© iStock/Just_Super
Ein abstraktes Bild, das die Konzepte von Cyber-Sicherheit, Ransomware und E-Mail-Phishing darstellt. Es zeigt verschlüsselte digitale Daten und Technologien, die zum Schutz vor Cyber-Bedrohungen eingesetzt werden.

Verborgene Risiken: IT-Sicherheit umfasst auch die Lieferkette

Ob Software-Updates, Cloud-Dienste oder externe Analyseplattformen – moderne IT-Systeme sind auf eine Vielzahl digitaler Dienstleister angewiesen. Was Effizienz bringt, birgt zugleich neue Risiken: Denn über eine nicht ausreichend geschützte Lieferkette (Supply Chain) können Angreifer unbemerkt tief in gut geschützte Systeme eindringen – auch in sicherheitskritischen Bereichen wie der Kerntechnik. Ein neues Forschungsprojekt der GRS untersucht, wie solche Angriffe funktionieren, welche Systeme besonders gefährdet sind und wie sich Betreiber besser schützen können.

Digital vernetzt – und damit angreifbar

In der digitalen Welt von heute arbeitet kaum ein Unternehmen oder eine Organisation völlig unabhängig. Viele IT-Systeme – also die technischen Grundlagen für Kommunikation, Steuerung und Datenverarbeitung – setzen auf Komponenten oder Dienstleistungen externer Anbieter. Dadurch ergeben sich Abhängigkeiten, die von Angreifern potenziell ausgenutzt und missbraucht werden könnten.

Was früher vor allem bei physischen Produkten eine Rolle spielte, ist heute auch bei Software, Daten und digitalen Diensten entscheidend – gerade in sicherheitskritischen Bereichen wie der Kerntechnik.

„Auch in kerntechnischen Anlagen kommen spezialisierte IT-Dienste von außen zum Einsatz – etwa zur Fernüberwachung oder Analyse von Betriebsdaten. Diese Verbindungen machen die Systeme einerseits effizienter, können sie andererseits aber auch verwundbarer machen.“

Dr. Oliver Rest,

Projektleiter

Wenn der Dienstleister zur Schwachstelle wird

Moderne digitale Dienstleistungen – zum Beispiel „Software-as-a-Service (SaaS)“, „Platform-as-a-Service (PaaS)“ oder „Security Operation Centers (SOC)“ – sind tief in die IT-Infrastruktur eingebunden. Sie verfügen oft über weitreichende Zugriffsrechte. Das macht sie besonders attraktiv für Angreifer: Wer hier ansetzt, kann gegebenenfalls Schutzmaßnahmen umgehen und Schäden anrichten, indem zunächst oftmals weniger gut geschützt Ziele innerhalb der Lieferkette angegriffen und anschließend entweder legitime Zugriffsmöglichkeiten von dort auf das eigentliche Angriffsziel ausgenutzt werden oder Schadsoftware in Produkte eingebracht wird, die dann auf legitimem Weg das eigentliche Angriffsziel erreichen könnten.

Die Wege für sogenannte Supply Chain-Angriffe können vielfältig sein: von manipulierten Software-Updates über kompromittierte Dienstleister bis hin zu gezielten Angriffen auf Komponenten noch vor der Auslieferung.

„Ein Angriff auf einen einzigen zentralen Dienstleister könnte gleich mehrere Anlagen gleichzeitig betreffen – auch solche, die gar keinen direkten Kontakt zueinander haben.“

Dr. Oliver Rest,

Projektleiter

Langfristige Risiken über den gesamten Lebenszyklus

Besonders tückisch: Die Gefahr endet nicht mit der Inbetriebnahme eines Systems. Denn Software wird regelmäßig aktualisiert, Dienste werden langfristig genutzt – dadurch bleibt die Angriffsfläche über den gesamten Lebenszyklus eines IT-Systems bestehen. Selbst kleinste Schwachstellen in der Lieferkette können langfristig zum Einfallstor werden.

Für Betreiber sicherheitskritischer Anlagen bedeutet das: Um die Sicherheit auf dem eigenen Gelände zu gewährleisten, müssen sie auch ihre externen Dienstleister und die gesamte Lieferkette im Blick behalten.

Angriff erkennen, bevor er trifft – GRS-Projekt zur IT-Sicherheit in der Lieferkette

Die GRS hat bereits 2023 im Auftrag des Bundesumweltministeriums ein Projekt zur IT-Sicherheit in der Lieferkette abgeschlossen. Das aktuelle Vorhaben baut darauf auf – mit einem neuen Fokus auf digitale Dienstleistungssysteme.

„Wir wollen besser verstehen, wie Angriffe über externe IT-Dienste funktionieren könnten – und wie man sich wirksam dagegen schützen kann. Es geht darum, die reale Bedrohungslage zu analysieren, nicht nur theoretische Szenarien.“

Dr. Oliver Rest,

Projektleiter

Dazu untersuchen die Forschenden aktuelle IT-Sicherheitsvorfälle, analysieren bekannte Angriffstechniken und berücksichtigen internationale Richtlinien und Standards. Ziel ist ein möglichst vollständiges Bild der Bedrohungslage und der verfügbaren Schutzmaßnahmen.

Muster erkennen, Schwachstellen schließen

Ein wichtiger Baustein des Projekts ist die Untersuchung von Angriffsmustern: Welche Techniken wenden Angreifer an? Welche Schwachstellen werden dabei ausgenutzt? Wie kann man solche Angriffe frühzeitig erkennen, erschweren oder sogar verhindern?

Die Erkenntnisse sollen mit dem bekannten „MITRE ATT&CK Framework“ verknüpft werden – einem internationalen Standard zur Kategorisierung von Cyberangriffen. Das Framework wird hierzu von der GRS an die Besonderheiten von Dienstleistungssystemen angepasst, um es für kritische Infrastrukturen noch praxisnäher nutzbar zu machen.

„Wir bringen Fachwissen aus dem kerntechnischen Bereich in die internationale Sicherheitsforschung ein – das stärkt auch den Schutz anderer kritischer Infrastrukturen.“

Dr. Oliver Rest,

Projektleiter

Wissen, das weiterwirkt

Die Ergebnisse des Projekts sollen nicht nur in Gutachten und Sicherheitsbewertungen einfließen, sondern auch in die Gremienarbeit auf nationaler und internationaler Ebene. So wird das Wissen aus der Forschung direkt in die Praxis überführt – ein zentraler Baustein für die langfristige IT-Sicherheit kerntechnischer Anlagen.