Software Supply Chain Security: Von SolarWinds lernen

SolarWinds: Ein Wendepunkt in der Cyber-Bedrohungslandschaft

Der SolarWinds-Angriff von 2020 hat die Cybersicherheitswelt dauerhaft verändert. Eine fortschrittliche staatliche Angreifergruppe (später als Cozy Bear / APT29 identifiziert) infiltrierte die Build-Infrastruktur des IT-Monitoring-Anbieters SolarWinds und platzierte Schadsoftware in ein reguläres Software-Update. Das Ergebnis: Über 18.000 Kunden installierten das kompromittierte Update und öffneten damit Angreifern eine Hintertür in ihre Netzwerke – darunter US-Bundesbehörden, Microsoft, Intel und zahlreiche Fortune-500-Unternehmen.

Das Erschreckende: Niemand der Betroffenen hatte etwas falsch gemacht. Sie hatten ein reguläres Update von einem renommierten, zertifizierten Anbieter eingespielt. Genau das war der Plan.

Die Evolution von Supply-Chain-Angriffen

SolarWinds war spektakulär, aber kein Einzelfall. Kaseya VSA (2021), 3CX (2023), MOVEit (2023) – die Liste gezielter Angriffe auf Software-Lieferketten wird länger. Das Muster ist ähnlich: Ein vertrauenswürdiger Anbieter oder eine weit verbreitete Software wird kompromittiert, und der eigentliche Angriff erfolgt über das Vertrauen, das in diesen Anbieter gesetzt wurde.

Für Unternehmen bedeutet das: Selbst wenn die eigene Infrastruktur technisch sicher ist, können Angreifer über trusted Software oder Dienste eindringen, die korrekt beschafft und installiert wurden.

Was sich tatsächlich schützen lässt

Vollständiger Schutz vor Supply-Chain-Angriffen ist illusorisch – man kann nicht alle Software selbst entwickeln. Aber Risikoreduzierung ist möglich und folgt einigen klaren Prinzipien:

Software Bill of Materials (SBOM): Unternehmen sollten für ihre kritischen Systeme wissen, welche Software-Komponenten (inklusive Open-Source-Abhängigkeiten) eingesetzt werden. Ein SBOM ermöglicht die schnelle Identifikation betroffener Systeme, wenn eine Schwachstelle in einer Komponente bekannt wird.

Kontinuierliche Überwachung von Softwareanbietern: Die externe Angriffsfläche und das Sicherheitsniveau kritischer Software-Lieferanten sollten kontinuierlich überwacht werden – nicht nur beim Onboarding. Kompromittierungs-Indikatoren eines wichtigen Anbieters können ein frühes Warnsignal sein.

Network Segmentation und Zero Trust: Auch wenn ein vertrauenswürdiges System kompromittiert ist, sollte es durch Netzwerksegmentierung und Zero-Trust-Prinzipien begrenzte Möglichkeiten haben, sich lateral im Netzwerk zu bewegen.

Anomalie-Erkennung nach Updates: Nach kritischen Software-Updates sollte erhöhte Aufmerksamkeit auf ungewöhnliche Netzwerkkommunikation oder Aktivitäten des aktualisierten Systems gelegt werden.

Die Rolle externer Bedrohungsintelligenz

External Threat Intelligence kann frühzeitig auf Kompromittierungsindikatoren bei wichtigen Softwareanbietern hinweisen – bevor ein betroffenes Update breite Verbreitung findet. Im Fall von 3CX beispielsweise waren erste Bedrohungsindikatoren in Threat-Intelligence-Feeds verfügbar, bevor viele betroffene Unternehmen überhaupt von der Kompromittierung wussten.

Hinweis: Dieser Artikel dient der allgemeinen Information. Spezifische Maßnahmen für Ihre Umgebung sollten mit qualifizierten Sicherheitsexperten besprochen werden.