Es gibt einige Sicherheitsvorfälle, die die Sichtweise der Branche auf das Thema Sicherheit grundlegend verändern. Der SolarWinds-Hack war einer davon.
Es waren nicht nur das Ausmaß oder die Raffinesse, die diesen Vorfall so besonders machten. Es war die Erkenntnis, dass Software-Updates, die Unternehmen für sicher hielten, selbst zum Angriffsvektor werden konnten. Für viele Unternehmen war dieser Moment ein Weckruf. Er machte deutlich, wie viel implizites Vertrauen in Software-Lieferketten herrschte und wie wenig Transparenz herrschte, sobald der Code die interne Kontrolle verließ.
Auch Jahre später bleibt die unbequeme Frage bestehen: Wie viel hat sich tatsächlich geändert?
Wenn Vertrauen zur Schwachstelle wird
Ende 2020 geriet SolarWinds – ein weit verbreiteter Anbieter von IT-Management-Software – in den Mittelpunkt eines der bedeutendsten Cyberspionagevorfälle der jüngeren Geschichte. Angreifern gelang es, den Softwareentwicklungsprozess des Unternehmens zu kompromittieren und bösartigen Code in dessen Updates einzuschleusen. Dieses Update wurde anschließend von Tausenden von Organisationen im Rahmen routinemäßiger Wartungsarbeiten heruntergeladen, wodurch den Angreifern unwissentlich Zugriff auf interne Systeme gewährt wurde.
Es waren nicht nur das Ausmaß oder die Raffinesse, die diesen Angriff so besonders machten. Es war die Erkenntnis, dass Software-Updates, die Unternehmen für sicher hielten, selbst zum Angriffsvektor werden konnten.
Das Auffälligste an diesem Angriff war nicht, dass die Angreifer einen Softwareanbieter kompromittiert hatten, sondern dass sie Tausende von Organisationen erreichen konnten, ohne jede einzelne gezielt angreifen zu müssen.
Nachdem die Angreifer bösartigen Code in den Build-Prozess von SolarWinds eingeschleust hatten, gelang es ihnen, diesen über ein vertrauenswürdiges Software-Update zu verbreiten, das die Kunden im Rahmen routinemäßiger Wartungsarbeiten installierten. Aus Sicht der Empfängerorganisationen schien alles normal zu sein. Das Update stammte von einem bekannten Anbieter, wurde über offizielle Kanäle bereitgestellt und ohne Verdacht installiert.
Genau das machte den Angriff so wirkungsvoll. Anstatt eine Schwachstelle in der Firewall oder eine ungepatchte Sicherheitslücke in jeder Zielumgebung auszunutzen, machten sich die Angreifer das Vertrauen zunutze, das die Unternehmen in ihre Software-Lieferkette setzten.
Genau das macht es so schwierig, sich gegen Angriffe auf die Lieferkette zu schützen. Gerade jene Systeme, die dazu dienen, Aktualisierungen zu optimieren und die Integrität zu gewährleisten, können gleichzeitig zu einem Einfallstor für Risiken werden.
Das Risiko innerhalb der Build-Pipeline
Moderne Entwicklungspipelines sind auf Geschwindigkeit und Effizienz ausgelegt. Code wird in einem Tempo geschrieben, getestet, integriert und bereitgestellt, das vor einem Jahrzehnt noch undenkbar gewesen wäre. Diese Geschwindigkeit geht jedoch mit einer gewissen Komplexität einher.
An diesem Prozess sind zahlreiche Tools, Umgebungen und Abhängigkeiten beteiligt, von denen jede eine potenzielle Sicherheitslücke darstellt, wenn sie nicht ordnungsgemäß geschützt wird. Wenn Angreifer Zugriff auf eine Build-Pipeline erlangen, kompromittieren sie nicht nur ein einzelnes System, sondern verschaffen sich eine Position im Vorfeld, von der aus sie alles beeinflussen können, was diese Pipeline durchläuft. An dieser Stelle gewinnt die Codesignierung an Bedeutung, kann jedoch auch irreführend sein. Ein signiertes Update vermittelt ein Gefühl der Sicherheit, bestätigt jedoch lediglich, dass der Code aus einer vertrauenswürdigen Quelle stammt. Es garantiert nicht, dass die Quelle nicht kompromittiert wurde.
Ohne strenge Kontrollen hinsichtlich der Art und Weise, wie Code erstellt, getestet und signiert wird, kann dieses Vertrauen unangebracht sein.
Der blinde Fleck bei Software-Updates
Software-Updates dienen der Verbesserung der Sicherheit. Aus diesem Grund werden sie oft rasch, manchmal sogar automatisch und ohne eingehende Prüfung bereitgestellt. Die Herausforderung besteht darin, dass bei diesem Verfahren davon ausgegangen wird, dass das Update selbst sicher ist.
Im Fall von SolarWinds und anderen darauf folgenden Angriffen auf die Lieferkette wurde der Update-Mechanismus zum Übertragungsweg für Schadcode. Unternehmen führten das Update im Rahmen der routinemäßigen Wartung durch, ohne zu ahnen, dass sie damit ein Risiko in ihre eigenen Umgebungen einbrachten. Dies verdeutlicht eine Lücke. Während der Schwerpunkt häufig stark auf der Erkennung externer Bedrohungen liegt, wird der Überwachung dessen, was nach der Installation der Software geschieht, weniger Aufmerksamkeit geschenkt.
Ohne einen besseren Einblick in das Verhalten der Systeme nach einem Update ist es schwierig festzustellen, wann etwas nicht ganz stimmt.
Externer Code, internes Risiko
Jedes Unternehmen ist in irgendeiner Form auf externen Code angewiesen, sei es durch Software von Drittanbietern, Open-Source-Bibliotheken oder integrierte Dienste. Diese Abhängigkeit ist unvermeidlich, führt jedoch zu Abhängigkeiten, die nicht immer vollständig verstanden werden.
Sobald externer Code in eine Umgebung gelangt, wird er oft als grundsätzlich vertrauenswürdig angesehen, insbesondere wenn er von einem namhaften Anbieter stammt. Diese Annahme kann zu blinden Flecken führen, vor allem wenn interne Validierungsprozesse nur begrenzt vorhanden oder uneinheitlich sind.
Bei der Validierung von externem Code geht es nicht darum, jedem Anbieter zu misstrauen. Es geht vielmehr darum, zu erkennen, dass Risiken nicht verschwinden, nur weil die Quelle bekannt ist. Der SolarWinds-Hack hat gezeigt, dass selbst seriöse Anbieter Teil der Angriffskette werden können.
Warum Zero Trust immer noch unerreichbar erscheint
Seit dem SolarWinds-Angriff ist „Zero Trust“ zu einem viel diskutierten Konzept geworden. Der Ansatz, Benutzer, Systeme und Zugriffsrechte kontinuierlich zu überprüfen, anstatt auf implizitem Vertrauen zu beruhen, ist grundsätzlich sinnvoll. In der Praxis verläuft die Umsetzung jedoch langsamer als von vielen erwartet.
Ein Teil der Herausforderung liegt im Ausmaß der erforderlichen Veränderungen. Die Umstellung auf ein Zero-Trust-Modell erfordert ein Umdenken hinsichtlich der Art und Weise, wie Zugriff gewährt wird, wie Systeme miteinander interagieren und wie Vertrauen innerhalb des gesamten Unternehmens aufgebaut wird.
Für viele Teams stellt dies eine erhebliche Abkehr von etablierten Arbeitsweisen dar und erfordert eine funktionsübergreifende Koordination sowie die Bereitschaft, langjährige Annahmen zu hinterfragen. Infolgedessen vollziehen sich Fortschritte oft nur schrittweise. Zwar werden möglicherweise Elemente des Zero-Trust-Ansatzes eingeführt, jedoch selten in einer Weise, die den durch Angriffe auf die Lieferkette aufgedeckten Risiken vollständig Rechnung trägt.
Die menschlichen Entscheidungen hinter der Technologie
Auch wenn Angriffe auf die Lieferkette oft in hochtechnischen Begriffen diskutiert werden, werden sie in jeder Phase von menschlichen Entscheidungen geprägt. Entscheidungen darüber, wie schnell Updates bereitgestellt werden, wie gründlich der Code überprüft wird und wie viel Transparenz systemübergreifend gewährleistet ist, beeinflussen alle das Risikoniveau.
Diese Entscheidungen werden selten isoliert getroffen. Sie werden von Fristen und betrieblichen Zwängen beeinflusst, und in diesem Zusammenhang wird Vertrauen eher zu einer praktischen Notwendigkeit als zu einem bewussten Risiko. Die Herausforderung besteht darin, dass Angreifer diese Dynamik verstehen. Sie müssen nicht jede Sicherheitsmaßnahme umgehen, wenn sie einen Weg finden, sich im Rahmen des normalen Betriebsablaufs zu bewegen.
Warum die Lehren noch nicht vollständig verinnerlicht wurden
Der SolarWinds-Hack hat eine Reihe systemischer Probleme aufgezeigt, doch deren Lösung erfordert mehr als nur Sensibilisierung. Es bedarf konsequenter Maßnahmen in verschiedenen Bereichen, von der Absicherung der Build-Pipelines über die Verbesserung der Transparenz hinsichtlich des Softwareverhaltens bis hin zur Stärkung der Validierungsprozesse und der Neugestaltung von Vertrauensmodellen.
Das sind keine schnellen Lösungen. Sie erfordern grundlegende Veränderungen in der Art und Weise, wie Unternehmen Technologien entwickeln, implementieren und verwalten. Deshalb kann der Fortschritt langsam erscheinen. Die Erkenntnisse sind zwar bekannt, doch ihre Umsetzung in die tägliche Praxis ist weitaus komplexer.
Voranschreiten ohne blindes Vertrauen
Die Reduzierung von Risiken in der Lieferkette bedeutet nicht, dass man das Vertrauen gänzlich aufgeben muss. Es bedeutet vielmehr, bewusster zu entscheiden, wem man Vertrauen schenkt und wie dieses überprüft wird. Dazu gehört die Stärkung der Kontrollen in den Entwicklungspipelines, die Verbesserung der Überwachung des Softwareverhaltens und die Sicherstellung, dass externer Code einer angemessenen Prüfung unterzogen wird. Es bedeutet auch, anzuerkennen, dass Vertrauen nicht statisch sein sollte. Was zu einem bestimmten Zeitpunkt als sicher galt, ist es möglicherweise nicht mehr, wenn sich die Umgebungen weiterentwickeln.
Ein widerstandsfähigerer Ansatz konzentriert sich auf die kontinuierliche Überprüfung, bei der Annahmen regelmäßig überprüft werden, anstatt sie als gegeben hinzunehmen.
Wie MetaCompliance helfen kann
Bei MetaCompliance konzentrieren wir uns auf die Verhaltensweisen, die komplexen Sicherheitsrisiken zugrunde liegen, einschließlich jener, die durch Angriffe auf die Lieferkette aufgedeckt werden.
Die Lehren aus Vorfällen wie dem SolarWinds-Hack sind nicht nur technischer Natur. Sie machen deutlich, wie alltägliche Entscheidungen – von der Bereitstellung von Updates bis hin zum Umgang mit Drittanbietern – Risiken mit sich bringen können, wenn sie nicht vollständig verstanden werden.
Unser Ansatz verbindet gezielte Schulungen zur Sensibilisierung für Sicherheitsfragen mit Erkenntnissen zum menschlichen Verhalten und hilft Unternehmen dabei, zu untersuchen, wie sich Risiken im Zusammenhang mit den OWASP Top 10 und Schwachstellen in der Lieferkette in realen Szenarien manifestieren. Dazu gehört das Verständnis dafür, wie Vertrauen aufgebaut wird, wo es zerbrechen kann und wie man effektiver darauf reagieren kann.
Indem wir Teams mit praktischen Anleitungen und Hintergrundinformationen unterstützen, helfen wir Unternehmen dabei, über reaktive Maßnahmen hinauszugehen und einen konsistenteren, fundierteren Ansatz für das Risikomanagement zu entwickeln.
Da Lieferketten immer komplexer werden, gewinnt die Fähigkeit, Annahmen zu hinterfragen und bessere Entscheidungen zu treffen, zunehmend an Bedeutung.
Nehmen Sie noch heute Kontakt mit unserem Team auf, um mehr zu erfahren.
Häufig gestellte Fragen zu Angriffen auf die Lieferkette
Was war der SolarWinds-Hack und warum war er von Bedeutung?
Der SolarWinds-Hack war ein schwerwiegender Angriff auf die Lieferkette, bei dem Angreifer bösartigen Code in ein legitimes Software-Update einschleusten. Dadurch gelang es ihnen, Zugang zu Tausenden von Organisationen, darunter Regierungsbehörden und Großunternehmen, zu erlangen, ohne sofort Verdacht zu erregen. Die Tragweite dieses Vorfalls liegt darin, dass er die Risiken aufgezeigt hat, die entstehen, wenn man Software-Updates und Drittanbietern ohne ausreichende Überprüfung vertraut.
Was versteht man in der Cybersicherheit unter einem Supply-Chain-Angriff?
Ein Supply-Chain-Angriff liegt vor, wenn Angreifer einen vertrauenswürdigen Dritten, beispielsweise einen Softwareanbieter, kompromittieren, um sich Zugang zu den Systemen dessen Kunden zu verschaffen. Anstatt Organisationen direkt anzugreifen, nutzen Angreifer die Beziehungen und Abhängigkeiten zwischen Unternehmen aus und verwenden dabei häufig legitime Software-Updates oder -Integrationen als Einstiegspunkt.
Warum stellen Software-Updates ein Sicherheitsrisiko dar?
Software-Updates dienen dazu, Systeme zu verbessern, können jedoch zu einem Risiko werden, wenn der Update-Prozess kompromittiert wird. Wenn bösartiger Code in ein Update eingeschleust wird, kann dieser weit verbreitet und von Organisationen, die der Quelle vertrauen, automatisch installiert werden. Ohne angemessene Überwachung und Überprüfung können diese Updates unentdeckt Bedrohungen einschleusen.
Was ist Zero Trust und warum ist es wichtig?
„Zero Trust“ ist ein Sicherheitsansatz, bei dem davon ausgegangen wird, dass keinem Benutzer, System oder keiner Anwendung standardmäßig vertraut werden sollte, selbst wenn diese sich innerhalb des Netzwerks befinden. Er erfordert eine kontinuierliche Überprüfung von Zugriffen und Aktivitäten. Dies ist wichtig, da dadurch die Abhängigkeit von implizitem Vertrauen verringert wird, das bei Angriffen wie beispielsweise bei Sicherheitsverletzungen in der Lieferkette häufig ausgenutzt wird.
Wie können Unternehmen Sicherheitsrisiken in der Lieferkette verringern?
Unternehmen können Sicherheitsrisiken in der Lieferkette verringern, indem sie die Transparenz hinsichtlich ihrer Software und Lieferanten verbessern, die Kontrollen rund um die Build-Pipelines verstärken, externen Code gründlicher validieren und das Systemverhalten nach der Bereitstellung von Updates überwachen.
Die Einführung von Prinzipien wie „Zero Trust“ und die Durchführung von Schulungen zur Sensibilisierung für Sicherheitsfragen können Teams zudem dabei helfen, fundiertere Entscheidungen in Bezug auf Vertrauen und Risiken zu treffen.