Studie von Kaspersky Jedes dritte Unternehmen von Supply-Chain-Angriff betroffen

Laut Kaspersky war ein Drittel der Unternehmen in Deutschland von Supply-Chain-Angriffen betroffen. Häufige Folgen sind Betriebs­un­ter­brech­ungen, Reputationsschäden und finanzielle Verluste. Gleichzeitig wird das Risiko oft unterschätzt.

Die Zusammenarbeit mit externen Partnern kann für Unternehmen zwar Erleichterung bedeuten, was den Workload angeht, doch sie kann auch zum Sicherheitsrisiko werden. Einer Studie von Kaspersky nach, seien 29 Prozent der Unternehmen in Deutschland war in den vergangenen zwölf Monaten von einem Supply-Chain-Angriff betroffen gewesen. 26 Prozent seien zudem zu Opfern von sogenannten Trusted-Relationship-Angriffengeworden. Für die Umfrage „Supply chain reaction: securing the global digital ecosystem in an age of inter­de­pen­dence“ wurden 1.714 IT-Experten aus Unternehmen mit mehr als 500 Mitarbeitern in 16 Ländern, darunter Deutschland, befragt.

Update: mini Shai-Hulud breitet sich weiter aus

Supply Chain Angriff auf SAP CAP durch bösartige npm-Pakete

Auswirkungen von externen Risiken

Die häufigsten Konsequenzen dieser Angriffe seien Betriebsunterbrechungen (50 Prozent), Reputationsschäden (46 Prozent) und finanzielle Verluste (34 Prozent)gewesen. Dennoch hätten lediglich fünf Prozent der Befragten Supply-Chain-Angriffe beziehungsweise drei Prozent Trusted-Relationship-Angriffe als größte Bedrohung für ihr Unternehmen eingestuft. Dies spricht laut Kasperksy für eine Diskrepanz zwischen wahrgenommenen Cyberrisiken und deren Priorisierung in der Praxis.

Gerade in Deutschland steige die durchschnittliche Anzahl der Software- und Hardware­liefer­an­ten mit der Unternehmensgröße. Bei Unternehmen mit 500 bis 1.499 Mitarbeitern liege sie bei 105, bei 1.500 bis 2.499 Mitarbeitern bei 192 und bei 2.500 oder mehr Mitarbeitern bei 536 Software- und Hardwarelieferanten. Betroffen von Supply-Chain-Angriffen seien jedoch am häufigsten Unternehmen mit 1.500 bis 2.499 Mitarbeitern (36 Prozent), gefolgt von Unter­nehmen mit 500 bis 1.499 Mitarbeitern (30 Prozent). Bei Unternehmen mit 2.500 oder mehr Mitarbeitern habe der Anteil bei elf Prozent gelgen. Zusätzlich habe sich gezeigt, dass sich die durchschnittliche Zahl externer Auftragnehmer mit Systemzugang je nach Unternehmens­größe unterscheidet. Sie steige von 45 bei Unternehmen mit 500 bis 1.499 Mitarbeitern auf 140 bei Unternehmen mit 2.500 Mitarbeitern oder mehr. Eine hohe Zahl externer Auftragnehmer mit Systemzugang könne neben Supply-Chain-Risiken potenziell auch Trusted-Relationship-Angriffe begünstigen, bei denen legitime Verbindungen und Zugänge zwischen Organisationen missbraucht werden.

Nur wer seine Supply Chain kennt, kann sie auch schützen

CVE-Flut täuscht über reale Gefahren in der Software-Lieferkette hinweg

Internationaler Vergleich

Weltweit seien bereits 31 Prozent der Unternehmen von Supply-Chain-Angriffen betroffen gewesen, 25 Prozent hätten Trusted-Relationship-Angriffe gemeldet. Besonders häufig hätten Unternehmen in der Türkei (35 Prozent), Singapur (33 Prozent) und Mexiko (31 Prozent) von Angriffen über bestehende Geschäftsbeziehungen berichtet.

Gleichzeitig werde die Gefährlichkeit von Supply-Chain-Angriffen in einigen Ländern deutlich stärker wahrgenommen als im globalen Durchschnitt: In Singapur hätten 38 Prozent der Unternehmen diese Angriffe als eine der drei gefährlichsten Cyberbedrohungen eingestuft, in Brasilien und Kolumbien jeweils 36 Prozent, in Mexiko 35 Prozent. Weltweit hingegen würden nur neun Prozent der befragten technischen Experten Supply-Chain-Angriffe als größte Bedrohung sehen. Lediglich acht Prozent hätten Trusted-Relationship-Angriffe als Top-Risiko bewertet, obwohl mehr als die Hälfte der Befragten (52 Prozent) angegeben habe, dass solche Vorfälle erhebliche operative Störungen verursachen können.

„Unternehmen agieren in einem digitalen Ökosystem, in dem jede Verbindung, jeder Lieferant, jede Integration Teil der eigenen Sicherheit wird“, kommentiert Sergey Soldatov, Head of Security Operations Center bei Kaspersky. „Da Unternehmen immer stärker vernetzt sind, wächst auch ihre Anfälligkeit für Angriffe. Vor diesem Hintergrund erfordert der Schutz moderner Unternehmen heute einen ökosystemweiten Ansatz, der nicht nur einzelne Systeme stärkt, sondern das gesamte Beziehungsnetzwerk, das den Geschäftsbetrieb aufrechterhält.“

Cyber-Risikomanagement in der Supply Chain

Eskalierende Bedrohungslandschaft für Lieferketten

Empfehlungen für mehr Cybersicherheit in der Lieferkette

Kaspersky nennt folgende Tipps, um die Risiken in der Lieferkette zu reduzieren:

• Lieferanten vor Vertragsabschluss gründlich prüfen und Sicherheitsrichtlinien, Informationen zu früheren Vorfällen sowie die Einhaltung relevanter Industriestandards bewerten. Bei Software- und Cloud-Services zusätzlich verfügbare Schwachstellendaten sowie Ergebnisse von Penetrationstests berücksichtigen.

• Sicherheitsanforderungen vertraglich festschreiben und verbindliche Security-Klauseln definieren, regelmäßige Audits einplanen und die Einhaltung interner Policies sowie klarer Incident-Notification-Prozesse sicherstellen.

• Präventive technische Maßnahmen etablieren und das Prinzip der minimalen Rechtevergabe (Least Privilege), Zero-Trust-Ansätze sowie ein reifes Identity- und Access-Management umsetzen, um die Auswirkungen bei einer Kompromittierung eines Zulieferers zu begrenzen.

• Kontinuierliches Monitoring sicherstellen mithlfe von laufender Überwachung der Infrastruktur und Anomalie-Erkennung in Software- sowie Netzwerkverkehr.

• Reaktionspläne explizit um Supply-Chain-Szenarien ergänzen, inklusive klarer Schritte zur schnellen Identifikation, Eindämmung und Trennung kompromittierter Supplier-Zugänge, beispielsweise zur Entkopplung des Lieferanten von Unternehmenssystemen.

• Lieferanten in die eigene Sicherheit einbeziehen, indem Sicherheitsanforderungen und Verbesserungen beidseitig abgestimmt werden, gemeinsame Prioritäten definiert und operative Zusammenarbeit wie Meldewege, Übungen und Lehren etabliert werden.