Werbung
Werbung

Cyberattacken & NIS2: Wie Unternehmen Supply Chains effektiv schützen

Die NIS2-Richtlinie der EU verpflichtet Betreiber kritischer Infrastrukturen ab Oktober 2024 zur Umsetzung strengerer Sicherheitsmaßnahmen, auch im Hinblick auf die eigene Lieferkette. Doch stellt sich die Frage, ob die Anforderungen von NIS2 ausreichen, um sich erfolgreich gegen Supply-Chain-Angriffe zu wehren.

Reichen die Anforderungen von NIS2 aus, um sich erfolgreich gegen Supply-Chain-Angriffe zu wehren? (Symbolbild: adam121 / AdobeStock)
Reichen die Anforderungen von NIS2 aus, um sich erfolgreich gegen Supply-Chain-Angriffe zu wehren? (Symbolbild: adam121 / AdobeStock)
Werbung
Werbung
Therese Meitinger
Autor(en) dieses Beitrags

Christopher Knöll ist Vice President Services DACH bei Advens

Die NIS2-Richtlinie („Network and Information Security Directive“) erweitert die Sicherheitsanforderungen für Betreiber kritischer Infrastrukturen in der EU, um Cyberangriffe zu bekämpfen und die Sicherheit in der Lieferkette zu erhöhen. In Deutschland wird sie durch das NIS2-Umsetzungsgesetz NIS2UmsuCG in nationales Gesetz überführt. Das Bundeskabinett hat den Gesetzesentwurf im Juli bereits beschlossen. Nun muss er nur noch durch den Bundesrat.

NIS2 erweitert die Anforderungen an die IT-Sicherheit für die betroffenen Unternehmen deutlich. Es fordert unter anderem kontinuierliche Risikoanalysen, angemessene Sicherheitsmaßnahmen auf „dem Stand der Technik“ und die Sicherstellung, dass Lieferanten und Partner des eigenen Unternehmens ebenfalls hohe Sicherheitsstandards einhalten. Insofern wirkt sich NIS2 auch maßgeblich auf die Lieferkette aus. Daraus ergeben sich zwei Fragestellungen: Reichen die Anforderungen von NIS2 aus oder sollten Unternehmen selbst aktiv werden, um sich gegen Supply-Chain-Angriffe zu rüsten? Und was können Unternehmen tun, um nicht Opfer einer solchen Attacke zu werden?

Supply-Chain-Angriffe & Risiken außerhalb der eigenen IT

Die Komplexität und Interdependenz moderner Lieferketten bieten zahlreiche Angriffsvektoren, die nur schwer zu überwachen und zu schützen sind. Immer häufiger nutzen Angreifer Schwachstellen in der Lieferkette aus, um Zugang zu sensiblen Daten zu erlangen. Dabei handelt es sich um sogenannte Supply-Chain-Angriffe.

Ein bekanntes Beispiel für einen erfolgreichen Supply-Chain-Angriff ist die Attacke auf den Softwarehersteller „Solar Winds“ im Jahr 2021. Bei diesem Angriff wurde Schadcode in das Produkt „Orion“ eingeschleust, welcher später durch Updates der Software bei Tausenden von Endkunden von Solar Winds zur Ausführung kam. Somit konnten Angreifer nicht nur Daten bei Solar Winds erbeuten, sondern sich zugleich bei deren Kunden in die Infrastruktur einnisten. Der initiale Angriff auf Solar Winds blieb lange unentdeckt.

Derartige Angriffsmethoden stellen Unternehmen vor große Herausforderungen, gerade aufgrund der Vielzahl beteiligter Akteure, unterschiedlichen Sicherheitsstandards und teils mangelnder Transparenz in der Lieferkette.

Für Unternehmen ist es daher wichtig, Cyberrisiken zu verstehen, die außerhalb der eigenen IT liegen und dennoch erhebliche Auswirkungen auf den Geschäftsbetrieb haben können. Ein mögliches Einfallstor können Lieferanten von Hardware und Software sein, IT-Dienstleister sowie die Abhängigkeiten und Zugriffsrechte dieser auf die eigene Infrastruktur.

Lieferanten für Hardware und Software spielen eine zentrale Rolle in der IT-Infrastruktur eines Unternehmens. Trotzdem können Schwachstellen in gelieferten Produkten von Angreifern ausgenutzt werden. Zwar nimmt NIS2 Lieferanten insbesondere im Bereich Software nun stärker in die Pflicht, Unternehmen sollten aber trotzdem geeignete technische Maßnahmen ergreifen, um mögliche Schwachstellen selbst zu erkennen und Lieferanten zur Behebung aufzufordern. Zudem sollten sie sicherstellen, dass ihre Lieferanten jederzeit strenge Sicherheitsstandards einhalten und regelmäßige Sicherheitsüberprüfungen durchführen.

IT-Dienstleister haben oft weitreichende Zugriffsrechte auf die Unternehmens-IT und können ein Einfallstor für Angreifer darstellen. Unternehmen sollten deswegen eine genaue Übersicht über alle ihre IT-Dienstleister haben und sicherstellen, dass diese strenge Sicherheitsmaßnahmen implementieren.

Fernwartungszugänge ermöglichen Dienstleistern zudem den Zugang zur IT-Infrastruktur – oft ohne physische Präsenz. Häufig sind diese Zugänge durch sogenannte Virtual Private Networks (VPN) realisiert. Letztere sollten streng überwacht und kontrolliert werden. Es ist wichtig zu wissen, welche Zugriffsrechte Dienstleister haben und wie diese Zugänge gesichert sind. Zudem sollten die Zugänge auf Anomalien wie ungewöhnlich hohen Datenverkehr oder verdächtiges Verhalten der zugeordneten Benutzer hin überwacht werden.

Da das Abhängigkeitsverhältnis zu Lieferanten und Dienstleistern erheblichen Einfluss auf die Sicherheit der eigenen IT-Infrastruktur haben kann, sollten Unternehmen ihre Abhängigkeiten analysieren und bewerten, wie sich Sicherheitsvorfälle bei Lieferanten und Dienstleistern auf ihre eigenen Systeme auswirken könnten. Notfallpläne und Alternativlösungen sind notwendig, um im Falle eines Sicherheitsvorfalls schnell zu reagieren.

Werbeinblendung:
Advertorial

Automatisierte Lagerlogistik: Moderna Products vervierfacht Kapazität mit Mecalux

Radeberger Gruppe: Erfolgreicher Umstieg auf Elektrostapler

Supply Chain-Security mithilfe von ETSM verbessern

Wie stellen Unternehmen aber fest, inwieweit sie selbst oder ihre Lieferanten und Dienstleister von möglichen Bedrohungen und Risiken betroffen sind?

Ein Ansatz ist das sogenannte „External Threat Surface Management“ (ETSM). Anders als bei einem klassischen Pentest, bei dem nur eine Momentaufnahme der möglichen Angriffsvektoren auf einen eingegrenzten Teil der Assets gemacht wird, verfolgt ETSM den Ansatz, ein Unternehmen fortlaufend von außen zu betrachten und über mögliche Schwachstellen zu informieren. Das Besondere: auch mögliche Partner- und Lieferantenbeziehung werden miteinbezogen. Folgende Schritte sind dafür notwendig:

  • Kartierung der Angriffsfläche: Bei diesem Prozess wird eine Kombination aus passiven und aktiven Scantechniken verwendet, um bekannte und unbekannte IT-Assets zu identifizieren, einschließlich solcher, die von Dritten verwaltet werden. Dies dient der Erkennung der extern zugänglichen Ressourcen eines Unternehmens inklusive seiner digitalen Lieferketten.
  • Überwachung: Hier geht es um ein kontinuierliches Scannen und Überwachen der externen Angriffsfläche, einschließlich Cloud-Services und lokaler Infrastrukturen, um Änderungen an der Angriffsfläche und neue Risiken zu identifizieren. Dies stellt sicher, dass alle notwendigen Informationen aktuell sind und entsprechend auf Veränderung reagiert werden kann.
  • Analyse: Alle erkannten IT-Assets werden auf ihr Verhalten hin analysiert. Es wird bewertet, ob diese falsch konfiguriert oder anfällig für einen Angriff sind oder ob sie bereits anomales Kommunikationsverhalten zeigen. Dabei wird auch berücksichtigt, ob gegebenenfalls mit anderen Assets kommuniziert wird, die möglicherweise Schwachstellen enthalten.
  • Priorisierung: Auf Basis der durchgeführten Analyse werden Faktoren wie der Schweregrad und die Ausnutzbarkeit berücksichtigt. Anhand dessen können nun die potenziellen Auswirkungen und die Wahrscheinlichkeit, dass ein Angreifer die Schwachstelle erfolgreich ausnutzt, bewertet werden. Zudem werden externe Informationen über potenzielle Bedrohungen mit den gefunden IT-Assets korreliert (Threat Intelligence).
  • Behebung: Gefundene Schwachstellen sollten natürlich auch behoben werden. Optimalerweise unterstützt eine ETSM-Lösung die IT-Abteilung mit entsprechenden Schnittstellen zur vorhanden IT-Landschaft und bietet das Erstellen von automatisierten Workflows an, damit eine Behebung möglichst zügig erfolgen kann.

Fazit

NIS2 nimmt Unternehmen deutlich stärker in die Pflicht und fordert, dass auch Lieferanten Maßnahmen zur Cyberabwehr ergreifen. Umso wichtiger ist es, wirkungsvolle Abwehrmaßnahmen zu ergreifen – gerade auch mit Blick auf die Konsequenzen für den Geschäftsbetrieb im Falle eines erfolgreichen Angriffs. Der Ansatz des „External Threat Surface Management“ (ETSM) zeigt exemplarisch, wie eine effektive Maßnahme auf dem „Stand der Technik“ zur Abwehr von Supply-Chain-Angriffen aussehen kann. Er ersetzt jedoch nicht die Gesamtbetrachtung aller Anforderungen von NIS2. Wie immer gilt: IT-Sicherheit ist keine einmalige Investition, sondern muss vielmehr integraler Bestandteil der Strategie eines jeden Unternehmens sein.

◂ Heft-Navigation ▸

Artikel Cyberattacken & NIS2: Wie Unternehmen Supply Chains effektiv schützen
Seite | Rubrik
Werbung
Werbung