Lieferketten : Cybersicherheitsrisiko Lieferkette: Die Lücken der Anderen

Stephan Gerling braucht ein paar Klicks, um zu finden, was er sucht: Das Login-Portal eines Logistikdienstleisters aus Westdeutschland. Ein Blick in den Quellcode reicht ihm, dann könnte Gerling den Passwortschutz leicht überlisten. Könnte. Doch Gerling ist kein Cyberkrimineller, sondern arbeitet als Sicherheitsexperte für den IT-Dienstleister Kaspersky.

„Auf Webseiten wie diesen finden sich alle möglichen Schwachstellen – von offenen Fernwartungszugängen bis hin zu leicht überwindbaren Log-ins“, erklärt er. Und nicht immer ist es eine technologische Schwachstelle, die den Katastrophenfall einläutet. Kriminelle setzen inzwischen auch auf das sogenannte Social Engeneering. Dabei identifizieren Angreifer beispielsweise in sozialen Netzwerken wie Linkedin Interessen oder Tätigkeitsgebiete von potenziellen Zielen, um in einer E-Mail eine möglichst persönliche Ansprache oder Kontaktgrund anzugeben. Das Anschreiben ist dann mit einer infizierten Datei versehen, erklärt Gerling – und schon seien die Angreifer im Unternehmen. „Am Ende ist der Faktor Mensch nicht zu unterschätzen“, sagt er.

Lieferketten werden zu den Lieblingszielen illegaler Hacker:innen

Das funktioniert, weil trotz täglicher Berichterstattung über Ransomware-Erpresser und Cyberangriffe in vielen deutschen Unternehmen noch nicht das Bewusstsein angekommen ist, dass sich auch das eigene Unternehmen längst im Visier international agierender Cyberkrimineller befindet. Und oft fehlt es an mehr als nur an mangelnder Aufmerksamkeit.

Seit den Angriffen auf den Pipeline-Betreiber Colonial Pipeline in den USA und den Fleischhersteller JBS in Australien im Sommer 2021 ist klar: Dienstleister und Subunternehmer werden zu den Zielen gut organisierter Hackergruppen. Die Motivation dahinter lässt sich leicht erklären: Je stärker ein Cyberangriff nicht nur das Zielunternehmen, sondern Warenkreisläufe und Zulieferer schädigt oder sogar für die Bevölkerung negative Auswirkungen hat; desto höher die Wahrscheinlichkeit, dass Lösegeld gezahlt wird. Auch Colonial Pipeline zahlte umgerechnet 3,6 Millionen Euro, nur ein Teil konnte später vom FBI sichergestellt werden.

Die Gefahr durch die Lieferkette erkennt auch der im Herbst veröffentlichte „Cyber Report“ des zur Allianz gehörenden Industrieversicherers AGCS. Als den „nächsten großen Trend“ bezeichnete es auch Jens Krickhahn, Cyberexperte bei der Allianz-Tochter. Davon betroffen seien nicht nur Angriffe wie im Fall von Solarwinds, bei dem über einen IT-Dienstleister zahlreiche Kunden betroffen waren, erklärt der Cybersicherheitsexperte: „Es werden auch Unternehmen zum Ziel, die physische Güter herstellen.“ 

Heutzutage produzieren Unternehmen nur selten auf Vorrat, um teure Lagerhaltung einzusparen. Das nutzen kriminelle Banden aus, sagt Krickhahn: „Fällt ein Unternehmen aus, kann es zu Engpässen und Betriebsunterbrechungsschäden kommen – ein Cybersicherheitsvorfall betrifft dann die gesamte Lieferkette.“

Neben Lieferketten wird auch die Steuerung großer Industrieanlagen zum attraktiven Ziel – die sogenannten Operativen Technologien (OT). Bis 2025, so schätzt das IT-Beratungsunternehmen Gartner in einer aktuellen Untersuchung, werde es durch Cyberangriffe auf Betriebstechnik Tote oder Schwerverletzte gegeben haben. Eine Studie des Beratungsunternehmens PWC kam im April zu dem Ergebnis, dass es in Bezug auf Cybersicherheit Nachholbedarf gibt: So benannten rund 51 Prozent der befragten Unternehmenentscheider:innen aus Deutschland, dass die Digitalisierung von Produkten und Dienstleistungen sowie Cybersicherheit die zentralen Herausforderungen seien.

Wonach Kriminelle Ausschau halten

Kriminelle locke das schnelle Geld, erklärt Wilhelm Dolle, Partner bei KMPG und Head of Cybersecurity: „Das ist Kapitalismus in Reinform – ich schaue, wo der Druck besonders hoch ist. Aber auch dorthin, wo am wenigsten Aufwand benötigt wird.“ Da seien in der deutschen Wirtschaft besonders kleine und mittelständische Unternehmen ein lukratives Ziel für Angreifer, erläutert Dolle: „Bei vielen Unternehmen ist die Aufmerksamkeit dafür noch schwach ausgeprägt.“

Während beispielsweise Banken, Telekommunikations- oder KRITIS-Unternehmen unter öffentlicher Cyberaufsicht stünden und viele Konzerne ihren Anlegern verpflichtet und durch Aufsichtsräte kontrolliert seien, verfielen kleinere Unternehmer mitunter dem Irrglauben, dass sie nicht im Interesse der Angreifer stünden, so Dolle: „Und dann wird das Housekeeping vernachlässigt – viele Angriffe ließen sich verhindern, wenn etwa Sicherheitsupdates zeitnah und regelmäßig vorgenommen worden wären.“

Cyberkriminelle professionalisieren sich schneller als Unternehmen

Wie ein Mantra erinnern die europäische Sicherheitsbehörde ENISA und das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bei jeder sich bietenden Gelegenheit daran, dass die meisten Angriffe durch das kleine Einmaleins der Cybersicherheit verhindert werden können: IT-Systeme in mehrere Netze mit unterschiedlichen Sicherheitslevel unterteilen (Netzwerksegmentierung), Multi-Faktor-Authentifizierung, Verschlüsselung der Datenströme, regelmäßige Backups.

Das trügerische Gefühl, man sei zu klein für einen Angriff, kann zu einem bösen Erwachen führen. Bis Ende dieses Jahres, schätzt die ENISA in einer aktuellen Untersuchung zu Cyberangriffen auf Lieferketten, werde es in Europa viermal so viele Angriffe auf Zuliefer-Unternehmen gegeben haben wie im vorigen Jahr. 

Grund dafür ist auch, dass die Verwendung von Schadsoftware kein Informatik-Studium mehr voraussetzt. Längst mieten sich Einbrecher die notwendige Software (Ransomware-as-a-Service), gefundene Lücken in IT-Systemen werden im Darknet von Hehlern angeboten. Einige Gruppen arbeiten inzwischen mit spezialisierten Call-Centern zusammen, die die Kommunikation zwischen dem angegriffenen Unternehmen und den Erpressern koordinieren.

Branchen verordnen sich eigenen IT-Sicherheitsstandard

Das Geschäft ist lukrativ: Durch Diebstahl, Spionage und Sabotage entstünde der deutschen Wirtschaft jährlich ein Gesamtschaden von 223 Milliarden Euro, teilte der Branchenverband Bitkom im August mit. Damit sei die Schadenssumme mehr als doppelt so hoch wie in den Jahren 2018/2019. Haupttreiber des enormen Anstiegs seien Erpressungsfälle. Die so verursachten Schäden hätten sich im Vergleich zu den Vorjahren mehr als vervierfacht, so der Bitkom. Auch wird es teurer, einmal infizierte Systeme wiederherzustellen. Laut dem „Cyber Report“ der Allianztochter AGCS haben sich die Gesamtkosten für Wiederherstellung und Ausfallzeit eines blockierten Systems innerhalb eines Jahres von gut 761.000 auf 1,85 Millionen US-Dollar mehr als verdoppelt.

AGCS-Manager Krickhahn fordert deshalb auch mehr Anstrengungen in dem Bereich: „Viele Abnehmer prüfen ihre Lieferanten kaum – dabei braucht es hier eine umfangreiche Überprüfung: Vom tiefen Check des Patchmanagements, des Back-Up Prozesses, über Mitarbeitertraining bis zu Mechanismen wie der Mehrfaktorauthentifizierung bei Remote-Zugriff.“

Die traditionell sehr auf Zulieferer und Lieferketten angewiesene Automobilbranche hat sich schon vor einigen Jahren einen brancheneigenen IT-Sicherheitsstandard verordnet. TISAX (Trusted Information Security Assessment Exchange) entstand unter Federführung des VDA (Verband der Automobilindustrie) und orientiert sich an der internationalen IT-Sicherheitsnorm ISO 27001. Wer von den großen Automobilkonzernen als relevanter Zulieferer gebucht werden will, braucht die TISAX-Zertifizierung. 

Doch auch zertifizierte IT-Sicherheit ist keine Garantie dafür, von Cyberkriminellen verschont zu bleiben. So rät etwa der VDA seinen Mitgliedern weitere allgemeine Empfehlungen – darunter etwa den Aufbau von drei sogenannten „Verteidigungslinien“. Dieses Modell ermögliche eine klare Rollentrennung in der Realisierung der Informationssicherheit und schaffe notwendige Resilienz, so der Verband.

IT-Sicherheitsgesetz 2.0: Bin ich ein Zulieferer mit Alleinstellungsmerkmalen?

Auch die Politik hat das Thema erkannt: Seit der Novelle des IT-Sicherheitsgesetzes gibt es eine neue Kategorie: „Unternehmen in besonderen öffentlichen Interesse“. Dazu gehören auch Zulieferer mit Alleinstellungsmerkmalen. Für solche Zulieferer gelten je nach Klassifikation höhere IT-Sicherheitsvorgaben. Auch eine Meldepflicht bei Cybersicherheitsvorfällen gilt für die Gruppe der „besonderen Unternehmen“.

Das Problem: Wie aber kann ich feststellen, ob das eigene Unternehmen in die Definition der besonderen Zulieferer fällt oder nicht? Kennzahlen, Schwellenwerte und Methodik zur Feststellung sind noch nicht bekannt, die dafür notwendige Verordnung ist vom Bundesinnenministerium (BMI) noch nicht fertig gestellt. Auf Anfrage von Tagesspiegel Background Cybersecurity erklärte eine BMI-Sprecherin, dass es noch keinen Zeitplan für den Erlass oder das Inkrafttreten der Verordnung gebe. Bei den Kennzahlen und der Methodik werde man sich aber an der Liste der 100 größten Unternehmen in Deutschland der Monopolkommission orientieren, so die Sprecherin.

Auch Cybersicherheit am Ende eine Frage des Budgets

Die neue europäische Cybersicherheitsrichtlinie NIS-2 sieht unter anderem verpflichtende Trainings und Schulungen zur Cyberhygiene vor; einheitliche Kontaktstellen sollen außerdem insbesondere kleine und mittlere Unternehmen sensibilisieren (Tagesspiegel Background berichtete). 

Doch Sensibilisierung ist nicht die einzige Herausforderung: Expert:innen warnen davor, dass neue regulatorische Maßnahmen auch dazu führen könnten, dass sich der Bedarf an Cybersicherheitsfachleuten weiter verstärke – und das unter Bedingungen einer deutlich angespannten Lage am Markt. Gerade KMU hätten es schwer, entsprechende Fachkräfte zu rekrutieren, heißt es immer wieder. Zudem fördern neue Richtlinien auch die Komplexität, die gerade Unternehmen ohne große IT-Abteilung überfordert. KMU benötigten mehr gezielte Förderung und Hilfestellung – etwa bereits bei der Risikoanalyse.

Und auch Budgets wachsen nicht allein durch Aufmerksamkeit. Christian Milde, Geschäftsführer für Zentraleuropa bei Kaspersky, bestätigt: „Bei vielen KMUs spielt IT-Sicherheit im Budget fast oder noch gar keine Rolle – auch weil die finanziellen Ressourcen fehlen.“ Es gebe ein beidseitiges Interesse an einem hohen Schutzniveau, sagt er: „Die Sicherheit von Lieferketten betrifft Hersteller und Abnehmer – Qualität und eine stabile Lieferkette ebenso.“ Gerade Ransomware könne kleine und mittelständische Unternehmen in Existenznot bringen, so Milde: „Wenn Zulieferer vom Markt verschwinden, ist das nicht nur ein wirtschaftlicher und gesellschaftlicher Schaden, sondern kann auch nicht im Interesse der Wettbewerbsvielfalt sein.“

Es sei nicht genug, an die eigene Sicherheit zu denken, aber nicht an die der Lieferkette, sagt KPMG-Partner Dolle: „Alle Unternehmen sollten sich ihre Abhängigkeiten genau anschauen, die eigenen Lieferanten checken und dann in den Dialog treten – und schauen, wie es sich gemeinsam verbessern lässt.“ Auch die EU-Cybersicherheitsbehörde ENISA wirbt für einen kooperativen Sicherheitsansatz. Ansonsten drohe das Dilemma, dass Konkurrenzfähigkeit durch niedrige Preise und Konkurrenzfähigkeit dank guter IT-Standards nicht unter einen Hut zu bekommen seien. Der Kostendruck auf Lieferanten ist immens und Cybersicherheit eine Investition, die ohne Kapitalrendite zu Buche schlägt.

Klar ist aber auch, dass nur wenige große Unternehmen die Zeit und Ressourcen haben, um das Thema IT-Sicherheit abseits der eigenen Firma in der Branche zu fördern. Das BSI bietet daher eine Plattform für solche Abstimmungen an. Sowohl beim brancheninternen als auch mit branchenübergreifenden Initiativen habe man bereits gute Ergebnisse gemacht, sagt ein BSI-Sprecher zu Tagesspiegel Background Cybersecurity. „Je mehr Unternehmen sich beteiligen, desto größer ist der Vorteil für alle.“ Der Bundesverband der Deutschen Industrie (BDI) hat gemeinsam mit dem Bundesinnenministerium eine Übersicht über bestehende Kooperationsprojekte für Cybersicherheit veröffentlicht. Das Bundeswirtschaftsministerium gemeinsam mit Deutschland sicher im Netz (DSiN) die Transferstelle IT-Sicherheit im Mittelstand (TISiM) ins Leben gerufen.

Mehr Offenheit und Austausch, fordert auch KPMG-Partner Dolle: „Kooperation fördert den Austausch von Know-how und führt dazu, dass wir die entsprechenden Risiken mess- und fassbar machen.“ Offenheit bedeute auch eine realistische Selbsteinschätzung. „Wichtig ist es nicht nur, dass man die eigenen Herausforderungen identifiziert, sondern sich auch für den Ernstfall vorbereitet.“ Denn der könne immer passieren – auch wenn man seine Hausaufgaben erledigt hat. So gibt auch etwa der Verband Deutscher Maschinen- und Anlagenbau (VDMA) zu bedenken, dass eben nicht nur Prävention und der Fokus auf Abwehr notwendig sei, sondern auch die Vorbereitung – dazu hat der Verband ein entsprechendes Papier veröffentlicht. Mit Paul Dalg