beschrieben und auch Sudhakar Ramakrishna, der Geschäftsführer von SolarWinds, hat bei der RSA Conference 2021 in seiner Keynote detailliert darüber gesprochen.
• Schwachstelle in Kaseya VSA: 2021 nutzte die REvil-Gruppe eine Sicherheitslücke in der MSP-Plattform aus, um über ein Update schädlichen Code an die Kunden von Kaseya zu verteilen. Über 1 500 Unternehmen waren von dem Angriff betroffen.
• Log4Shell bzw. Log4J (CVE-2021-44228): Die Zero-Day-Sicherheitslücke wurde Ende 2021 in Apache Log4j entdeckt, einer weltweit von Millionen von Geräten und Anwendungen eingesetzten Open-Source-Protokollierungsbibliothek innerhalb von Java. Für die Schwachstelle mussten unzählige Server weltweit mit einem Patch aktualisiert werden. Im CVSS (Common Vulnerability Scoring System) wurde sie hinsichtlich ihrer Bedrohlichkeit mit dem höchsten Schweregrad von 10.0 und damit als „kritisch“ gewertet.
• MOVEit (CVE-2023-34362): Über eine Zero-Day-Schwachstelle in die Datentransferplattform MOVEit der Progress Software Corperation gelang es Angreifern, die Authentifizierung zu umgehen, sich Zugriff auf Datenbanken zu verschaffen und so vertrauliche Daten von Tausenden Unternehmen weltweit zu stehlen.
• PowerSchool (2025): Die im Januar 2025 aufgedeckte massive Datenschutzverletzung war bereits 2024 erfolgt. Ein 19-Jähriger hatte über die PowerSchool-Plattform personenbezogene Daten von Millionen Schülern und Lehrern gestohlen. Obwohl Berichten zufolge ein Lösegeld in Höhe von 2,85 Millionen USD bezahlt worden war, hatte der Angreifer die Vereinbarung nicht eingehalten und im Mai 2025 hatten einige Schulvorstände neue Lösegeldforderungen erhalten, was darauf hindeutet, dass die Daten nie wie versprochen zerstört worden waren.
• Canvas LMS (2026): Diesen Mai wurde Instructures Lernmanagementsystem Canvas von der Gruppe ShinyHunters über eine schwache Identitätskontrolle bei den Free-for-Teacher-Konten angegriffen. Die Akteure behaupten, 3,65 Terabytes an Daten von Tausenden Schulen und Millionen Einzelpersonen gestohlen zu haben.
• TeamPCP: Anfang 2026 hat die Hackergruppe von Entwicklern eingesetzte Tools anvisiert, um schädliche Payloads in Code einzuschleusen, der von Tausenden Unternehmen verwendet wird. Das Heimtückische an ihrem Vorgehen ist, dass sie es bei ihren diversen Angriffen unter anderem auf Open-Source-Sicherheitssoftware abgesehen hatten, wie den Schwachstellenscanner Trivy (CVE-2026-33634) und das IaC-Tool (Infrastructure as Code) KICS von Checkmarx, das dazu dient, vor der Bereitstellung Fehlkonfigurationen und Sicherheitslücken aufzuspüren.

Diese Angriffe verdeutlichen das Ausmaß und die Logik von Lieferkettenangriffen. Ein erfolgreicher Angriff kann möglicherweise Tausende oder mehr Kunden kompromittieren. Unabhängig vom Motiv hinter einer Attacke, das je nach Akteur und Opfer variiert und von Lösegeldforderungen über Hacktivismus bis hin zu Spionage reichen kann, ist doch immer mit ernsten Folgen zu rechnen. Laut dem Ransom-ISAC-Team sind Open-Source-Bibliotheken beispielsweise zum Ziel geworden, weil „unterfinanzierte Betreiber von Open-Source-Paketen der wirkungsvollste Einstiegspunkt in die Lieferkette von nahezu jedem Unternehmen auf dem Planeten sind“.

Das Problem

Der Wechsel zu cloudbasierten Diensten in den letzten zwanzig Jahren hat für Hacker ideale Bedingungen geschaffen. Die Entwicklung von SaaS, bei der Sicherheit häufig eine nachrangige Rolle spielt, hat Lieferketten so anfällig wie noch nie gemacht. Das bis 2014 geltende interne Facebook-Motto „Move fast and break things“ im Sinne von „neue Entwicklungen schnell vorantreiben und veröffentlichen, ohne zu sehr auf Perfektion zu setzen“ ist ein perfektes Beispiel für eine Kultur, in der Funktionalität statt Sicherheit im Vordergrund steht. Das ist auch nicht überraschend, immerhin folgen die Prioritäten der Software-Entwickler dem Finanzfluss ihrer Kunden. Welcher Einkäufer interessiert sich schon dafür, ob eine SaaS gemäß der „Secure by Design“-Prinzipien entwickelt wurde.

Was können Sie tun?

Der erste wichtige Schritt besteht darin, sich der Risiken durch Lieferkettenangriffe bewusst zu werden. Zwar gibt es viele ausgeklügelte und durchaus komplexe Cyberangriffe, aber der Großteil ist eher schlicht und kann mit einigen einfachen Maßnahmen abgewehrt werden. Das Risikomanagement einer Lieferkette (SCRM; Supply Chain Risk Management) beginnt mit einer Risikobeurteilung, um herauszufinden, welche Vermögenswerte geschützt werden müssen, welche Risiken von Zulieferern ausgehen und welche Auswirkungen eine Sicherheitsverletzung haben könnte. Anhand dieser Informationen wird dann eine passende Strategie ausgearbeitet, um die Auswirkungen eines Lieferkettenangriffs zu minimieren.

Diese Strategie ist in Art und Umfang für jedes Unternehmen einzigartig und kann stark variieren, da sie von den jeweiligen Zulieferern, Kunden, Vermögenswerten und weiteren Faktoren abhängt. Folglich gibt es leider auch keine allgemeingültige Universallösung. Anstatt also eine möglicherweise irreführende Anleitung zu geben oder noch schlimmer eine Liste „Die 5 besten Maßnahmen zum Schutz vor Lieferkettenangriffen“ bereitzustellen, empfehlen wir Ihnen, sich näher mit den verlinkten Referenzen im Folgenden zu befassen. Die gute Nachricht: Wenn Sie bis hierher gelesen haben, haben Sie den ersten Schritt schon getan.

Referenzen:

• BSI: #nis2know Sichere Lieferkette
• Verfassungsschutz: Herausforderung: vulnerable Lieferketten.
• CSE (Kanada): Protecting your organization from software supply chain threats
• NCSC (Vereinigtes Königreich): Cyber Essentials Supply Chain Playbook
• NIST (USA): Defending Against Software Supply Chain Attacks

Übersetzung: Doreen Schäfer