Laut einem Bericht der Agentur der Europäischen Union für Cybersicherheit (ENISA) häuften sich in diesem und im vergangenen Jahr Cyber-Angriffe auf Lieferketten. Mario Galatovic, Vice President Products & Alliances bei Utimaco, gibt fünf Tipps, wie sich Unternehmen schützen können.

Der Bericht zeigt, dass Hacker ihre Ziele nicht immer direkt angreifen, sondern sich auch Wege über Lieferanten suchen. Bei 62 Prozent der untersuchten Angriffe machten sich die Cyberkriminellen das Vertrauen von Kunden zu deren Lieferanten zunutze. Das zeigt, bei IT-Sicherheit darf man nicht mehr nur das eigene Unternehmen betrachten, sondern muss die gesamte Supply Chain im Blick haben.

1. Visibility

Es klingt zunächst trivial, doch um Lieferketten schützen zu können, muss man sie im Detail kennen. Wie komplex Supply Chains sein können, zeigt sich oft erst dann, wenn sie nicht mehr richtig funktionieren, wie uns die Coronakrise schmerzlich vor Augen führte. Der erste Schritt zu mehr Sicherheit führt also klar über Supply Chain Visibility.

2. Starke Authentifizierung

Social Engineering und Phishing gehören generell zu den häufigsten Angriffsvektoren auf Unternehmen. Auch im ENISA-Report werden diese Gefahren für Lieferketten hervorgehoben. Unternehmen sollten daher darauf achten, dass es nicht nur im eigenen Haus, sondern entlang der gesamten Lieferkette starke Authentifizierungslösungen gibt. Allen voran wäre hier Zwei-Faktor-Authentifizierung zu nennen. Unternehmen sollten überprüfen, welche Sicherheitsmechanismen ihre Lieferanten implementiert haben und gegebenenfalls auf eine Nachbesserung bestehen. Als sicherste Methode der Zugangskontrolle gilt heute zertifikatsbasierte Authentifizierung, die auf einer Public Key Infrastructure (PKI) aufbaut. Diese Zertifikate machen Passwörter überflüssig und vermeiden somit Gefahren, die durch Nachlässigkeit bei der Auswahl von Passwörtern oder Brute-Force-Attacken entstehen.

3. Code-Signaturen

Laut dem ENISA-Report kam in 62 Prozent der untersuchten Fälle Malware als Angriffsmethode zum Einsatz. Eine besonders effektive Methode zum Verteilen dieser Malware stellen kompromittierte Updates dar. Ein eindrucksvolles Beispiel dafür war die SolarWinds-Attacke im Jahr 2019. Dabei gelang es Cyber-Kriminellen durch ein schwaches Passwort, Zugriff auf den Update Server des Unternehmens zu erlangen. Bis zu 18.000 Kunden des Netzmanagement-Unternehmens installierten das kompromittierte Update, was die enorme Tragweite derartiger Angriffe verdeutlicht. Wie können Kunden nun aber sicherstellen, dass Updates echt und nicht krimineller Natur sind? Eine Möglichkeit dafür ist, dass der Anbieter echte Updates fälschungssicher signiert. Dies geschieht auf Basis einer Public Key Infrastructure (PKI). Jedes ausgespielte Update wird mit einer einzigartigen, fälschungssicher kodierten, digitalen Identität versehen. Um diese Identität zu decodieren, d.h. die Echtheit zu verifizieren, genügt ein öffentlicher Schlüssel, der an jeden Kunden herausgegeben werden kann. Der private Schlüssel verbleibt währenddessen in einem hermetisch abgeschlossenen Hardware-Sicherheitsmodul (HSM), was höchste Sicherheit garantiert.

4. Sensible Kommunikation in sicherer Umgebung ablaufen lassen

Supply Chain und IoT sind heute eng verknüpfte Bereiche. Das bedeutet einerseits mehr Visibility und bringt Effizienzgewinne mit sich, andererseits kann die Kommunikation der vernetzten Geräte auch eine Schwachstelle darstellen, über die sich Hacker Zutritt zu Unternehmensnetzwerken verschaffen können. Ein vielversprechender Ansatz, den auch bereits namhafte Unternehmen einsetzen, ist es, die IoT-Kommunikation über das sichere und manipulationsgeschützte Umfeld eines Hardware-Sicherheitsmoduls (HSM) abzuwickeln. Utimaco bietet beispielsweise ein Software Development Kit an, das es erlaubt, mit wenig Aufwand eigene Anwendungen für den Betrieb innerhalb eines HSM zu erstellen.

5. Vernetzte Produkte verifizieren

Auch von IoT-Geräten selbst kann eine Gefahr ausgehen: Produktpiraterie nimmt heutzutage auch im industriellen Umfeld immer beängstigendere Ausmaße an. Daher braucht es Lösungen, die es erlauben, Teile schnell und einfach auf ihre Authentizität zu überprüfen. Die bewährteste Lösung dafür nennt sich „Product Attestation“ und setzt aus Methoden, wie beispielsweise Codesignatur, Key Injection, HSM und PKI zusammen. Bei der Produktion eines vernetzten Bauteils erhält dieses eine codierte Identität, die mit einem privaten Schlüssel erstellt wurde und mit einem öffentlichen Schlüssel verifiziert werden kann. Somit kann jeder in der Wertschöpfungskette zu jeder Zeit prüfen, ob es sich um ein Original handelt.

Über die Utimaco Management Services GmbH

UTIMACO ist ein global führender Anbieter von Hochsicherheitstechnologien für Cybersecurity und Compliance-Lösungen und Services mit Hauptsitz in Aachen, Deutschland und Campbell (CA), USA. UTIMACO entwickelt und produziert Hardware-Sicherheitsmodule und Key Management-Lösungen für den Einsatz im Rechenzentrum und in der Cloud sowie Compliance-Lösungen für Telekommunikationsanbieter im Bereich der Regulierung. In beiden Bereichen nimmt UTIMACO eine führende Marktposition ein.

Mehr als 470 Mitarbeiter tragen Verantwortung für Kunden und Bürger weltweit, indem sie innovative Sicherheitslösungen und Services entwickeln, die ihre Daten, Identitäten und Netzwerke schützen. Partner und Kunden aus den unterschiedlichsten Industrien schätzen die Zuverlässigkeit und langfristige Investitionssicherheit der UTIMACO-Sicherheitslösungen. Weitere Informationen unter www.utimaco.com.

Firmenkontakt und Herausgeber der Meldung:

Utimaco Management Services GmbH
Germanusstr. 4
52080 Aachen
Telefon: +49 (241) 1696-0
Telefax: +49 (241) 1696-199
https://utimaco.com/de

Ansprechpartner:
Patricia Lammers
Hotwire für Utimaco
Telefon: +49 (170) 8168890
E-Mail: utimaco@hotwireglobal.com
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel