Supply-Chain-Angriffe und ihre Auswirkungen

Auswirkungen

Verschiedene Flughäfen in Deutschland hatten über längere Zeit deutliche Probleme mit ihrem Check-in – in manchen Fällen war er so gut wie unmöglich, in anderen Fällen musste auf analoge Verfahren umgestellt werden, was zu erheblichen Verzögerungen geführt hat. Und hier ist schon der erste indirekte Hinweis auf die Ursache: Analoge Prozesse funktionierten, also ist irgendetwas Digitales schiefgegangen. Doch dazu später mehr.

Was besonders auffiel: Wer nur den Titel der Schlagzeile gelesen hatte und dachte: „Schon wieder ein erfolgreicher Angriff auf die Infrastruktur! Die vom BER scheinen es auch nicht wirklich draufzuhaben,“ bekam einen vollkommen falschen Eindruck. Betroffen waren nämlich nicht nur der Flughafen BER, auch wenn dieser aufgrund seiner Geschichte vielleicht der bekannteste unter den beeinträchtigten Flughäfen war.

Hinzukam, dass zwar einige der größeren Flughäfen betroffen waren, aber längst nicht alle und auch nicht im gleichen Ausmaß. Doch wenn es ein Angriff auf BER gewesen sein sollte, wie konnte er sich dann auf andere Flughäfen auswirken?

Und hier liegt mein größter Kritikpunkt an vielen der Schlagzeilen: Um Aufmerksamkeit zu generieren, wurden die Tatsachen für den Titel sehr verkürzt und – wahrscheinlich bewusst – ungenau dargestellt. Denn die Ursache war eben nicht, dass der Flughafen BER angegriffen wurde.

Aber was steckte dann dahinter?

Die eigentliche Ursache

Die Ursache, die auch erklärt, warum mehrere Flughäfen betroffen waren, lag woanders: Ein bei vielen Flughäfen für den Check-in beauftragter Dienstleister wurde erfolgreich angegriffen. Die Flughäfen haben daraufhin ihre Netzwerk-Verbindungen zu diesem Dienstleister so schnell wie möglich gekappt, um nicht selbst Ziel eines (weiteren) Angriffs zu werden. Also war es nicht die Schuld eines oder mehrerer Flughäfen, sondern es handelte sich um einen klassischen Supply-Chain-Angriff, in dem ein Glied der Lieferkette kompromittiert wird und damit andere Glieder der Kette ebenfalls betroffen sein können. In vielen Fällen dient die Kompromittierung eines Dienstleisters oder Lieferanten dazu, die Belieferten anzugreifen. Hier war jedoch reine Sabotage das Ziel. Dass der Flughafen BER zwei Wochen gebraucht hat, bis das Problem behoben wurde (ebenfalls beim Dienstleister), zeigt, dass die Sabotage recht erfolgreich war.

Leider nehmen diese Angriffe zu, sodass man sich auch selbst die Frage stellen muss: Was passiert, wenn es einen meiner Zulieferer erwischt oder ich als Zulieferer eines anderen Unternehmens ins Visier gerate?

Der Umgang mit Supply-Chain-Angriffen

Leider lässt sich darauf keine pauschale Antwort geben. Natürlich gilt immer: Ich sollte meine Systeme so sicher machen, wie es mir möglich ist. Doch das ist leichter gesagt als getan. Der erste Gedanke, der einem wahrscheinlich in den Sinn kommt, sind die Kosten für die technische Lösung. Aber es gehört noch viel mehr dazu:

• Wer bedient die Technik?
• Wie führe ich sie ein?
• Wie wirkt sich die Technik auf den Betrieb und die Prozesse aus?

All das muss überlegt sein. Denn jede noch so tolle Sicherheitstechnologie funktioniert nur so lange gut, wie sie sinnvoll und sicher betrieben wird. Es nutzt niemandem, wenn ein teures Stück Hardware aufgestellt wird, bei dem Sicherheitslücken nicht gepatcht werden. So wird aus einem Sicherheitselement ganz schnell ein Unsicherheitselement.

Das soll nicht dazu motivieren, alles beim Alten zu lassen, ganz im Gegenteil: Es gibt viele Technologien, die einen erheblichen Beitrag zur Sicherheit leisten können, und viele davon sind schon vergleichsweise lange am Markt. Aber wenn man etwas Neues einführen will, dann sollte das überlegt passieren, um nicht trotz guten Willens letztendlich ein weiteres Einfallstor zu erzeugen.

Der Belieferte als späteres Glied der Kette möchte natürlich auch etwas gegen Supply-Chain-Angriffe unternehmen. Dazu gehören Überprüfungen der Zulieferer auch auf Ebene der IT-Sicherheit. Glücklicherweise gibt es hier Zertifizierungen, die das Leben einfacher machen können.

Eine weitere Idee – auch wenn sie aufgrund der üblichen Auslastung der eigenen IT- und IT-Security-Abteilung vielleicht etwas idealistisch erscheint – ist folgende: Es kann ebenso eine Zusammenarbeit im Bereich der IT-Sicherheit zwischen Zulieferer und Beliefertem geben, in der man nicht nur die technischen Schnittstellen absichert, sondern auch gemeinsam weitere Ideen und Möglichkeiten diskutieren kann. Denn Supply-Chain-Angriffe werden häufiger, und von einer offenen Diskussion können alle Beteiligten profitieren.

Fazit

Die Ereignisse an deutschen Flughäfen im allgemeinen und BER im speziellen haben eindrücklich gezeigt, dass ein Cyberangriff nicht das eigene Unternehmen treffen muss, um dort Schaden anzurichten. Angriffe auf – gerade kleinere – Zulieferer können ebenfalls signifikante Auswirkungen haben. Und in Anbetracht der Tatsache, dass solche Angriffe wahrscheinlich zunehmen werden, ist vielleicht auch eine engere Zusammenarbeit im Bereich IT-Sicherheit sinnvoll.