Software-Supply-Chain-Angriffe werden gezielt über externe Komponenten, Software-Bibliotheken oder Firmware-Updates eingeschleust. Diese Form der Cyberkriminalität nutzt Sicherheitslücken bei Zulieferern, Dienstleistern oder Softwareanbietern aus, um in der Lieferkette nachgelagerte Unternehmen oder Endkunden anzugreifen.
Besonders betroffen sind Industrieanlagen, Maschinensteuerungen, IoT-Komponenten und andere eingebettete Systeme, die meist langjährige Betriebszyklen haben und selten sicherheitskritisch untersucht, überwacht und aktualisiert werden. „Hier besteht akuter Handlungsbedarf“, sagt Jan Wendenburg, CEO des Düsseldorfer Cybersicherheitsunternehmens Onekey. „Cybersecurity muss die gesamte Wertschöpfungskette umfassen, um wirksam zu sein.“
Die Marktforschungsfirma Cybersecurity Ventures veranschlagt in einer aktuellen Studie den durch Supply-Chain-Angriffe verursachten Schaden auf weltweit 80 Milliarden Dollar jährlich. „Die Komplexität globaler Lieferketten verschärft das Problem“, ergänzt Wendenburg. Er verweist auf einen Bericht der Europäischen Agentur für Cybersicherheit ENISA, wonach zwei Drittel der Unternehmen in der EU mindestens schon einmal von kompromittierten Zulieferern betroffen waren. Laut ENISA gehören Supply-Chain-Angriffe zu den Top-5-Bedrohungen für industrielle IT- und OT-Systeme, im „ENISA Foresight 2023 Report“ werden sie als die Top-1-Cybersecurity-Gefahr herausgestellt.
Gefahr in jedem Vorprodukt
Die deutsche Wirtschaft ist traditionell stark internationalisiert: Der Wert der importierten Vorprodukte, die von der deutschen Industrie aus aller Welt bezogen werden, liegt in der Größenordnung von 370 Milliarden Dollar. Diese Importe von sogenannten „intermediate goods“ sind von zentraler Bedeutung für die Produktion in Deutschland. „Jede verwendete Software und jedes mit vernetzter Digitaltechnik ausgerüstete Vorprodukt stellt eine potenzielle Gefahr dar“, sagt Wendenburg.
Dabei besteht das große Gefährdungspotenzial von Supply-Chain-Angriffen darin, dass nicht nur das jeweilige Unternehmen mit Schadsoftware infiziert wird, sondern diese über Produktauslieferungen an Kunden weitergegeben wird. So wäre es beispielsweise möglich, dass ein Maschinenbauer an seine Kunden Anlagen mit industriellen Steuerungen abgibt, die ein Schadprogramm in sich tragen. Dabei kann der bösartige Code über zwei Wege aus der Lieferkette kommen: Entweder als Software, die in die Produktenwicklung einfließt, oder als Teil eines Vorprodukts, das im Endprodukt verbaut wird.
Mehr Nachfrage nach Sicherheitsprüfungen
„Dieser Trend ist alarmierend, da die Lieferketten der deutschen Industrie hochgradig vernetzt sind und ein einziger Angriff weitreichende Folgen haben kann“, betont Wendenburg. „Daher sollten Embedded Systems, die in Steuerungstechnik, Automatisierung oder IoT-Geräten zum Einsatz kommen, einer umfassenden Prüfung im Hinblick auf Cybersecurity unterzogen werden.“ Das gelte ausnahmslos für alle Komponenten, also nicht nur die im eigenen Unternehmen entwickelten, sondern auch für die von Zulieferern übernommenen Vorprodukte.
Nach Angaben des CEOs erfährt Onekey derzeit eine „stark steigende Nachfrage“ nach Sicherheitsüberprüfungen von Geräten, Anlagen und Systemen mit Echtzeit-Betriebssystemen (RTOS), wie sie in Embedded-Systemen typischerweise zum Einsatz kommen. Das Unternehmen hatte vor wenigen Monaten seine Product Cybersecurity & Compliance Platform (OCP) weiterentwickelt, sodass diese auch RTOS-Firmware auf Schwachstellen und Sicherheitslücken überprüfen kann. Das gestaltete sich bislang schwierig, insbesondere bei sogenannten monolithischen Binärdateien, wie sie bei Echtzeit-Betriebssystemen wie etwa FreeRTOS, Zephyr OS und ThreadX im Einsatz sind.
Open Source und der Fall Log4Shell
Als ein besonders kritisches Einfallstor in der Lieferkette gelten Open-Source-Komponenten, die in rund 80 Prozent aller Firmware-Stacks für Embedded Systems enthalten sind. Sicherheitslücken in weitverbreiteten Bibliotheken wie uClibc, BusyBox oder OpenSSL können eine Vielzahl von Systemen gleichzeitig betreffen.
Der Fall Log4Shell im Jahr 2021 – eine Schwachstelle in der weitverbreiteten Java-Bibliothek Log4j – hatte gezeigt, wie gefährlich eine unsichere Software-Komponente sein kann, selbst wenn sie nur in einem Subsystem verwendet wird. Der Fall gilt als eine der gravierendsten Sicherheitslücken der vergangenen Jahrzehnte, weil die Software Bestandteil von Millionen Java-Anwendungen ist, darunter auch zehntausenden OT- und IoT-Systemen.
„Die zunehmende Komplexität industrieller Systeme, die Vielzahl externer Anbieter und die Langzeitnutzung von Embedded Systems lassen Supply-Chain-Angriffe zu einer immer größeren Bedrohung werden“, hält Wendenburg fest. Er verweist auf Prognosen der Gartner Group, wonach bis 2026 über 45 Prozent aller Unternehmen mindestens einen Cybervorfall über die Lieferkette erleben werden, der ihre Betriebsfähigkeit beeinträchtigt.
Folgen für Produktion, Reputation, Lieferfähigkeit
„Die immer stärkere Integration von Industrial-IoT-Systemen und Robotik bis hin zu autonomen Produktionslinien öffnet geradezu ein Scheunentor für Attacken aus der Lieferkette“, erklärt Wendenburg. Er appelliert an die Unternehmensführungen: „Es ist höchste Zeit, Software für Embedded-Systeme, unabhängig ob aus eigenem Haus oder von Lieferanten, systematisch vor dem Einsatz und laufend zu überprüfen. Wer das unterlässt, setzt nicht nur seine Produktion, sondern auch seine Reputation und Lieferfähigkeit aufs Spiel.“
.jpg "Polymere Additive – das clevere Multifunktionswerkzeug für innovative Kunststoffe")
