• Startseite
  • Aktuelles
  • Vertrauen ist gut, Kontrolle ist besser – aktuelle Forschung zu IT-Angriffen über Lieferketten
© iStock/gorodenkoff
Hacker vor PC-Bildschirmen

Vertrauen ist gut, Kontrolle ist besser – aktuelle Forschung zu IT-Angriffen über Lieferketten

„Das Internet brennt“ – so hieß es Mitte Dezember 2021, als eine Sicherheitslücke im Java-Framework log4j bekannt wurde, die ein breites Spektrum an IT-Angriffen ermöglichte. Das Bundesamt für Sicherheit in der Informationstechnik gab daraufhin die höchste Warnstufe „rot“ aus, etliche Unternehmen weltweit sind betroffen. Fachleute der GRS analysieren im Auftrag des Bundesumweltministeriums IT-Angriffe und -Sicherheitsvorfälle, die auch für deutsche kerntechnische Anlagen und Einrichtungen relevant sein können, um diese entsprechend zu schützen.

In unserer zunehmend digitalisierten Welt sind IT-Angriffe so selbstverständlich geworden wie Überfälle auf die Postkutsche im Wilden Westen. Bei solchen Angriffen sind allerdings nicht mehr Gold und Banknoten die Beute. Häufiges Ziel sind heutzutage sensible Daten, die beispielsweise verschlüsselt werden, um anschließend Lösegeld zu erpressen. Neben den Angriffszielen haben sich auch die Täter und ihre Methoden verändert. Was gleich geblieben ist: Ein erfolgreicher Überfall will gut geplant, mögliche Schwachpunkte ausgemacht sein. Eine zunehmend beliebte Strategie, um Sicherheitsbarrieren zu umgehen, sind Angriffe, die mit der Lieferkette von IT-Systemen zusammenhängen. Die Angreifer suchen sich dabei ein Glied in der Lieferkette aus, das sie infiltrieren und durch das sie Zugriff auf die eigentlich interessanten Ziele bekommen.

IT-Angriffe über die Lieferkette nehmen zu

Solche Angriffe über die Lieferkette haben in den letzten zehn Jahren sowohl im Hinblick auf das Sicherheitsverständnis als auch auf die Angriffsmöglichkeiten an Bedeutung gewonnen. So werden beispielsweise immer mehr Vorfälle registriert, bei denen bereits mit Schadsoftware infizierte IT-Systeme geliefert und eingebaut werden. Neben der Manipulation von Hardware vor der Lieferung gibt es weitere Angriffsformen, wie das Einschleusen von schadhaftem Code in Software durch die Manipulation von Software-Updates. Eine weitere Möglichkeit sind Angriffe über identifizierte Schwachstellen im Code, wie sie gerade weltweit über den Java-Framework log4j laufen.

Die infizierten Systeme kommen in der Regel von Zulieferern, die häufig selbst nicht wissen, dass ihr Produkt manipuliert wurde. Sie können jedoch eine Reihe von Sicherheitsvorkehrungen (wie zum Beispiel Antivirus-Softwares) weitgehend ungehindert passieren. Betroffen sein können nicht nur Bürocomputer, sondern auch industrielle Steuerungssysteme einschließlich betrieblicher Leittechnik und Sicherheitsleittechnik oder sogenannte IoT-Geräte, die über das Internet verknüpft sind und Daten und Informationen austauschen.

Ein prominentes Beispiel für typische IT-Angriffe über die Lieferkette ist der Angriff über manipulierte Produkte des US-amerikanischen Unternehmens SolarWinds-Produkte von 2020: Tausende Kunden von SolarWinds wurden durch die Produkte kompromittiert. Eine Vielzahl von US-Behörden und Unternehmen wurde teils monatelang unbemerkt mithilfe einer Spionagesoftware ausgespäht, die sie sich über ein manipuliertes Update der Netzwerkmanagement-Software Orion von SolarWinds eingefangen hatten. Zu den Geschädigten zählten unter anderem das US-amerikanische Finanz- und Außenministerium, Teile des Pentagons sowie das US-Energieministerium mitsamt seiner untergeordneten National Nuclear Security Administration, die das Atomwaffenarsenal der USA verwaltet; auch in Deutschland und Europa gab es Betroffene.

Auch kritische Infrastrukturen wie KKW können Ziel der Angriffe werden

Ein weiterer bekannter Angriff datiert aus dem Jahr 2017: Die Schadsoftware NotPetya breitete sich weltweit auf den IT-Netzwerken von Banken, Unternehmen und weiteren Organisationen aus, vernichtete sämtliche gespeicherte Daten der betroffenen Systeme und versuchte, weitere IT-Systeme zu infizieren. Innerhalb weniger Tage entstand ein geschätzter wirtschaftlicher Schaden von ca. 10 Mrd. Dollar. Neben einer Vielzahl weltweit agierender Unternehmen war auch das stillgelegte Kernkraftwerk Tschernobyl betroffen: IT-Systeme fielen teilweise komplett aus, sodass beispielsweise die Radioaktivität auf dem Gelände manuell erfasst werden musste.

Sind kritische Infrastrukturen wie Kernkraftwerke (KKW) von IT-Angriffen betroffen, kommen zu den wirtschaftlichen schnell auch sicherheits- und sicherungsrelevante Aspekte hinzu. Daher beschäftigt sich ein Forscherteam der GRS im Auftrag des Bundesumweltministeriums zurzeit gezielt mit Fragestellungen zu IT-Angriffen über die Lieferkette. Dabei analysieren die Forschenden konkrete IT-Angriffe und -Sicherheitsvorfälle und identifizieren Aspekte, die für kerntechnische Anlagen und Einrichtungen relevant sein können. Diese können dann im IT-Sicherheitskonzept berücksichtigt werden.

Die Arbeiten bauen auf den Ergebnissen einer von der GRS durchgeführten Vorstudie auf, in welcher der aktuelle Stand von Wissenschaft und Technik sowie einige relevante IT-Angriffe auf kritische Infrastrukturen ausgewertet wurden. Neben der NotPetya-Attacke auf das ukrainische KKW Tschernobyl haben die Wissenschaftlerinnen und Wissenschaftler darin unter anderem Schadsoftwarefunde in einem japanischen sowie in einem deutschen KKW untersucht. Darüber hinaus wurden IT-Angriffe über die Lieferkette erfasst, die zwar nicht in Zusammenhang mit kerntechnischen Anlagen standen, aber auch dort hätten stattfinden können.

Vorkehrungen zur Abwehr von IT-Angriffen über die Lieferkette

Die in der Vorstudie erarbeiteten Ergebnisse liefern die Basis für das vor Kurzem angelaufene Folgeprojekt, in dessen Rahmen die Forschenden tiefergehende Untersuchungen zu notwendigen Vorkehrungen anstellen. Damit sollen konkrete Maßnahmen zur Vorbeugung und Abwehr von IT-Angriffen über die Lieferkette abgeleitet werden. In einem ersten Schritt sollen die bereits in der Vorstudie aufgeführten IT-Angriffe detaillierter untersucht werden. Die Wissenschaftlerinnen und Wissenschaftler möchten daraus das Gefahrenpotenzial ableiten, das von IT-Angriffen über internationale Lieferketten für kerntechnische Anlagen ausgeht. Zudem wollen sie Wege finden, wie solche Angriffe frühzeitig erkannt werden können. Die Vorgehensweise beschreibt Projektleiter Dr. Oliver Rest so: „Wir wollen zunächst eine Systematik oder Taxonomie der Angriffe erarbeiten. Dabei berücksichtigen wir vor allem Fragestellungen wie: Welche Unterschiede und Gemeinsamkeiten weisen die Angriffe auf? Welche unterschiedlichen Angriffsmöglichkeiten lassen sich feststellen? Und, ganz wichtig: Welche Möglichkeiten gibt es, einen derartigen Angriff frühzeitig zu erkennen und darauf zu reagieren? Ausgehend von solchen Fragestellungen wollen wir gemeinsame Nenner finden, die uns eine Gruppierung der IT-Angriffe nach qualitativen Gesichtspunkten ermöglichen.“

In einem nächsten Schritt betrachten die Wissenschaftlerinnen und Wissenschaftler das bestehende Regelwerk zur IT-Sicherheit von kerntechnischen Anlagen und anderen kritischen Infrastrukturen. Die zentrale Frage dabei lautet, inwiefern das Regelwerk die zunehmende Gefahr berücksichtigt, die von IT-Angriffen über die Lieferkette ausgeht. „Unser Ziel ist es natürlich, das Regelwerk an die aktuellen Entwicklungen im Bereich der Cyberkriminalität anzupassen. Dazu wollen wir einen eventuellen Nachholbedarf identifizieren und Vorschläge erarbeiten, wie dieser Bedarf in das bestehende Regelwerk integriert werden kann“, so Oliver Rest.

 

Projektinformationen

Titel: "Untersuchung von IT-Sicherheitsmaßnahmen zur Sicherstellung der IT-Sicherheit in der Lieferkette"

Zeitraum: 07/2021–12/2023

Laufzeit: 30 Monate

Auftraggeber: Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz