Cybersicherheit bei IoT-Geräten Angriffe auf die Lieferkette und wie man sie abwehrt

Autor / Redakteur: Harry Zorn* / Hendrik Härter

Vernetzte IoT-Geräte sind zwar praktisch, es gibt allerdings Sicherheitslücken innerhalb der Lieferkette. In einem aktuellen Bericht hat die US-Bundesbehörde NIST die Cyberrisiken innerhalb der Lieferkette eingeschätzt. Die Empfehlungen im Überblick.

Firmen zum Thema

Angriffe auf IoT-Geräte: Veraltete Software in der Firmware zählt zu den unbeabsichtigten Risiken in der Lieferkette.
Angriffe auf IoT-Geräte: Veraltete Software in der Firmware zählt zu den unbeabsichtigten Risiken in der Lieferkette.
(Bild: Gerd Altmann / Pixabay )

Die US-Bundesbehörde NIST (National Institute of Standards and Technology) hatte vor kurzem die endgültige Version seines Berichts 8276 unter dem Titel „Key Practices in Cyber Supply Chain Risk Management: Observations from Industry” [1] veröffentlicht. Der Report ist eine hilfreiche Zusammenfassung, wie das NIST die Cybersicherheitsrisiken innerhalb der Lieferkette einschätzt und dabei insbesondere die Rolle von Geräten des Internet of Things (IoT).

Risiken in der Lieferkette lassen sich in zwei Kategorien einteilen: Sicherheitslücken und Schwachstellen, die unbeabsichtigt entstanden sind, sowie direkte Angriffe. Zu den unbeabsichtigten Risiken zählt beispielsweise der Einbau veralteter Software in das Firmware-Image eines Geräts oder in die Software der zugehörigen Apps und Dienste. Gegen diese Risiken kann man einiges tun. Beispielsweise indem man seine Lieferanten sorgfältig auswählt, veraltete, überholte und anderweitig anfällige Software eliminiert oder ersetzt und die verbleibenden Risiken durch sichere Software-Konfigurationen, Überwachung und externe Schutzmaßnahmen (Firewalls) reduziert.

Will man die Risiken im Sinne einer vertrauenswürdigen Lieferkette effizient managen, sollte man unbedingt eine sogenannte SBOM (Software Bill of Materials = Software-Stückliste) erstellen. Dazu sollten die Risiken identifiziert werden, die sich aus allen extern bezogenen Software-Komponenten ergeben. Das sind zum Beispiel Open-Source- und proprietäre Komponenten sowie ihre Sub-Komponenten, die ihrerseits von unterschiedlichen Anbietern stammen können.

Der Angriff auf die Lieferketten

Voraussetzung ist, SBOMs standardisiert zu erstellen und das Werkzeug in der Industrie auszuweiten. Geht eine Standard-SBOM von den Root-Software-Anbietern aus und weitet sich in der Lieferkette nach unten aus, könnten Käufern und Verkäufern die Software-Zusammensetzung ihrer Produkte klar und einfach beurteilen. Ein bemerkenswerter Ansatz stammt etwa vom NTIA [2]. Bleibt zu hoffen, dass er bei Industrie und Regulierungsbehörden auf breite Akzeptanz stößt.

Angriffe auf Lieferketten sind eines der schwerwiegendsten Risiken, die ein Zulieferer verursachen kann. Mehrere Cybersicherheitsvorfälle fanden ihren Weg in die Öffentlichkeit. Dabei waren die Update-Produkte von SolarWinds [3] beteiligt. Unser eigenes Forschungsteam hat vor kurzem einen Blog [4] über Angriffe auf die Lieferkette veröffentlicht. Wir schauen jetzt die Risikoklasse genauer an.

Lieferketten-Angriffe sind für Hacker eine verlockende Alternative zu den herkömmlichen Perimeter-Angriffen. Zielen sie zunächst auf die Eintrittspunkte ins Netzwerk eines Unternehmens ab und breiten sich dann nach innen aus. Statt sich also an den befestigten Mauern abzuarbeiten, ähneln diese Angriffe eher einem trojanischen Pferd, das durchs Haupttor in die Stadt geschleust wird: Eine bösartige Komponente wird in eine als gutartig erscheinende Software oder Appliance eingeschleust, die dann vom Administrator selbst im Netzwerk des Unternehmens installiert wird. Lieferketten-Angriffe umgehen die Perimeter-Verteidigung und die meisten netzwerkbasierten Überwachungssysteme. Sie lassen sich nur schwer erkennen.

Ein klassischer Lieferketten-Angriff

Ein klassischer Lieferketten-Angriff besteht darin, den Anbieter eines Software-Produkts zu kompromittieren, bösartigen Code in dessen Versionsverwaltungssystem einzuschleusen und dann geduldig abzuwarten, bis ein anvisiertes Zielunternehmen genau dieses Produkt erwirbt (oder auf die infizierte Version updated). Danach wird der eingeschleuste Code ausgeführt. Eine Alternative dazu ist es, die Build-Umgebung anzugreifen: Moderne Software wird oft auf dedizierten Maschinen und Cloud-Servern mit einer komplexen Toolchain erstellt.

Angreifer kompromittieren Build-Systeme und Compiler, um ihren Code gezielt einzuschleusen. Auch Open-Source-Projekte dienen als Angriffsfläche. Der Angreifer muss den absichtlich mit Schwachstellen behafteten Code [5] unerkannt in ein populäres Quellcode-Repository einspeisen, ihn dort akzeptieren lassen und beobachten, wie sich die Änderung in weiteren Open-Source-Projekten und proprietären Produkten verbreitet. Sogar Update-Server können als Ziel für Lieferketten-Angriffe dienen [6], wenn sie kompromittiert werden.

Die Update-Pakete haben vollkommen gültige kryptografische Signaturen, sofern vom Hersteller bereitgestellt. Die schädliche Komponente wird bereits vor dem digitalen Signieren der Softwarekomponente injiziert. Sogar Hardware kann bösartige Backdoors [7] enthalten. Und die sind unter Umständen schwer zu erkennen oder zu beseitigen.

Mehr Angriffsfläche durch vernetzte IoT-Geräte

Der erwähnte Bericht ist Teil des NIST C-SCRM [8], des Cyber-Supply-Chain-Risk-Management-Programms, und damit einer umfassenderen Bemühung, Verfahren und Richtlinien sowohl für staatliche Unternehmen als auch für den privaten Sektor zu erstellen. Diese Bemühungen fußen auf der wachsenden Erkenntnis über die schwerwiegenden Sicherheitsauswirkungen, die durch anfällige Software (und gelegentlich auch Hardware) verursacht werden. Software (oder auch Hardware), die Unternehmen oder Endbenutzer von Anbietern erworben haben, deren Produkte Sicherheitslücken und sogar absichtlich installierte Backdoors enthalten.

Der Bericht gibt zudem einen Überblick über Angriffe auf die Cybersicherheit in der Lieferkette und erläutert wichtige Praktiken und Empfehlungen für Sicherheitsprozesse und -verfahren. Dazu kommt eine Liste mit nützlichen Referenzen für das Management einer vertrauenswürdigen Lieferkette. Dazu gehören unter anderem NIST, ISO, IEC und NERC. Der Bericht geht dabei nicht in die technischen Details und beschreibt auch keine spezifischen Sicherheitsanforderungen.

Der Abschnitt 1 enthält eine Zusammenfassung von Lieferketten-Angriffen in den Jahren zwischen 2013 und 2018, geht aber nicht auf neuere Lieferketten-Angriffe aus dem Jahr 2020 ein, wie Sunburst [9], den vielfach diskutierten Lieferketten-Angriff, bei denen die Update-Software von SolarWinds verwendet wurde. Dieser Abschnitt weist auf das besondere Problem mit IoT- und IIoT-Geräten (Industrial IoT) hin. Unternehmen installieren zunehmend vernetzte Geräte in ihren Netzwerken, was die Angriffsfläche exponentiell vergrößert.

Keine Kontrolle über das Liefer-Ökosystem

Der Abschnitt 2 enthält eine sehr treffende Problemdefinition, die es verdient, in vollem Umfang zitiert zu werden: „Diese Trends haben zu einer Welt geführt, in der Unternehmen nicht mehr die volle Kontrolle und oftmals auch nicht die volle Transparenz über das Liefer-Ökosystem der Produkte, die sie herstellen, oder der Dienstleistungen, die sie erbringen, haben. Und ohne ausreichende Kontrolle haben Unternehmen Schwierigkeiten, die Risiken zu managen, die sich aus ihren Lieferketten und den Produkten und Dienstleistungen ergeben, die diese durchlaufen.“

Sie trifft besonders für unsere moderne Welt zu, in der jeder Computer, jede Appliance oder Softwarekomponente Millionen installierter Codezeilen in sich trägt, die aus einer Vielzahl von Open-Source-Projekten und proprietären Softwarepaketen stammen und von einer komplexen Lieferkette aus Entwicklern, Anbietern, Integratoren und Wiederverkäufern erstellt werden. Und das, bevor wir auf die Cloud- und Netzwerkdienste eingehen, die die Dateninfrastruktur und Backend-Anwendungen vorhält, die für den Betrieb des gesamten Ökosystems erforderlich sind.

Abschnitt 3 beschreibt die wichtigsten und empfohlenen Praktiken. Wie ein S-CRM-Programm etabliert wird, die Lieferkette verstehen und verwalten sowie separate Empfehlungen zur engen Zusammenarbeit mit wichtigen Lieferanten. Dazu gehören vor allem jene, die mit sensiblen Daten umgehen. Hinzu kommen Empfehlungen, um die Lieferanten zu überwachen bis hin zu einer möglichen Abkündigung. Diese Punkte werden in Abschnitt 4 unter „Empfehlungen“ noch einmal zusammengefasst.

Wie die Lieferkette die Cybersicherheit beeinflusst

Als Anbieter von Sicherheitsdienstleistungen für Unternehmen, die vernetzte Geräte erstellen oder beziehen, sehen wir nicht selten Produkte mit Schwachstellen im täglichen Einsatz. So eine Schwachstelle in der Lieferkette wird unwissentlich mit Open-Source-Komponenten oder von Software-Anbietern erworben. An dieser Stelle kann man der Problemdefinition des Berichts nur zustimmen: Den meisten Unternehmen fehlt ein ausreichender Einblick in die Art und Weise, wie ihre Lieferkette die Cybersicherheit beeinflusst. Transparenz ist der erste Schritt, um die Kontrolle zu erlangen und eine vertrauenswürdige Lieferkette zu etablieren.

Moderne Unternehmen sind praktisch nicht mehr in der Lage, ihre Lieferketten-Beziehungen mit bisweilen Hunderter verschiedener Lieferanten, ohne automatisierte Tools effizient zu verwalten. Solche Tools unterstützen Firmen bei Assessments der betreffenden Lieferanten und helfen eine präzise Software-Stückliste zu erstellen. Der Einsatz von automatisierten Tools deckt gleichzeitig viele der innerhalb des Standards empfohlenen Praktiken ab. Zum Beispiel robuste Testverfahren einzusetzen und klare, standard-basierte Sicherheitsanforderungen festzulegen, die für alle Lieferanten gleichermaßen gelten.

Das NIST ist in der Lage, das Beschaffungswesen der US-Bundesregierung und – indirekt – die gesamte Branche zu beeinflussen. Daher sollte es den nächsten logischen Schritt vollziehen und verbindliche Standards für die Beschaffer von Software und Geräten liefern. Die sollten dann nicht nur für die unmittelbaren Lieferanten gelten, sondern für die gesamte Kette. So bekommen alle Teilnehmer der Lieferkette die dringend notwendige Transparenz, um die Produktsicherheit und Produktauswahl zu verbessern.

* Harry Zorn ist Vice President EMEA bei Vdoo in Stuttgart.

(ID:47433311)