Haben Sie jemals mit Diensten wie Fiverr oder Uber gearbeitet? Sich bei Diensten wie X oder Tiktok verifiziert? Oder nutzen Sie Paypal, Linkedin oder Coinbase? Dann besteht die Möglichkeit, dass Ihr Ausweisdokument, das Sie während des KYC-Prozesses (Know Your Customer) angegeben haben, vom Authentifizierungsanbieter AU10TIX kompromittiert wurde. Und als wäre dies nicht schlimm genug: der Vorfall hätte leicht verhindert werden können. Denn AU10TIX hatte über ein Jahr lang «vergessen», das Passwort eines ihnen bekannten, kompromittierten Administrator-Accounts zu ändern.
Die meisten in den Medien erwähnten Anbieter, die Cyberattacken erleiden oder durch Nachlässigkeit Datenlecks verursachen, sind oft Firmen, die dem Endverbraucher unbekannt sind und nur in spezifischen Branchen oder Funktionen Aufsehen erregen. Was sie aber alle gemeinsam haben, ist eine wahre Fundgrube wertvoller Personendaten.
Sie werden zustimmen, dass die Sorge um Supply-Chain-Angriffe erst mal nichts Neues ist. Doch entwickeln sich die Attacken weiter, werden unsichtbarer und gewinnen immer mehr an Komplexität und Raffinesse.
Ein Beispiel aus diesem Jahr ist der Angriff auf xz Utils, einem allgegenwärtigen Tool in nahezu allen Linux-Distributionen. Ein aufmerksamer Entwickler bemerkte einen ungewöhnlich hohen Ressourcenverbrauch bei SSH-Anmeldungen und entdeckte so eine kritische, eingeschleuste Hintertür. Wäre sie unbemerkt geblieben, hätte dies gravierende Schäden bei Debian- und Red-Hat-Systemen anrichten können – von gestohlenen Encryption Keys bis hin zur Installation von Malware. Experten nannten den Vorfall einen der «bestausgeführten Supply-Chain-Angriffe», der fast erfolgreich war. Über Jahre bauten die Angreifer Vertrauen auf, um verschleierten Code einzuschleusen und SSH-Sitzungen zu kompromittieren. Es wird vermutet, dass staatliche Akteure dahinterstecken. Die geringe Kenntnis über diese Angreifer verdeutlicht die erhebliche Verletzlichkeit unserer Sicherheitssysteme.
Ähnlich wie eine Linux-Distribution aus Hunderten, wenn nicht Tausenden von Tools und Systemen bestehen kann, ist ein Server, ein PC oder ein beliebiges «smartes» Gerät im Grunde ein Konglomerat aus Hardware, Firmware, Software und cloudbasierten Diensten. In einer Supply Chain dieses Umfangs die eigenen Lieferanten und Dienstleister mit ins «sichere Boot» zu holen, wird zukünftig neue Routinen und Kontrollmechanismen erfordern.
Proaktive Sicherheitsmassnahmen sind für Unternehmen unerlässlich, insbesondere bei der IT-Beschaffung und -Verwaltung. Ein entscheidendes Werkzeug dabei ist das Software Bill of Materials (SBOM). Dieses Dokument listet alle Komponenten eines Systems auf und verschafft einen klaren Überblick über die eingesetzte Software. Damit lassen sich Sicherheitslücken schneller erkennen und beheben.
Ein SBOM ist zwar kein Allheilmittel, bietet jedoch Transparenz wie eine Zutatenliste auf Lebensmittelverpackungen. Es zwingt Anbieter dazu, Sicherheitslücken schneller zu beheben und ihre Verantwortung ernster zu nehmen. Bei
Synology stellen wir unseren Kunden SBOMs in den Formaten CycloneDX und SPDX zur Verfügung und setzen uns selbst hohe Standards, besonders wenn es um die schnelle Reaktion auf kritische und Zero-Day-Schwachstellen geht.
Für IT-Entscheider ist es also unerlässlicher denn je, die Sicherheit in der gesamten Lieferkette zu priorisieren. Fordern Sie Transparenz und regelmässige Sicherheitsüberprüfungen von Ihren Anbietern. In der sich ständig verschärfenden Bedrohungslage ist es besser, proaktiv zu handeln und frühzeitig Vorkehrungen zu treffen. Denn während die Cyber-Bedrohungen wachsen, sollten Sie nicht nur mit dem Sicherheitsniveau Schritt halten, sondern ihm einen Schritt voraus sein.