Was ist ein Supply-Chain-Angriff?

Angriffe auf die Lieferkette zielen darauf ab, Vertrauensbeziehungen zwischen einer Organisation und externen Parteien auszunutzen. Zu diesen Beziehungen können Partnerschaften, Lieferantenbeziehungen oder die Verwendung von Software von Drittanbietern gehören. Cyber-Bedrohungsakteure kompromittieren ein Unternehmen und dringen dann in der Lieferkette nach oben vor, wobei sie diese vertrauenswürdigen Beziehungen ausnutzen, um Zugriff auf die Umgebungen anderer Unternehmen zu erhalten.

Einen Angriff verhindern? Cybersicherheitsbericht

Was ist ein Supply-Chain-Angriff?

Angriffe auf die Lieferkette nehmen zu

Given the outsized impact they can have, it is unsurprising that supply chain attacks have dramatically increased in recent years. Data shows that from 2021 to 2023, supply chain attacks grew by 431%.

  • More recent data from Check Point’s State of Cyber Security 2025 report found hardware and software supply chains experienced the highest surge of attacks in 2024.
  • The report found that the average number of attacks targeting software, hardware, and semiconductor companies increased by 179%.

Experts state this is due to the increased global demand for hardware and the focus on AI technologies. As a vital component of modern infrastructure and innovations, the technological supply chain is becoming a significant target for cyber criminals.

Exploiting supply chain vulnerabilities in these sectors provides many opportunities for:

  • Financial gain
  • Espionage
  • Disruption

High-Profile Supply Chain Incidents

Mit den neuen Angriffsvektoren, die durch Fernarbeit und überlastete Sicherheitsteams entstehen, haben Cyberkriminelle viele Möglichkeiten, Angriffe auf die Lieferkette durchzuführen. Zu den größten der letzten Jahre gehören:

  • SolarWinds: Im Jahr 2020 verschaffte sich eine Hackergruppe Zugang zur Produktionsumgebung von SolarWinds und baute eine Hintertür in Updates seines Orion-Netzwerküberwachungsprodukts ein. SolarWinds-Kunden, die das bösartige Update ausführten, erlitten Datenschutzverletzungen und andere Sicherheitsvorfälle.
  • Kaseya: Die Ransomware-Bande REvil nutzte Kaseya, ein Softwareunternehmen, das Software für Managed Services Provider (MSPs) bereitstellt, aus, um über 1.000 Kunden mit Ransomware zu infizieren.  Die Gruppe forderte ein Lösegeld von 70 Millionen US-Dollar, um allen betroffenen Kunden Entschlüsselungsschlüssel zur Verfügung zu stellen. 
  • Codecov: Codecov ist eine Softwaretestorganisation, deren Bash-Uploader-Skript (das zum Senden von Codeabdeckungsberichten an das Unternehmen verwendet wird) von einem Angreifer geändert wurde. Dieser Supply-Chain-Exploit ermöglichte es den Angreifern, vertrauliche Informationen wie Quellcode, Geheimnisse und mehr von CodeCov-Kunden auf ihre eigenen Server umzuleiten.
  • NotPetya: NotPetya war eine gefälschte Ransomware-Malware, die Computer verschlüsselte, den geheimen Schlüssel jedoch nicht zur Entschlüsselung speicherte. Man nennt es die Umwandlung in einen „Wischer“.
    • Der NotPetya-Angriff begann als Lieferkettenangriff, als eine ukrainische Wirtschaftsprüfungsgesellschaft angegriffen wurde und die Malware in ein bösartiges Update aufgenommen wurde.
  • Atlassian: Im November 2020 entdeckte Check Point Research (CPR) eine Reihe von Schwachstellen , die in Kombination ausgenutzt werden können, um die Kontrolle über ein Konto und verschiedene Atlassian-Apps zu erlangen, die über SSO verbunden sind.
    • Was diese Schwachstelle zu einem potenziellen Angriff auf die Lieferkette macht, besteht darin, dass der Angreifer, sobald er diese Schwachstellen ausnutzt und die Kontrolle über ein Konto erlangt, Hintertüren installieren kann, die er in Zukunft nutzen kann.
    • Dies kann zu schwerwiegenden Schäden führen, die erst nach Eintritt des Schadens erkannt und bekämpft werden.
    • Check Point Research hat diese Informationen verantwortungsbewusst an die Atlassian-Teams weitergegeben und eine Lösung bereitgestellt, um sicherzustellen, dass seine Benutzer weiterhin Informationen auf den verschiedenen Plattformen sicher austauschen können
  • British Airways: Im Jahr 2018 erlitt British Airways einen Magecart-Angriff, der über 380.000 Transaktionen auf der Website der Fluggesellschaft gefährdete. Der Angriff wurde durch einen Lieferkettenangriff ermöglicht, der einen der Anbieter der Fluggesellschaft kompromittiert und auf British Airways, Ticketmaster und andere Unternehmen ausgeweitet hat.

  • Linux XZ

    Discovered in 2024, the Linux XZ supply chain attack was a multi-year operation to insert a backdoor into the open-source project. XZ utilities are regularly used for compression in Linux.

    The backdoor enabled remote code execution to attackers with a specific key.

    The compromised version of XZ utilities was not widely deployed when the vulnerability was discovered. But, it was present in development versions. Experts stated that if undetected, the Linux XZ backdoor could have given the attackers access to hundreds of millions of systems around the world.

Wie ein Supply-Chain-Angriff funktioniert

Ein Supply-Chain-Angriff nutzt Vertrauensbeziehungen zwischen verschiedenen Organisationen aus. Alle Organisationen haben ein gewisses Maß an implizitem Vertrauen in andere Unternehmen, wenn sie die Software des Unternehmens in ihrem Netzwerk installieren und nutzen oder mit ihnen als Anbieter zusammenarbeiten.

Ein Angriff auf die Lieferkette zielt auf das schwächste Glied in einer Vertrauenskette. Wenn eine Organisation über eine starke Cybersicherheit verfügt, aber einen unsicheren vertrauenswürdigen Anbieter hat, dann zielen die Angreifer auf diesen Anbieter ab. Nachdem sie im Netzwerk des Anbieters Fuß gefasst haben, könnten die Angreifer mithilfe dieser vertrauenswürdigen Beziehung auf das sicherere Netzwerk umsteigen.

Ein häufiges Angriffsziel für die Lieferkette sind Managed Service Provider (MSPs). MSPs haben umfassenden Zugriff auf das Netzwerk ihrer Kunden, was für einen Angreifer von unschätzbarem Wert ist. Nach der Ausnutzung des MSP kann der Angreifer problemlos auf das Netzwerk seines Kunden vordringen. Durch die Ausnutzung von Schwachstellen in der Lieferkette haben diese Angreifer einen größeren Einfluss und können sich Zugang zu Netzwerken verschaffen, die viel schwieriger direkt anzugreifen wären. Auf diese Weise gelang es den Kaseya-Angreifern, so viele Organisationen mit Ransomware zu infizieren.

 

Bei anderen Angriffen auf die Lieferkette wird Software verwendet, um Malware an die Kunden eines Unternehmens zu verteilen.  Beispielsweise verschafften sich die SolarWinds-Angreifer Zugriff auf die Build-Server des Unternehmens und schleusten eine Hintertür in Updates des Netzwerküberwachungsprodukts SolarWinds Orion ein.  Als dieser Update-Code an Kunden weitergegeben wurde, verschafften sich die Angreifer auch Zugriff auf deren Netzwerk.

Die Auswirkungen von Supply-Chain-Angriffen

Angriffe auf die Lieferkette bieten einem Angreifer lediglich eine weitere Möglichkeit, die Abwehrmaßnahmen eines Unternehmens zu durchbrechen. Mit ihnen können alle Arten von Cyber-Angriffen durchgeführt werden, wie zum Beispiel:

  • Datenschutzverletzung: Angriffe auf die Lieferkette werden häufig zur Durchführung von Datenschutzverletzungen eingesetzt. Beispielsweise hat der SolarWinds-Hack die sensiblen Daten mehrerer öffentlicher und privater Organisationen offengelegt.
  • Malware-Infektionen: Cyberkriminelle nutzen häufig Schwachstellen in der Lieferkette aus, um Malware an ein Zielunternehmen zu übermitteln. SolarWinds beinhaltete die Bereitstellung einer bösartigen Hintertür, und der Kaseya-Angriff führte zu Ransomware, die diese ausnutzen sollte.

What Makes Supply Chain Attacks Dangerous

Supply chain attacks are a significant concern because they don’t target your systems directly, but rather exploit your trust in others. Whenever you install and use a vendor’s software or add a third-party dependency to your own code, you’re implicitly placing your trust in that vendor’s security.

This exposes you to any mistakes that might be made by external organizations and developers.

For instance, you assume they didn’t accidentally introduce vulnerabilities to their software and regularly update their code to patch out new exploits as they are discovered.

This is a particular concern for open-source dependencies…

Open-Source Software

Relying on unpaid developers to continually update their open-source projects and respond to new threats can be a major supply chain weakness.

Supply chain attacks aren’t trying to exploit the strongest link in the chain, they target the weakest. Therefore, you can be left exposed even if you develop extensive internal security controls to protect your systems without proper third-party risk management strategies.

Supply Chain Breach & Backdoor

Plus, once hackers have a supply chain breach and add a backdoor to a piece of software that is widely used, they can launch far-reaching attacks with many victims. Cybercriminals can get a much larger return on investment by compromising third-party code.

Rather than attacking an organization head-on and getting one victim, they can go after the software supply chain and get many more victims from a single vulnerability.

This attracts some of the most sophisticated hackers and groups to find supply chain attack vectors.

How to Prevent Supply Chain Attacks

While these attacks are hard to detect and remediate, there are best practices for supply chain cybersecurity that you can implement to limit their impact. These processes can be broken down into third-party risk management approaches that improve your supply chain resilience, and internal practices that limit the impact of compromised systems.

Third-Party Risk Management

Assessing vendor security standards and managing the risk of using external software and dependencies is a critical aspect of supply chain cybersecurity. You need to rigorously assess your vendors and determine the security of their development practices.

Performing third-party risk assessments allows you to identify specific security policies you want vendors to implement to work with you.

Plus, you can group vendors based on the risk they pose (their internal security practices and how much access they have to your sensitive business data). Then, prioritize monitoring each vendor based on their vulnerability level. This includes:

  • Identifying all open source dependencies
  • Ensuring they remain active projects that still push updates based on the latest threats.

Beyond open source projects, patch management is a vital aspect across supply chain cybersecurity.

You have to maintain the latest software versions to ensure the window of risk posed by new vulnerabilities is as small as possible.

Best Practices zur Identifizierung und Eindämmung von Angriffen auf die Lieferkette

Angriffe auf die Lieferkette machen sich ungesicherte Vertrauensbeziehungen zwischen einem Unternehmen und anderen Organisationen zunutze. Zu den Möglichkeiten, die Risiken dieser Angriffe zu mindern, gehören:

  • Implementieren Sie die geringsten Rechte: Viele Unternehmen weisen ihren Mitarbeitern, Partnern und ihrer Software übermäßige Zugriffsrechte und Berechtigungen zu. Diese übermäßigen Berechtigungen erleichtern die Durchführung von Angriffen auf die Lieferkette. Implementieren Sie die geringste Berechtigung und weisen Sie allen Personen und Software nur die Berechtigungen zu, die sie für ihre Arbeit benötigen.
  • Führen Sie eine Netzwerksegmentierung durch: Software von Drittanbietern und Partnerorganisationen benötigen keinen uneingeschränkten Zugriff auf jeden Winkel des Netzwerks. Verwenden Sie die Netzwerksegmentierung, um das Netzwerk basierend auf Geschäftsfunktionen in Zonen zu unterteilen. Wenn ein Supply-Chain-Angriff einen Teil des Netzwerks gefährdet, ist der Rest des Netzwerks dennoch geschützt.
  • Befolgen Sie die DevSecOps-Praktiken: Durch die Integration von Sicherheit in den Entwicklungslebenszyklus ist es möglich zu erkennen, ob Software, wie z. B. die Orion-Updates, in böswilliger Absicht verändert wurde.
  • Automatisierte Bedrohungsprävention und Bedrohungssuche: Analysten von Security Operations Centers (SOC) sollten alle Umgebungen des Unternehmens, einschließlich Endgerät, Netzwerk, Cloud und Mobilgeräte, vor Angriffen schützen.

Minimizing the Impact of a Supply Chain Breach

To minimize third-party supply chain risks, you need to reduce the access these systems have within your network. This includes introducing zero trust practices based on least privilege access. This makes applications and users continually verify their identity while only providing access to the systems they need, nothing more.

Another Zero Trust Network Access (ZTNA) technique is network segmentation, which divides your systems into siloed sections with strong security controls when moving between them.

ZTNA reduces the impact of supply chain breaches by preventing lateral movement.

The attacker only has access to the initial compromised system and struggles to extend their access further. Other techniques to help prevent supply chain attacks include:

  • Following DevSecOps best practices to test for vulnerabilities in any dependencies you use. You can improve software development visibility through a Software Bill of Materials (SBOM) that tracks details (source, version, etc.) of every dependency.
  • Regularly scanning your system with malware prevention tools to prevent attacks from executing.
  • Develop incident response plans that include considerations for supply chain attacks. This could implement sandboxing new code before executing it to mitigate any backdoors.
  • Track all of the applications and services employees use and uncover any shadow IT (unsanctioned applications) to ensure your supply chain attack surface is not larger than you realise.

Mit Check Point vor Angriffen auf die Lieferkette schützen

Supply chain attackers take advantage of a lack of monitoring within an organization’s environment. Check Point Check Point Endpoint Security helps an organization to protect against these threats by monitoring applications for suspicious behavior that might point to compromise.

 

To learn more about the types of attacks that Check Point Endpoint Security protects against, check out Check Point’s 2021 Cyber Security Report. Then, take a security checkup to learn about the security issues within your environment. You can also learn how to close these security gaps with a free demo.