Security-SupplyChain
| von Claas Berlin

Was tun IT-Fachleute, wenn eine Sicherheitslücke in ihrer Software bekannt wird? Richtig: Sie laden sich beim Hersteller ein entsprechendes Update herunter. Das taten auch die Kunden des PC-Herstellers Asus – bis einer IT-Sicherheitsfirma Anfang des Jahres Anomalien auffielen. Die Experten fanden heraus, dass bereits die Software, die der Computerhersteller über einen Updateservice bereitgestellt hatte, eine Schadsoftware enthielt. Keine ungeschlachte Ransomware, mit der Kriminelle Lösegeld erpressen wollen, sondern eine Hintertür, mit der sich im Bedarfsfall weitere Software hätte nachladen lassen. Das ließ in der Fachwelt die Alarmglocken hell läuten – auf ähnliche Weise war vor zwei Jahren eine Malware namens NotPetya in die Software ukrai­nischer Steuerkanzleien eingeschleust worden, wo sie die Festplatten verschlüsselt hatte.

Im Gegensatz zum Fall NotPetya aber waren die Angreifer im Fall Asus – in Expertenkreisen „Shadow­Hammer“ getauft – nicht so weit gegangen, einen zerstörerischen Angriff zu starten. Vielmehr verhielten sie sich erst einmal still. Ein verstörender Aspekt in beiden Fällen: Die vom Server des PC-Herstellers heruntergeladene Software ent­hielt eine korrekte Signatur – eine Art digitales Siegel, das die Unversehrtheit des Programmcodes bescheinigt. Wird bei der Erstellung der Signatur eine zeitgemäße Verschlüsselung angewandt, ist sie nahezu fälschungssicher. Deswegen vermuten Sicherheitsexperten, dass sogar das zugehörige Root-Zertifikat in die Hände der Angreifer gelangt war.

Diese Strategie steht für eine neue Kategorie von Attacken auf die Integrität der IT. Anstatt mit einer gefälschten E-Mail und einem infizierten Dokument oder einem Link auf eine verseuchte Website zu locken, greift diese Kategorie an den Stellen an, die gemeinhin als vertrauenswürdig gelten, nämlich in der Lieferkette. Deshalb werden die Machenschaften als Supply Chain Attacks bezeichnet. Mindestens sechs Angriffe nach der Methode ShadowHammer wurden nach Informationen der US-Technikzeitschrift Wired bisher erfolgreich durchgeführt. Verglichen mit der gängigen Ransomware erscheinen die Angriffe wie eine minimal invasive Operation am Gehirn gegenüber einer Attacke per Handgranate.

„Die Angreifer forschen ihre Ziele sorgfältig aus. Erst wenn sie einen geeigneten Zielrechner gefunden haben, bringen sie ihre Payload zum Einsatz“, beschreibt Christian Funk, Leiter des Forschungs- und Analyseteams für die DACH-Region bei der IT-Sicherheitsfirma Kaspersky Lab, das Vorgehen. Zweck der Übung ist meist Industriespionage, das Abgreifen von Technologiewissen, Strategiepapieren oder Angebotsunterlagen.

Unabhängig von der verwendeten Technik ist es nicht untypisch, dass Angreifer sich über die Zulieferkette zu ihrem eigentlichen Ziel vorarbeiten, was dem Begriff „Supply Chain Attack“ gewissermaßen eine neue Bedeutungsvariante verleiht. „Die gehen davon aus, dass kleinere, oftmals mittelständische Zulieferer leichter zu knacken sind als Großkonzerne, weil sie nicht über solche Ressourcen für IT-Sicherheit verfügen“, erläutert Funk. Besteht Grund zu der Annahme, dass solche Angriffe bereits stattgefunden haben? Christian Funk: „Davon ist auszugehen.“

Hier finden Sie den ersten Teil unseres Spezials zum Thema Security.

Bilder: iStock/Suebsiri, Adobe Stock/Pixelot, Illustration: Andreas Croonenbroeck