Über die Supply Chain lassen sich selbst IT-Systeme angreifen, die bislang als bestens geschützt und schwer zu knacken galten. Im ersten Teil unserer Miniserie erläutert Asaf Karas, wie Angreifer Schwachstellen in Software-Bibliotheken und Repositorys injizieren. Zudem verrät der CTO und Mitgründer von Vdoo, welche Akteure hinter den Attacken stecken und warum das Thema künftig noch an Brisanz gewinnen wird.
Lieferkette: Komponenten Dritter beschleunigen die Softwareentwicklung, bergen aber zugleich Gefahren.
Unsere Welt funktioniert über Software. Code steuert so ziemlich alles, was wir benutzen: Apps, vernetzte Geräte bis hin zu industriellen Systemen in kritischen Infrastrukturen. Sämtliche Produkte basieren auf riesigen Mengen von Code. Der größte Teil stammt allerdings nicht von den Unternehmen selbst und entzieht sich der direkten Kontrolle. Zudem haben sich die Entwicklungszyklen inzwischen extrem verkürzt. Um mit diesem Tempo Schritt zu halten, nutzen viele Firmen Open Source Software und kommerzielle Komponenten. Schätzungen zufolge enthalten 99 Prozent aller Softwareprodukte Open Source Software und 85 bis 97 Prozent der gesamten Codebasis beruht auf Open Source-Komponenten. Gut für die Produktivität, aber nicht ohne Probleme. Software-Entwickler, Hersteller und die Nutzer der Systeme sind für sichere Lieferketten verantwortlich. Nachweislich keine ganz geringe Herausforderung.
Risiken abgrenzen
Software wird heute nicht mehr zusammengesetzt, sie wird aggregiert. Die moderne Softwareentwicklung basiert zu einem großen Teil auf Komponenten, die aus Quellen Dritter stammen und die Grundlage der Codebasis bilden. Sie stammen aus Open-Source-Softwareprojekten (wie Apache oder Linux) oder kommerziellen Produkten (beispielsweise Windows und Oracle). Unternehmen, die solche Komponenten verwenden, sind für die Herkunft und Sicherheit des Codes verantwortlich.
Ende 2020 hat sich eindringlich gezeigt, welchen Risiken die Softwarelieferkette ausgesetzt ist. Staatliche Angreifer kompromittierten den Update-Server der Orion-Plattform, die skalierbare Überwachungs- und Verwaltungsplattform von SolarWinds, und verteilten so Schadcode über einen ansonsten vertrauenswürdigen Pfad an die Kunden des Unternehmens. Aufgrund dieser Vorgehensweise blieb der Angriff lange unentdeckt. Zu den Opfern gehörten Microsoft, die US-Regierung und viele andere hochrangige Ziele, die ansonsten gut vor externen Bedrohungen geschützt sind.
Cybersicherheitsrisiken in der Lieferkette sind die Folge von Schwachstellen oder Sicherheitslücken, die absichtlich (bei einem Supply-Chain-Angriff) oder auch unbeabsichtigt über den Erwerb von Software und Hardware in ein Unternehmen gelangen. Der Angriff erfolgt mittels einer Schadkomponente, die über eine legitim erscheinende Software oder über ein Gerät eingeschleust wird. Der Code wird dann beispielsweise von einem nichts ahnenden Administrator im Netzwerk des Unternehmens installiert. So gelingt es, Abwehrmechanismen am Perimeter und auch die meisten netzwerkbasierten Überwachungssysteme zu umgehen. Die Angriffe sind folglich schwer zu erkennen und deshalb für Hacker eine verlockende Alternative zu herkömmlichen Perimeter-Angriffen.
Supply-Chain-Risiken und warum sie so schwer in den Griff zu bekommen sind
Die Herausforderungen bei Supply-Chain-Angriffen liegen in den schwerwiegenden Auswirkungen und der Tatsache, dass sie meist lange Zeit unentdeckt bleiben. Das Ausmaß betrifft in aller Regel nicht nur ein Unternehmen, sondern eine Vielzahl von ihnen, wenn zum Beispiel eine populäre Open Source-Komponente kompromittiert wurde. Unternehmen haben oft keine Möglichkeit, Fremdcode zu überprüfen und nicht die nötige Transparenz, um sich vor Schadcode zu schützen, der sich in einem Paket verbirgt. Ein wesentliches Problem besteht darin, dass ein großer Teil des von Unternehmen installierten Codes „Closed Source“ ist. Das heißt, der Quellcode der Anwendungen kann nicht von jedermann eingesehen werden und liegt nur in Form von Binärdateien vor. Dieser Code ist wie eine Black Box, und schwerlich zu überprüfen. Reverse Engineering wiederum ist aufwändig, teuer und kommt in den meisten Fällen nicht in Frage.
Zwar haben sich viele Prozesse innerhalb der Softwareentwicklung inzwischen verbessert, aber bis zu einer umfassenden Software Bill of Materials (SBOM), die alle Komponenten erfasst, ist es vielerorts noch ein weiter Weg. Ein anderes Problem bei Open Source-Komponenten besteht in den Abhängigkeiten, die unter der Oberfläche des Codes stecken. Eine einzelne Bibliothek baut unter Umständen auf Dutzenden von Abhängigkeiten auf, direkten und transitiven. Wenn der verwendete Code eine Funktion in einer dieser zugrunde liegenden Abhängigkeiten aufruft, und die zufällig eine Schwachstelle aufweist, gefährdet sie möglicherweise auch das Produkt.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Auch Paketmanager werden von vielen Unternehmen gern übersehen, aber von Angreifern aktiv ausgenutzt. Sie sind ein nicht zu unterschätzender Vektor für die ungewollte Installation von Schadcode. Paketmanager abstrahieren viele der Aktionen, die bei der Installation von Fremdsoftware im Hintergrund ablaufen. Dazu gehört die Entscheidung, ein lokales Paket aus dem internen Repository des Unternehmens oder ein gleichnamiges Paket aus einer öffentlichen (und potenziell bösartigen) Quelle zu verwenden. Dies kann zu einem automatischen und rekursiven Import von Abhängigkeiten führen. Und jede von ihnen kann kompromittiert sein.
Zu viele Schwachstellen, zu viele False Positives
Unternehmen spalten Open Source-Projekte üblicherweise auf, fügen je nach Anforderungsprofil eigenen Code ein und rückportieren Patches aller Schwachstellen, die sie identifizieren. Dabei wird aber gerne versäumt, die angegebene Paketversion zu ändern. So kann man nur schwer erkennen, ob das Paket tatsächlich anfällig ist. Besonders schwierig ist es, wenn sich die Schwachstellenerkennung nur auf diese Version des Softwarepakets bezieht.
Ein zweites Problem betrifft die Frage, mit welcher Art von Schwachstellen man es zu tun hat. Wir verwenden heute eine Fülle von Komponenten von Drittanbietern, die ihrerseits auf anderen Komponenten aufbauen. Es besteht also eine hohe Wahrscheinlichkeit, dass mehr als nur ein paar veritable Schwachstellen in einem AST-Scans (AST = Application Security Testing) auftauchen. Wenn Produkte Schwachstellen aufweisen, müssen die aber nicht zwangsläufig ein hohes Risiko bedeuten und auch tatsächlich ausgenutzt werden. In vielen Fällen schreibt ein Entwickler eine API, die nur bestimmte Funktionen innerhalb einer Fremdkomponente (höchstwahrscheinlich Open Source) aufruft. Die aufgerufenen Funktionen sind effektiv notwendig. Alle anderen bekommen keinen Zugriff auf das Produkt und bleiben im Wesentlichen als ineffektive Funktionen im Hintergrund. Sie stellen keine direkte Bedrohung dar, können vergleichsweise einfach entschärft oder bei der Behebung zurückgestellt werden.
Der „Shift Left“-Angriff
„Shift Left“-Angriffe passieren im Lebenszyklus der Softwareentwicklung (SDLC) bevor Sicherheitsmaßnahmen wie Hashing, Verschlüsselung und viele AST-Tools die Möglichkeit haben, sie zu erkennen. Da immer mehr Sicherheitsmaßnahmen in frühere Entwicklungsstadien verlegt werden, suchen gewiefte Angreifer nach Möglichkeiten, diesem Trend einen Schritt voraus zu sein.
Wer sind die Angreifer?
Die Angreifer rekrutieren sich aus dem kompletten Spektrum - vom böswilligen Entwickler bis hin zu Elite-Hacking-Teams mit staatlicher Unterstützung und allem, was dazwischen liegt.
Bei einem erfolgreichen Angriff gelingt es einem Einzelnen möglicherweise, den Projektverantwortlichen eines Open-Source-Projekts davon zu überzeugen, ihm Commit-Rechte zu erteilen. So lässt sich bösartiger Code einschleusen, der seinen Weg in das Produkt eines lukrativen Ziels irgendwo im Downstream findet. Möglicherweise fügt ein Innentäter, ein Entwickler, schädlichen Code in einen Update-Server ein und der wird dann weitergeleitet. In den meisten Fällen drehen sich diese kriminellen Handlungen um Krypto-Mining oder Malvertising.
Aber auch die organisierte Kriminalität interessiert sich nicht ohne Grund für anfällige Lieferketten. Solche Gruppen sind in aller Regel finanziell und technisch gut ausgestattet. So kommen hier eher Trojaner zum Einsatz, die eine Ransomware-Infektion in Gang setzen. Das Hacken eines Update-Servers ist eine ideale Taktik für Aktivitäten größeren Ausmaßes, etwa den Aufbau von Botnetzen für DDoS-Angriffe oder den Spam-Versand. Für staatliche Akteure können Angriffe auf die Lieferkette derweil attraktiv sein, um in gegnerische Regierungsnetzwerke einzudringen oder Industriespionage zu betreiben – insbesondere weil solche Ziele ansonsten gut geschützt sind.
Der SolarWinds-Vorfall ist ein Musterbeispiel für einen weitreichenden Supply-Chain-Angriff. Der Erfolg der Operation hat inzwischen schon andere inspiriert, und in den kommenden Monaten und Jahren ist fraglos mit ähnlich gearteten Angriffen zu rechnen. Taktiken und Methoden, die von gut ausgestatteten Geheimdiensten entwickelt wurden, sickern allmählich auch zu Angreifern mit weniger Expertise und Ressourcen durch. Ein Beispiel ist die Eternal Blue-Schwachstelle, die als Initialzündung für Generationen von Ransomware-Angriffen diente.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/1e/091ed8cb9e5ff2018767a38d5f3e6c01/0128644514v2.jpeg "In Europa werden vor allem Infostealer, Spyware und Backdoors eine zunehmende Bedrohung für Unternehmen. (Bild: Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d0/0d/d00d9817e95b958c4e9a5de3827f97dc/0128941867v2.jpeg "Die StackWarp-Sicherheitslücke in AMD-Prozessoren ermöglicht Angreifern, durch Manipulation des Stack-Pointers Sicherheitsmechanismen zu umgehen und auf vertrauliche Daten in virtuellen Maschinen zuzugreifen. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/12/bd121ec45041d6f7dc804f9d5ec61402/0128625025v1.jpeg "Ransomware-Angriffe treffen immer häufiger Unternehmen über externe Dienstleister oder durch KI-gestützte Techniken wie Deepfakes und generiertes Phishing. (Bild: © StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/bc/1bbce1be24cc1385f75c3807304a159a/0128961828v2.jpeg "Vom 13. bis 16 Januar 2026 fand in Lissabon die Sharp Inspire Expo statt. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/f5/20/f5202ba457b5b1acd41cf9dcf7fee081/0128966225v1.jpeg "SASE-Plattformen verarbeiten Sicherheitsfunktionen direkt im Datenstrom. Leistungsengpässe wirken sich sofort auf Anwendungen und Richtliniendurchsetzung aus. (Bild: © Thares2020 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/89/bc89161c8e1c7eaf788bb4afd3240f39/0128948228v1.jpeg "Der Einsatz generativer KI in Fachabteilungen entzieht sich häufig der klassischen IT-Governance und erfordert neue Steuerungsmodelle. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/f4/92f4b65a1330a2b356a38c36aecb99c1/0127554001v1.jpeg "Ein QNAP-NAS lässt sich direkt in Active-Directory-Domänen integrieren. So können Administratoren Benutzerrechte und Zugriffe zentral über den Domänencontroller steuern. (Bild: QNAP)")
:quality(80)/p7i.vogel.de/wcms/6a/73/6a73ccb768416b1a5682e4dcaef48d84/0128975429v1.jpeg "Die Sicherheitsarchitektur von SAP S/4HANA entsteht in der Startphase aus Rollenmodellen, Schnittstellenkontrollen, Protokollierung und klaren Betriebsprozessen. (Bild: © BalanceFormCreative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/91/5191e57580adf858d831f07713d9b93c/0127671074v1.jpeg "Microsoft konsolidiert mit der Windows Update Orchestration Platform die Update-Prozesse für Betriebssystem, Treiber und Anwendungen. Erfahren Sie, wie die neue Plattform mit Azure Update Management zusammenspielt und IT-Administratoren bei Compliance, Rollout und Fehlerdiagnose unterstützt. (Bild: Joos | Microsoft)")
:quality(80)/p7i.vogel.de/wcms/b2/d0/b2d0d2ae93fd30ca5959bcf82b4d5bb3/0128930398v1.jpeg "Deepfakes und KI-gestützter Betrug stellen Unternehmen, Behörden und Gesellschaft vor neue Herausforderungen. Technische Erkennung, organisatorische Maßnahmen und Forschungspartnerschaften gelten als zentrale Gegenpole. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/d5/07d5de7cfa895e90d88fc9023a0d7050/0128728878v1.jpeg "Zahlen, Vergütung, Transparenz: Der Gehaltsreport zeigt, wie unterschiedlich Einkommen in Deutschland ausfallen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/images.vogel.de/vogelonline/bdb/1253400/1253428/original.jpg "Wer auch immer für WannaCry verantwortlich war, die nächste Ransomware wird sehr wahrscheinlich keine „Notbremse“ mehr besitzen. (chakisatelier - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/ca/d9ca10c14ad3318723d5e0781475f3c0/0125540345v1.jpeg "Paket-Halluzinationen verbreiten sich wie Lauffeuer durch KI-gestützte Autovervollständigung von Code, durch gefälschte Tutorials und KI-generierte, wiederverwendbare Code-Snippets. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/65/b2652c525f054b9cf8598440a7e24540/0128593399v2.jpeg "KI-Coding liefert Tempo, aber auch Schwachstellen. Richtlinien, Reviews und Security-Tests von IDE-Scanning bis Sandboxing machen den Code belastbar. (Bild: © Maximusdn - stock.adobe.com)")