Cyren Security Blog

Exponierte Daten von Automobilherstellern verdeutlicht die Sicherheitsrisiken durch Zulieferer

von John Callon

Security Research & Analysis

Die Möglichkeit, dass ein einzelner Anbieter mehreren Unternehmen in der weiteren Lieferkette signifikanten Schaden anrichten kann, wurde diese Woche wieder mit der Meldung bestätigt, dass ein kleines Robotik-Unternehmen 157 GB hochsensibler Daten von mehr als 100 Kunden wie GM, Ford, Chrysler und Toyota exponiert hatte.

Die exponierten Daten umfassten Pläne von Montagelinien und Roboterkonfigurationen von Kunden bis hin zu Mitarbeiter-ID- und VPN-Zugangsinformationen. Darüber hinaus exponierte der Robotikanbieter auch seine eigenen Unternehmens- und Mitarbeiterdaten wie Bankkontodetails, Verträge, Scans von Reisepässen und Personalausweisen.
Dieses jüngste Fiasko unterstreicht die Anfälligkeiten der vernetzten Geschäftswelt von heute. Viele kleine bis mittelgroße Unternehmen liegen im Kern einer Datenschutzverletzung, die sich auf ihre Kunden, Partner und Lieferanten auswirken kann, von denen einige auch größere und bekanntere Unternehmen sein können. Diese Verletzungen werden oft dadurch verursacht, dass kleinere Unternehmen die durch nicht ausreichende oder veraltete Sicherheitssysteme entstehenden Risiken außer Acht lassen.

Bekannte Hacks deuten weiterhin auf kleinere Lieferanten hin

Es ist nicht das erste Mal, dass ein Lieferketten-Hack-Szenario, in dessen kleines bis mittelgroßes Unternehmen im Zentrum steht und für Aufregung sorgt. Lieferketten-Datenschutzverletzungen haben einen immer größeren Anteil an den globalen Angriffen mit hohem Profil.

2013 meldete der US-Einzelhandelskonzern Target eine umfassende Datenschutzverletzung durch Hacking, bei der 40 Millionen Kredit- und Debitkarten und die E-Mail und Postadressen von 70 bis 110 Millionen Menschen betroffen waren. In diesem Fall war der Schuldige ein Klimasystem-Anbieter in der Lieferkette von Target, nicht Target selbst. Der Vorfall begann damit, dass ein Mitarbeiter einen E-Mail-Anhang mit Malware öffnete, durch den die Systempasswörter des Klimasystem-Anbieters erfasst wurden. Dadurch konnten die Hacker auf die Systeme von Target zugreifen.

Für den massiven Hacker-Angriff auf Home Depot im Jahr 2014 (der zu 56 Mio. gestohlenen Kredit- und Debitkartendatensätzen und 53 Mio. gestohlenen E-Mail-Adressen führte) wurde ein Drittanbieter verantwortlich gemacht, ebenso für die jüngsten Hacks bei Amazon Web Services und Wendy‘s sowie für die sogenannte „Panama Papers“-Datenschutzverletzung.

Erst im letzten Jahr fokussierte ein Ransomware-Angriff auf die Reederei A.P. Moller-Maersk – mit verheerenden Auswirkungen, denn der Angriff wirkte sich schnell auf andere Logistik- und Transportunternehmen aus und brachte die Aktivitäten in fast 80 Häfen und Terminals weltweit zum Stillstand. Die Attacke kostete das Unternehmen geschätzte 300 Mio. US-Dollar.

Bei diesem jüngsten Versagen der Lieferkettensicherheit wurde die Robotikfirma von Sicherheitsexperten über das Problem informiert, wodurch das Problem innerhalb weniger Tage behoben werden konnte. Während es keinen klaren Nachweis gibt, dass Hacker während des Exponierungszeitraums Zugang zu den Daten erhielten, kann sich niemand sicher sein, dass Kriminelle nicht um die Schwächen wussten und sie einige Zeit lang ausnutzten.
Unabhängig davon, ob die Daten dieses Robotikunternehmens von Cyberkriminellen genutzt wurden oder nicht, stellt sich durch dieses jüngste Beispiel die umfassendere Frage nach der Lieferkettensicherheit und dem Ausmaß, in dem Unternehmen (insbesondere kleine bis mittelgroße) das Problem ernst nehmen. 

Können Sie es sich leisten, mit ungeschützten Anbietern Geschäfte zu führen?

Einer Studie, des Ponemon Institute, von 2017 zufolge waren 56 % aller großen Datenschutzverletzungen das Ergebnis einer anfänglichen Verletzung bei einem Dritt-/Lieferkettenanbieter oder Lieferanten. Und der 2018 Verizon Data Breach Investigations Report zeigte, dass in 58 % aller Fälle kleinere Unternehmen wahrscheinlicher das Ziel von Cyberkriminellen werden.

Lieferkettenanbieter erhalten oft Zugriff auf die Unternehmensdaten und sogar die Netzwerk-Anmeldedaten ihrer Kunden. Während so viele Phishing- und andere Arten von Cyberattacken stattfinden, wie nie zuvor (Phishing war 2017 der erfolgreichste Angriffstyp auf alle Unternehmen, wie die jährliche Cyren-Osterman Research-Studie belegt), stellen sich andere Unternehmen in der Lieferkette, insbesondere größere Unternehmen, deren Ruf auf dem Spiel steht und die beträchtliche Geldsummen verlieren könnten, zunehmend die Frage, ob es für sie sinnvoll ist, mit einer kleinen bis mittelgroßen Firma Geschäfte zu führen, die evtl. keine ausreichenden Sicherheitsmaßnahmen implementiert hat, um sensible Daten zu schützen.

Diese Sorgen hinsichtlich der (mangelnden) Sicherheit bei einem Lieferkettenanbieter sind nicht unbegründet. Forschungsergebnisse zeigen, dass Cyberkriminelle zunehmend kleine bis mittelgroße Lieferkettenanbieter ins Visier nehmen. IT-Entscheidungsträger sind sich dieser Tatsache bewusst. In einer von der Firma Crowdstrike durchgeführten Umfrage im Juli 2018 unter 1300 IT-Entscheidungsträgern bei mittelgroßen bis großen Unternehmen gaben fast 80 Prozent der Befragten an, dass Lieferkettenangriffe ihrer Meinung nach in den nächsten drei Jahren zur größten Cyberbedrohung werden könnten. Noch bemerkenswerter ist, dass 87 Prozent angaben, dass für sie Sicherheit ein kritischer Faktor bei Kaufentscheidungen und der Wahl neuer Lieferanten ist.

Umfassende Verbundenheit sorgt für kollektives Risiko

Durch die Natur der Lieferkette selbst sind E-Mail- und Internetbedrohungen besonders gefährlich. Unternehmen in einer Lieferkette sind in der Regel dezentralisiert, mit vielen anderen Unternehmen verbunden und geografisch verteilt. Komplexe Gruppen großer und kleiner Stakeholder einschließlich Auftragnehmer, Anbieter von Materialien und Dienstleistungen sowie Finanzeinrichtungen stellen oft eine Lieferkette dar, die um die ganze Welt reicht. Diese Interaktion und Verbundenheit zwischen großen und kleinen Unternehmen trägt zu den verheerenden Gesamtauswirkungen eines Angriffs auf die Lieferkette bei. Beim Maersk-Angriff 2017 waren zum Beispiel nicht nur Seehäfen und Containerschiffe betroffen. LKW mit Binnenzielorten wurden stunden- und manchmal sogar tagelang an verschiedenen Häfen aufgehalten und mussten warten, bis die Systeme wieder online waren, sodass Sendungen abgefertigt und empfangen oder zugestellt werden konnten. Die Auswirkungen nahmen dadurch gewaltig zu und verzögerten den Produktvertrieb für längere Zeit.

Zu viele Unternehmen „nicht ausreichend gesichert“

Als sich die Nachricht verbreitete, dass Einzelhandelsgigant Target über einen seiner kleinen Anbieter für Klimasysteme einer Verletzung zum Opfer fiel, konnten viele IT-Fachleute nur den Kopf schütteln, als sie erfuhren, dass die einzige Sicherheitslösung zwischen Target und dem Anbieter von Klimasystemen ein „kostenloses“ Online-Sicherheits-Tool war, das der Klimasystem-Anbieter zum Schutz des Unternehmens und seiner Kunden benutzte.

Fakt ist, dass viele kleine bis mittelgroße Unternehmen annehmen, „unbeachtet zu bleiben“, wenn es darum geht, eine bescheidene Investition in robuste Cybersicherheit zu tätigen. Realität ist, dass Unternehmen, die sich stärker auf eine „positive Denkweise“ verlassen als echte Sicherheit, einem extremen Risiko ausgesetzt sind. Endpunkt- und Appliance-basierte Sicherheit und „kostenlose“ Online-Sicherheits-Tools werden in der Regel nicht in Echtzeit aktualisiert. Daher können sie von neuen und sich weiter entwickelnden Bedrohungen überwunden werden, bevor ein angemessener Schutz implementiert ist. Der springende Punkt: Echtzeit ist sehr wichtig. Bedrohungen entwickeln sich jederzeit weiter. Wenn eine Bedrohung gestartet wurde, haben Sie nur Sekunden, um sie zu blockieren. Wenn Ihre Sicherheits-Tools, Ihr E-Mail-Client oder Browser nicht ständig und in Echtzeit aktualisiert werden, ist kein angemessener Schutz vorhanden.

Ungeschützte Mobilmitarbeiter machen die Sache noch komplizierter

Die Komplexität einer mobilen Belegschaft erhöht das Risiko von Angriffen auf Lieferketten noch mehr. Bei einer zunehmend mobilen Belegschaft sind Mitarbeiter nicht mehr auf die Arbeitsumgebung beschränkt, die durch Perimetersicherheitsgeräte geschützt wird. Bring-your-own-Device(BYOD)-Richtlinien bedeuten, dass viele verschiedene Geräte mit jeweils unterschiedlichen Betriebssystemen auf Unternehmensressourcen zugreifen und potenziell schädliche Phishing-Programme, Malware und Ransomware herunterladen, die wiederum an andere im gleichen Unternehmensnetzwerk weitergegeben werden. Mobilgeräte müssen heute unabhängig von Ort, Gerätetyp, Betriebsplattform oder Geräteeigner geschützt werden.

Die geschäftlichen Auswirkungen einer Verletzung

Angesichts der Gesamtkosten einiger dieser jüngsten umfangreichen Verletzungen (bei Target waren das 200 Mio. US-Dollar, bei Maersk 300 Mio. US-Dollar) ist klar, dass die Auswirkungen einer Sicherheitsverletzung bei einem großen oder kleinen Unternehmen nicht zu unterschätzen sind. So viele Unternehmen verlassen sich sehr auf Projekt- und Produktionszeitpläne. Jede Art von Unterbrechung wirkt sich daher negativ auf die Erlöse aus. Und der darauffolgende Rufverlust verschärft eine sehr schwierige finanzielle Situation dann noch zusätzlich.

Unternehmen müssen die Risiken erkennen und sich vorbereiten

Sicherheit ist nur so gut wie das schwächste Glied in der Kette. Und Lieferketten werden immer umfangreicher und komplexer. Kein Unternehmen möchte im Zentrum einer umfassenden Datenschutzverletzung mit nationalen oder gar globalen Auswirkungen stehen. Letztendlich muss jedes Unternehmen, das innerhalb einer Lieferkette tätig ist (also alle Unternehmen, weil kein Unternehmen heute in einem völligen Vakuum operiert), Cyberangriffe als kritisches Geschäftsrisiko betrachten, wie das auch bei der Compliance oder bei Finanzrisiken der Fall ist. Daher müssen Cybersicherheitsmaßnahmen (echte Cybersicherheit, nicht die kostenlosen Online-Downloads ...) eine wichtige Komponente jedes Geschäftsrisikoplans darstellen. Zu den ersten Aktivitäten, die kleine bis mittelgroße Unternehmen durchführen müssen, zählt regelmäßiges und häufiges Patching von Systemen, Browsern und Plug-ins hinsichtlich Updates oder identifizierten Exploits, Bereitstellung eines cloudbasierten Internet- und E-Mail-Gateway-Schutzes, Schutz vor schwer zu erkennenden Bedrohungen mithilfe fortgeschrittener Sandboxing-Funktionen und die Nutzung eines Passwortmanagement-Tools sowie von Multi-Faktor-Authentifizierung.

Zurück