Der Bericht zeigt, dass Hacker ihre Ziele nicht immer direkt angreifen, sondern sich auch Wege über Lieferanten suchen. Bei 62 Prozent der untersuchten Angriffe machten sich die Cyberkriminellen das Vertrauen von Kunden zu deren Lieferanten zunutze. Das zeigt, bei IT-Sicherheit darf man nicht mehr nur das eigene Unternehmen betrachten, sondern muss die gesamte Supply Chain im Blick haben.

1. Visibility

Es klingt zunächst trivial, doch um Lieferketten schützen zu können, muss man sie im Detail kennen. Wie komplex Supply Chains sein können, zeigt sich oft erst dann, wenn sie nicht mehr richtig funktionieren, wie uns die Coronakrise schmerzlich vor Augen führte. Der erste Schritt zu mehr Sicherheit führt also klar über Supply Chain Visibility.

2. Starke Authentifizierung

Social Engineering und Phishing gehören generell zu den häufigsten Angriffsvektoren auf Unternehmen. Auch im ENISA-Report werden diese Gefahren für Lieferketten hervorgehoben. Unternehmen sollten daher darauf achten, dass es nicht nur im eigenen Haus, sondern entlang der gesamten Lieferkette starke Authentifizierungslösungen gibt. Allen voran wäre hier Zwei-Faktor-Authentifizierung zu nennen. Unternehmen sollten überprüfen, welche Sicherheitsmechanismen ihre Lieferanten implementiert haben und gegebenenfalls auf eine Nachbesserung bestehen. Als sicherste Methode der Zugangskontrolle gilt heute zertifikatsbasierte Authentifizierung, die auf einer Public Key Infrastructure (PKI) aufbaut. Diese Zertifikate machen Passwörter überflüssig und vermeiden somit Gefahren, die durch Nachlässigkeit bei der Auswahl von Passwörtern oder Brute-Force-Attacken entstehen.

3. Code-Signaturen

Laut dem ENISA-Report kam in 62 Prozent der untersuchten Fälle Malware als Angriffsmethode zum Einsatz. Eine besonders effektive Methode zum Verteilen dieser Malware stellen kompromittierte Updates dar. Ein eindrucksvolles Beispiel dafür war die SolarWinds-Attacke im Jahr 2019. Dabei gelang es Cyber-Kriminellen durch ein schwaches Passwort, Zugriff auf den Update Server des Unternehmens zu erlangen. Bis zu 18.000 Kunden des Netzmanagement-Unternehmens installierten das kompromittierte Update, was die enorme Tragweite derartiger Angriffe verdeutlicht. Wie können Kunden nun aber sicherstellen, dass Updates echt und nicht krimineller Natur sind? Eine Möglichkeit dafür ist, dass der Anbieter echte Updates fälschungssicher signiert. Dies geschieht auf Basis einer Public Key Infrastructure (PKI). Jedes ausgespielte Update wird mit einer einzigartigen, fälschungssicher kodierten, digitalen Identität versehen. Um diese Identität zu decodieren, d.h. die Echtheit zu verifizieren, genügt ein öffentlicher Schlüssel, der an jeden Kunden herausgegeben werden kann. Der private Schlüssel verbleibt währenddessen in einem hermetisch abgeschlossenen Hardware-Sicherheitsmodul (HSM), was höchste Sicherheit garantiert.

4. Sensible Kommunikation in sicherer Umgebung ablaufen lassen

Supply Chain und IoT sind heute eng verknüpfte Bereiche. Das bedeutet einerseits mehr Visibility und bringt Effizienzgewinne mit sich, andererseits kann die Kommunikation der vernetzten Geräte auch eine Schwachstelle darstellen, über die sich Hacker Zutritt zu Unternehmensnetzwerken verschaffen können. Ein vielversprechender Ansatz, den auch bereits namhafte Unternehmen einsetzen, ist es, die IoT-Kommunikation über das sichere und manipulationsgeschützte Umfeld eines Hardware-Sicherheitsmoduls (HSM) abzuwickeln. Utimaco bietet beispielsweise ein Software Development Kit an, das es erlaubt, mit wenig Aufwand eigene Anwendungen für den Betrieb innerhalb eines HSM zu erstellen.

5. Vernetzte Produkte verifizieren

Auch von IoT-Geräten selbst kann eine Gefahr ausgehen: Produktpiraterie nimmt heutzutage auch im industriellen Umfeld immer beängstigendere Ausmaße an. Daher braucht es Lösungen, die es erlauben, Teile schnell und einfach auf ihre Authentizität zu überprüfen. Die bewährteste Lösung dafür nennt sich „Product Attestation“ und setzt aus Methoden, wie beispielsweise Codesignatur, Key Injection, HSM und PKI zusammen. Bei der Produktion eines vernetzten Bauteils erhält dieses eine codierte Identität, die mit einem privaten Schlüssel erstellt wurde und mit einem öffentlichen Schlüssel verifiziert werden kann. Somit kann jeder in der Wertschöpfungskette zu jeder Zeit prüfen, ob es sich um ein Original handelt.