Da sich die großen Unternehmen nun mehr Gedanken über ihre Sicherheit machen, suchen sich die Hacker ihre Ziele immer häufiger unter den Unterauftragnehmern, um ihre Ziele zu erreichen. Die ist die Strategie des „schwächsten Glieds“, die eine bessere Zusammenarbeit der gesamten Lieferkette erfordert. Analyse.
Die Lieferkette: das primäre Ziel der Hacker
Im Angesicht der Cyber-Bedrohungen versuchen die größten Unternehmen eine gewisse digitale Reife zu erlangen, die ein höheres Sicherheitslevel und die allgemeine Sensibilisierung der Mitarbeiter beinhaltet. Diese Vorbereitung erscheint ausreichend, verschleiert allerdings die tönernen Füße dieser Giganten: die Lieferanten und Dienstleister.
Die Komponente der Lieferanten, das Zusammenfügen im Produktionsprozess, die Lagerung der Endprodukte oder auch die Übergabe an die Vertriebsnetze sind jedoch ebenfalls Schwachstellen und Momente, in denen es zu böswilligen Angriffen kommen kann. Wer ist misstrauisch, wenn er ein Paket seines gewohnten Lieferanten erhält? Und wer wird misstrauisch, wenn er eine Software von seinem gewohnten Dienstleister erhält? Die Hacker greifen große Unternehmen nicht direkt an, sondern nehmen sich die anderen Beteiligten vor, die angreifbarer sind und die Türen zu den IT-Netzen und Terminals der großen Unternehmer öffnen können. Das Thema Cybersicherheit oder digitale Hygiene ist normalerweise eher nebensächlich und leider nicht Teil ihrer Prioritäten. Das führt dazu, dass diese Unternehmen zur Zielscheibe für Cyber-Angriffe werden.
Bereits 2013 wurde die amerikanische Einzelhandelskette Target über einen Unterauftragnehmer, der für die Klimatisierung verantwortlich war, angegriffen. Letztendlich wurden mehrere Millionen vertraulicher Daten entwendet. Letztes Jahr wurden die personenbezogenen Daten von 50 000 Schülern, Eltern und Lehrern eines Schulverbandes, ebenfalls in Amerika, über einen Dienstleister gestohlen.
Die Cyber-Risiken, die von Unterauftragnehmern ausgehen, sind also viel realer als es den Anschein hat. „Was soll man zu Unternehmen sagen, deren neu reparierte Computer direkt an die Mitarbeiter verteilt werden, ohne zu überprüfen, ob während der Reparatur oder des Transports eine Malware eingeschleust wurde?“, sagt Florian Bonnet, Direktor für Produktmanagement bei Stormshield.
Und die Ziele können sich auch je nach Glied der Lieferkette unterscheiden: Geschäftsgeheimnisse und geistiges Eigentum entwenden, Daten von Kunden und Partnern stehlen oder einfach nur die Herstellungskette unterbrechen. Das Ergebnis: Verzugsstrafen, Umsatzverlust, Rufschädigung. Eine Studie des Instituts Vanson Bourne aus dem Jahr 2018 sprach davon, dass die Branchen Pharmazeutik, Biotechnologie, Hotellerie, Medien, Unterhaltung und IT-Dienstleistungen am anfälligsten seien. Auch die Software-Herausgeber können hiervon betroffen sein, da ihre Anwendungen – die als zuverlässig gelten – problemlosen Zugang zu Unternehmen geben. Dies bezeugt auch der Fall der ukrainischen Finanz-Software MEDoc, der Ausgangspunkt von NotPetya 2017.
Die Versuchung, Risiken zu unterschätzen
Für Hacker können auch Kleinstunternehmen – deren Aktivitäten dem Anschein nach keine große Herausforderung darstellen – ein ausgewähltes Ziel sein. Trotzdem „fühlt sich der Großteil dieser kleinen Strukturen nicht wirklich davon betroffen“, stellt Stéphane Prévost, Product Marketing Manager bei Stormshield, fest. „Da sie nicht über wichtige oder vertrauliche Informationen direkt in ihren Netzwerken verfügen, setzen sie nicht immer die angemessenen Maßnahmen um. Hier gilt dasselbe wie für die Versicherungen: nutzlos, bis zu dem Tag, an dem man sie braucht“.
Alle vernetzt, alle eingebunden, alle verantwortlich
Slogan der französischen Agentur für die Sicherheit von Informationssystemen (ANSSI) 2019
Dieser Ansatz bringt im Falle eines Vorfalls eine gewisse Art von Omerta mit sich. Da spricht die Botschaft der ANSSI für das Jahr 2019 – „alle vernetzt, alle eingebunden, alle verantwortlich“ – für sich. „Die Systeme sind heute alle mit dem Internet verbunden und somit auch vernetzt. Man muss deshalb alle in das Thema Cybersicherheit einbinden. Die Teams müssen untereinander kommunizieren, um so eine übergreifende Sicherheit zu garantieren“, sagt Alain Dupont, Direktor des Kundendiensts & stellvertretender Geschäftsführer von Stormshield.
Die einzige Lösung: gemeinsam handeln
Die derzeitigen Schutzmaßnahmen wie die Erkennung von Vorfällen auf Grundlage von anormalem Verhalten oder Angriffssimulationen scheinen im Vergleich mit dem neuen Geltungsbereich der Unternehmen heute nicht mehr auszureichen. Die Reichweite dieser Instrumente bleibt beschränkt, wenn sie nur auf ein Unternehmen ohne Verbindung zu seinem Ökosystem begrenzt sind. „Das Sicherheitslevel einer Kette entspricht dem des schwächsten Gliedes“, wiederholt Florian Bonnet. Deshalb besteht die Herausforderung für die Unternehmen darin, seine Unterauftragnehmer genauso zu sensibilisieren wie seine Teams.
Das Sicherheitslevel einer Kette entspricht dem des schwächsten Gliedes.
Florian Bonnet, Direktor für Produktmanagement bei Stormshield
Für einen sichereren Informationsaustausch zwischen den Unterauftragnehmern und den Auftraggebern stehen letztere in der Pflicht und müssen eine entscheidende Rolle spielen. „So muss beispielsweise bei Ausschreibungen sichergestellt werden, dass die Unterauftragnehmer bestimmte Kriterien im Bereich Cybersicherheit erfüllen“, sagt Alain Dupont. Diese Entwicklung ist unaufhaltbar, denn im derzeitigen Modell der massiven Auslagerung über Partnerschaften überleben nur die Unternehmen, die die Integrität aller ihrer Prozesse und Daten garantieren können. Dazu gehören auch die Dinge, die sie selbst nicht direkt überprüfen.
Dieses ehrgeizige Ziel bedeutet, dass Partner streng ausgewählt und die Datenflüsse jederzeit automatisiert werden, aber vor allem eine Art Teamgeist über die gesamte Lieferkette geschaffen wird. Und Sie? Sind Sie bereit?