Die Strategie ist ebenso perfide wie wirksam. Statt Unternehmen direkt zu attackieren, greifen Hacker zunehmend deren Zulieferer oder IT-Dienstleister an, infiltrieren deren Rechnersysteme und nehmen von dort aus im zweiten Schritt dann die ursprünglichen Ziele ins Visier. Denn weil Zulieferer als vertrauenswürdige Partner gelten, gelingt es Hackern auf diesem (Um-)Weg in der Regel leichter, in die IT-Systeme ihrer Opfer zu gelangen.
Immer häufiger schaffen es Hackern sogar, wie im Juli dieses Jahres beim Unternehmen Kaseya geschehen, Schadcode in die IT eines wichtigen Softwareanbieters einzuschleusen, dessen Programme wiederum bei anderen Unternehmen im Einsatz sind. Dann wird solch ein Raubzug über Bande für die Cyberkriminellen quasi zum Selbstläufer. Denn über die eingebauten Updatemechanismen der regulären Software verbreitet sich auch der eingeschleuste Schadcode ebenso automatisch wie unauffällig in die Rechner der ahnungslosen Kunden.
Bis die Hacker die digitale Bombe scharf schalten und ihre Verschlüsselungsprogramme mitunter bei Tausenden von Opfern zugleich aktiv werden. „Auf diese Weise können sich dann schlagartig geradezu lawinenartige Schadensszenarien entwickeln“, sagt Joachim Mohs, Partner bei PwC Deutschland und Experte für Cybersicherheit in Lieferketten.
Im Fall der Attacke auf Kaseya gehen Sicherheitsexperten davon aus, dass auf einen Schlag mehr als 1000 Unternehmen betroffen waren. Die Hacker der REvil Gruppe forderten 70 Millionen Dollar Lösegeld für eine Art Generalschlüssel, um alle blockierten Server wieder zu entschlüsseln. US-Justizminister Merrick Garland sagte kürzlich, bislang sei REvil-Software bei Attacken auf etwa 175.000 Computer weltweit eingeschleust worden, mindestens 200 Millionen US-Dollar Lösegeld seien bei Angriffen mit der Software schon gezahlt worden.
Kein Wunder also, dass solche in der Branche als „Supply-Chain-Attacks“ – zu Deutsch „Lieferkettenangriffe“ – benannten Szenarien auch in den Führungsetagen deutscher Unternehmen zu den meistgefürchteten Cybergefahren zählen. Laut einer aktuellen Studie des Wirtschaftsprüfungs- und Beratungsunternehmens PwC zur Cybersicherheit in Unternehmen haben derartige Attacken für immerhin 78 Prozent der befragten Führungskräfte in Deutschland eine „besorgniserregende Bedeutung“; 84 Prozent der Befragten fürchten sie zudem wegen der extremen Komplexität der Materie.
Doch trotz dieses eindeutigen Gefahrenbewusstseins ist die deutsche Wirtschaft bei Schutzmaßnahmen offenbar erschreckend nachlässig. „70 Prozent der befragten Manager in Deutschland geben an, gegen Supply-Chain-Attacken bisher nichts Konkretes unternommen zu haben“, sagt PwC-Experte Mohs. Dabei mangele es vielfach nicht einmal an gutem Willen bei den Verantwortlichen. „In vielen Fällen liegt der Fokus aber zunächst einmal auf vermeintlich näherliegenden Aufgaben, nämlich der Absicherung der IT in den Unternehmen selbst“, so Mohs.
Die IT-Sicherheit der Zulieferer hingegen sei für viele Verantwortliche – in den IT-Abteilungen und mehr noch in den Geschäftsleitungen – eine große Unbekannte. „Vielen Beteiligten ist noch nicht einmal bekannt, welche Risiken aus welcher Ecke drohen können“, sagt der PwC-Experte. „Geschweige denn, dass Firmen konkrete Informationen hätten, wie es um die Gefahrenlage oder das Schutzniveau bei ihren Zulieferern tatsächlich aussieht.“
Grund dafür ist auch, dass in vielen Vertragsbeziehungen das Thema Cybersicherheit in der Vergangenheit noch keine nennenswerte Rolle gespielt hat. „Meldepflichten bei IT-Vorfällen oder die Vereinbarung eines Mindestniveaus für IT-Sicherheit beim Zulieferer sucht man bis heute in vielen Verträgen vergeblich“, so Mohs. „Da müssen viele Firmen ganz dringend nachverhandeln, um den Cyberblindflug in ihren Lieferketten abzustellen.“
Wie sich rasch mehr Klarheit gewinnen lässt, verrät ein Blick zu den Betreibern sogenannter kritischer Infrastrukturen, also etwa Strom- oder Kommunikationsnetzbetreiber, Gesundheitsunternehmen, Logistiker oder auch Finanzinstitute. All jenen nämlich schreibt die sogenannte KRITIS-Verordnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) detailliert vor, wie und von welchen Lieferanten sie sich das Schutzniveau ihrer Produkte und IT-Systeme nachweisen lassen müssen. Und auch, wie sich die Lieferanten ihrerseits die Sicherheit ihrer IT zertifizieren lassen können. Konkrete Empfehlungen für Sicherheitsanforderungen und -nachweise hat das BSI unter anderem hier veröffentlicht.
„Die deutschen Vorgaben an dieser Stelle sind auch im internationalen Vergleich führend“, konstatiert auch PwC-Experte Mohs. Sein Tipp für einen besseren Schutz der gesamten deutschen Wirtschaft gegen Lieferkettenangriffe ist daher ebenso simpel wie nachvollziehbar: Deutschland müsse Cybersicherheitsvorgaben schlichtweg für alle Branchen und Unternehmen verpflichtend machen, fordert Mohs. „Dann hätten wir sehr schnell sehr viel gewonnen.“
Mehr zum Thema: In einer international koordinierten Aktion gegen die Hackergruppe REvil haben Ermittler aus den USA und Europa vermutliche Täter festnehmen und Millionenbeträge beschlagnahmen können. Ausgeschaltet ist die Gruppe damit aber noch lange nicht.
