Im Jahr 2020 wurde der SolarWinds-Angriff als einer der schwerwiegendsten Cyberangriffe in der jüngeren Geschichte bekannt. Über die kompromittierte Software-Update-Funktion der Orion-Plattform drangen Angreifer in die Netzwerke zahlreicher US-Behörden, großer Unternehmen und internationaler Organisationen ein. Der Angriff deckte gravierende Schwächen in der Software-Supply-Chain-Sicherheit auf und unterstrich die Notwendigkeit robuster Compliance-Strategien. Welche Lehren können Unternehmen daraus ziehen?
Was war das Problem?
Die Angreifer kompromittierten die Update-Funktionalität der Orion-Software von SolarWinds, indem sie Malware in ein legitimes Update einfügten. Dadurch wurde die Schadsoftware unbemerkt auf die Systeme von Tausenden von Kunden verteilt. Einmal installiert, gewährte die Malware den Angreifern umfassenden Zugang zu Netzwerken und Daten.
⚠️ Zentrale Schwachstellen:
- Angriff auf die Software-Lieferkette: Die Kompromittierung des SolarWinds-Updates zeigt, wie anfällig Lieferketten für Cyberangriffe sein können.
- Fehlende Sicherheitsprüfungen bei Software-Updates: Die Malware blieb unentdeckt, da keine ausreichenden Sicherheitsmaßnahmen zur Überprüfung der Updates implementiert waren.
- Unzureichende Netzwerksegmentierung: Angreifer konnten sich innerhalb der Netzwerke ungehindert bewegen und sensible Daten exfiltrieren.
Welche Compliance-Learnings ergeben sich aus dem SolarWinds-Angriff?
- Stärkung der Software-Supply-Chain-Sicherheit:
🔗 Unternehmen müssen sicherstellen, dass ihre Drittanbieter und Softwarelieferanten strengen Sicherheitsstandards entsprechen. Lieferantenverträge sollten Sicherheitsanforderungen und Audit-Möglichkeiten enthalten. - Verifizierung von Software-Updates:
🛠 Sicherheitsprüfungen, wie Code-Signing und die Validierung digitaler Signaturen, sollten für alle Software-Updates verpflichtend sein. - Implementierung von Zero-Trust-Prinzipien:
🔐 Ein Zero-Trust-Ansatz reduziert die Gefahr, dass Angreifer ungehinderten Zugriff auf Netzwerke erhalten. Jedes System und jeder Zugriff sollte individuell überprüft werden. - Netzwerksegmentierung:
🌐 Die Trennung sensibler Systeme innerhalb eines Netzwerks erschwert es Angreifern, sich seitlich zu bewegen und weitere Teile des Netzwerks zu infiltrieren. - Sicherheitsaudits für Drittanbieter:
🔍 Regelmäßige Audits und Sicherheitsüberprüfungen von Softwarelieferanten und deren Produkten sind entscheidend, um Schwachstellen in der Lieferkette frühzeitig zu erkennen. - Bedrohungsüberwachung und -erkennung:
📊 Security Information and Event Management (SIEM) und Endpoint Detection and Response (EDR)-Lösungen helfen dabei, verdächtige Aktivitäten in Echtzeit zu erkennen und zu stoppen.
Wie lassen sich solche Angriffe künftig vermeiden?
Der Schutz vor Angriffen auf die Software-Lieferkette erfordert eine Kombination aus organisatorischen und technischen Maßnahmen. Die Einführung eines Supply-Chain-Risikomanagements, wie es in Standards wie ISO/IEC 27036 beschrieben wird, hilft Unternehmen, Risiken zu identifizieren und zu mindern.
Zudem sollten Unternehmen Partnerschaften mit vertrauenswürdigen Anbietern eingehen, deren Sicherheitspraktiken regelmäßig überprüft werden. Die Implementierung von kontinuierlichem Monitoring und Incident-Response-Plänen bietet zusätzlichen Schutz.
