Ein monatelanger Lieferketten-Angriff auf Daemon-Tools, ein weit verbreitetes Disk-Imaging-Tool, verdeutlicht: Kompromittierungen sind nach wie vor sehr schwer aufzudecken. Der von Kaspersky aufgedeckte Angriff lief ab dem 8. April und infizierte heimlich, still und leise Systeme in über 100 Ländern. Dabei wurden zunächst Systemdaten gesammelt, bevor anschließend bei ausgewählten Opfern in Handel, Verwaltung, Industrie und Forschung gezielt eine zweite Malware nachgeladen wurde. Ein Kommentar von Oliver Keizers, VP Sales Central EMEA bei Filigran.
Dasselbe Muster gab es bei CCleaner (2017), Solarwinds (2020) und 3CX (2023). Und trotzdem dauerte auch diesmal die Erkennung wieder mehrere Wochen.
Die deutsche Industrie und Behördenlandschaft sind attraktive Ziele für genau diese Art von Supply-Chain-Angriffen. Fertigungsunternehmen, Bundesbehörden, Forschungseinrichtungen: sie alle setzen auch auf Software, die außerhalb des klassischen Sicherheitsperimeters liegt. Die NIS2, in Deutschland durch das NIS2UmsuCG in nationales Recht überführt, verpflichtet betroffene Einrichtungen ausdrücklich zum Management von Supply-Chain-Risiken. Das BSI benennt Supply-Chain-Angriffe in seinen jährlichen Lageberichten zur IT-Sicherheit konsequent als eine der zentralen Bedrohungen, gegen die es sich zu wappnen gilt. Dennoch fehlt vielen Unternehmen und Behörden die operative Infrastruktur, um auf diese Bedrohungskategorie in Echtzeit reagieren zu können.
Die tatsächliche Lücke liegt nicht im Tool
Der Daemon-Tools-Angriff zeigt exemplarisch, was passiert, wenn Bedrohungsinformationen isoliert vorliegen oder ganz fehlen. Die Indikatoren waren vorhanden: ungewöhnliche ausgehende Verbindungen, neue Prozesse, unerklärliches Software-Verhalten. Aber ohne eine strukturierte Möglichkeit, diese Indikatoren zu korrelieren und einzuordnen, bleiben sie lediglich ein undeutliches Rauschen.
Allerdings gab es in den vergangenen Jahren einige signifikante Fortschritte, auch im Open-Source-Bereich. Plattformen, wie OpenCTI, die vollständig quelloffen entwickelt werden, ermöglichen es Sicherheitsteams, Bedrohungsdaten aus hunderten Quellen zu strukturieren, mit etablierten Frameworks wie MITRE ATT&CK zu verknüpfen und operativ nutzbar zu machen, ohne Abhängigkeit von einem einzelnen Anbieter. Das Resultat: Das aufgebaute Wissen bleibt im Unternehmen, auch wenn Analysten das Team wechseln. Das verhindert zwar keine Angriffe, aber es verkürzt die Zeit, in der sie unbemerkt bleiben.
Supply-Chain-Angriffe werden nicht aufhören. Die entscheidende Frage ist daher nicht, ob die eigene Software kompromittiert werden kann, sondern ob das Team es innerhalb von Stunden bemerkt oder erst nach Monaten. Der Unterschied in den aus den jeweiligen Zeitfenstern resultierenden Schäden kann gewaltig sein. Daraus abgeleitet lässt sich feststellen: Wer Bedrohungsintelligenz heute noch als reines Reporting-Werkzeug behandelt, versäumt es, aus den bisherigen Vorfällen die richtigen Schlüsse zu ziehen.
#Filigran
