Datenschutz im Jahr 2022 – Supply-Chain-Angriffe, kompromittierte Drittanbieter-Software und Sideloading

Geschrieben von Tresorit Team
Datenschutz im Jahr 2022 – Supply-Chain-Angriffe, kompromittierte Drittanbieter-Software und Sideloading

Supply-Chain-Angriffe avancieren zunehmend zur maßgeblichsten Bedrohung für Regierungen, Organisationen und Privatnutzer weltweit. Erfahren Sie in der neuesten Ausgabe unserer Serie zu den wichtigsten Cybersicherheitsbedrohungen 2022, wie diese Angriffe ablaufen und was Sie tun können, um sie zu entschärfen.

In Software von Drittanbietern und Sideloading versteckte Bedrohungen sind ein permanentes Risiko für Privatpersonen und Unternehmen jeglicher Größe. Zwar ist diese Gefahr in einer Enterprise-Umgebung einfacher zu kontrollieren, aber dennoch tragen die individuellen Nutzer eine große Verantwortung. Gleichzeitig bereiten Supply-Chain-Angriffe Regierungen und Unternehmen erhebliches Kopfzerbrechen und die Verteidigung gegen sie stellt eine immense Herausforderung dar.

Worin besteht der Unterschied?

Wie auch in unseren vorausgegangenen Beiträgen werden wir zur Erläuterung dieser Angriffsformen mit der Analogie des Hauses fortfahren, die wir erstmals am Datenschutztag vorgestellt haben. In diesen Beispielen betrachten wir unseren Computer als das Zuhause unseres digitalen Selbst. Was also genau sind kompromittierte Drittanbieter-Software und Sideloading und wann werden diese zu einem Supply-Chain-Angriff? Im Rahmen der Analogie sollten Sie Haushaltsgeräte als die unterschiedlichen Softwarelösungen ansehen, die auf einem Gerät installiert sind.

Kompromittierte Drittanbieter-Software beschreibt eine Situation, in der sich Personen mit bösartigen Absichten Zugriff auf die Arbeitsabläufe von Softwareentwicklern verschaffen und ein bewährtes Tool mit Schadsoftware infizieren. Okay… zurück zum Haus. Sie bestellen im Internet einen neuen Toaster einer namhaften Marke. Jedoch wurde der Fertigungsprozess des Toasters kompromittiert und ein bösartiges Individuum hat Mikrofone in allen sich in der Produktionshalle befindlichen Geräten installiert. Leider hat der Hersteller aufgrund mangelnder Sicherheitsmaßnahmen und Qualitätskontrolle keinen blassen Schimmer davon, dass seine Geräte manipuliert wurden und der Angreifer schlägt daraus Profit.

Sideloading im Zusammenhang mit böswilligen Absichten bedeutet, dass Schadprogramme das der Anwendung geschenkte betriebliche oder persönliche Vertrauen (Privilegien) ausnutzt, um sich weiteren Zugang zu unserer virtuellen Umgebung zu verschaffen. Nehmen wir einmal an, Sie kaufen eine Kaffeemaschine von einem Online-Händler, der viel günstigere Preise als die Konkurrenz hat. Als das Paket ankommt, stellen Sie fest, dass darin ein kostenloser Milchaufschäumer als Überraschungsbeigabe enthalten ist. An der Kaffeemaschine wurde nichts geändert – sie funktioniert einwandfrei. Im Einschaltknopf des Milchschäumers ist jedoch eine kleine Lochkamera versteckt, die nun dafür verwendet wird, Sie auszuspionieren.

💡
Es ist erwähnenswert, dass der Begriff Sideloading auch in Bezug auf absolut legitime Aktivitäten verwendet werden kann. Wenn ein Nutzer eine App für sein Handy von einer Webseite anstatt über den App Store seiner Plattform installiert, wird dies ebenfalls als Sideloading bezeichnet. Auch wenn dies Risiken mit sich bringen kann, handelt es sich dabei nicht um eine inhärent böswillige Aktivität. Stellen Sie sicher, dass Sie alle manuell installierten Apps aktualisieren, sobald neue Versionen verfügbar sind, und dass Sie nur Apps von vertrauenswürdigen Webseiten, wie z. B. die Download-Seite des Entwicklers, herunterladen.

Supply-Chain-Angriffe (Lieferkettenangriffe) sind der noch gemeinere große Bruder der beiden oben genannten Bedrohungen. In diesen Situationen visieren Angreifer weniger gesicherte Organisationen und Softwarekomponenten an, die von wertvolleren und besser geschützten Angriffszielen verwendet werden, um sich somit Zugang zu diesen Organisationen zu verschaffen. Oder in Bezug auf unsere Analogie: Jemand möchte sich Zugang zu Ihrem Haus verschaffen, aber Sie haben robuste Sicherheitsvorkehrungen getroffen. Mit etwas Recherche findet der Angreifer heraus, dass Ihr Kühlschrank defekt ist, aber der Kühlschrankhersteller setzt ebenfalls strenge Sicherheits- und Qualitätsprüfungsverfahren ein. Daher sucht der Angreifer weiter nach einer einfacheren Angriffsfläche und stößt schließlich auf den vom Hersteller beauftragten Reparaturdienst in Ihrer Gegend. Sobald er dort eingestellt wurde, macht er sich daran, bei jedem einzelnen Reparaturauftrag ein Abhörgerät in dem jeweiligen Kühlschrank zu installieren – und gelangt schließlich auch zu Ihrem Haus. Infolgedessen sind nun Hunderte von Haushalten kompromittiert, was Häuser und Hausrat von niedrigem und hohem Wert umfasst.

Wie können Sie sich gegen kompromittierte Software und Sideloading verteidigen?

Auch wenn diese Angriffsformen keineswegs weniger gefährlich sind, ist eine Verteidigung gegen kompromittierte Drittanbieter-Software und Sideloading einfacher, da es sich bei ihnen um weniger komplexe Methoden handelt. Die Einschränkung von administrativen Rechten und die Führung einer Liste für zugelassene Software sind Ihre besten Optionen im Geschäftsumfeld. Und auch hier heißt das Losungswort Aufklärung. Stellen Sie sicher, dass Ihre Teammitglieder die Firmenrichtlinien bezüglich der Verwendung von nicht autorisierter Software nachvollziehen können.

Da zu jeder Zeit neue Geschäftsbedürfnisse auftreten können, sollten Sie dafür sorgen, dass Ihre Mitarbeiter den Prozess für die Anfrage zur Genehmigung eines neuen Tools kennen und verstehen. Diese Schritte gewährleisten, dass nur aus vertrauenswürdigen Quellen stammende und von speziell für diesen Vorgang zuständigen Mitarbeitern geprüfte Anwendungen auf Ihren Geräten installiert werden können. Wie immer sollten Sie grundlegende Cyberhygieneregeln befolgen und erweiterte Lösungen zur Endpunkt- und Netzwerküberwachung für alle Geräte eingerichtet haben.

Als Privatnutzer tragen Sie mehr Verantwortung. Zuerst sollten Sie die Installation auf diejenigen Anwendungen beschränken, die Sie wirklich benötigen, und jegliche nicht genutzte Software von Ihren Geräten entfernen. Wenn Sie eine neue App installieren, prüfen Sie deren Verfügbarkeit in dem App Store Ihrer Plattform (z. B. Apple App Store, Google Play Store, Microsoft Store, Steam etc.). Diese Stores bieten normalerweise überprüfte Apps an. Wenn Sie das von Ihnen gewünschte Tool dort nicht antreffen, gehen Sie direkt zur Webseite des Entwicklers und laden Sie es von dort aus herunter. Verwenden Sie wann immer möglich Software von vertrauenswürdigen und namhaften Entwicklern. Und zu guter Letzt: Sorgen Sie immer für ausreichend Schutz gegen Schadprogramme auf Ihren Geräten und im geschäftlichen Umfeld.

Verteidigung gegen Supply-Chain-Angriffe

Supply-Chain-Angriffe sind eine immense Gefahr. So waren beispielsweise von dem SolarWinds-Angriff 18.000 Unternehmen betroffen und 50 wurden dauerhaft zur Zielscheibe. Die Auswirkungen der log4j-Schwachstelle, die im Dezember 2021 aufgedeckt wurde, werden noch jahrelang zu spüren sein. Es gibt zwei Zweige für die Blockierung von Supply-Chain-Angriffen, die beide gleich wichtig sind. Der erste betrifft die Lieferkette (Supply Chain) selbst und umfasst die Schritte, die Entwickler unternehmen, um ihren eigenen und den in ihren Produkten aus anderen Lösungen integrierten Code zu sichern. Der andere Zweig besteht in einer Auflistung von Aktionspunkten, die Endnutzer ausführen können, um sich selbst vor potenziellen Supply-Chain-Angriffen zu schützen.

Die Supply-Chain-Seite des Puzzlespiels ist äußerst komplex und umfasst oftmals mehrere Teams, die für verschiedene Unternehmen tätig sind. Große Softwareentwicklungsfirmen können mit ihren Lieferanten zusammenarbeiten, um die Sicherheitspraktiken entlang der Lieferkette zu verbessern. Größere Organisationen verfügen meist schlichtweg über mehr Ressourcen, um Bedrohungen und Minderungsstrategien zu recherchieren, und über mehr Know-how zu diesen Problematiken als kleinere Zulieferer. Das Teilen von Wissen und gute Zusammenarbeit werden in den bevorstehenden Jahren einen wesentlichen Beitrag zur Bekämpfung und Eindämmung von Supply-Chain-Angriffen leisten.

Wie Microsoft anmerkt, sollten Sie zusätzlich Schritte zur Absicherung Ihrer Infrastruktur unternehmen. Alle für Ihr Betriebssystem und Ihre Softwaretools verfügbaren Sicherheitspatches sollten installiert werden. Multi-Faktor-Authentifizierung sollte der Standard für alle Firmenkonten sein. Außerdem betont Microsoft die Wichtigkeit, sichere Softwareupdater zu erstellen und jedes einzelne Element einer Softwarelösung zu signieren.

Da Angreifer sich oftmals Taktiken wie Phishing und Spear-Phishing bedienen, um Lieferanten zu infiltrieren, sollten Sie sicherstellen, dass Sie empfohlene Schutzmaßnahmen  gegen diese Bedrohungen getroffen haben, einschließlich der Aufklärung Ihrer Teammitglieder.

Wie bereits erwähnt sind eine Auflistung der zugelassenen Software und die Verwaltung privilegierter (Admin-)Rechte auf Seiten des Endnutzers unerlässlich, ebenso wie alle anderen grundlegenden Cybersicherheitsmaßnahmen, wie die Implementierung von Malwareschutzprogrammen auf allen Firmengeräten. Zusätzlich können Penetrationstests die Aufmerksamkeit auf Gefahren lenken, die in den von Ihrer Organisation verwendeten Tools gefunden wurden. Zu guter Letzt kann ein Wechsel zu einem Zero-Trust-Modell die Sicherheit maßgeblich verbessern. In diesen Konfigurationen werden die Privilegien von Nutzern, Geräten und Apps durchgängig Mehrfachprüfungen unterzogen und Zugriffsberechtigungen können abhängig von Umständen und Kontext angepasst werden.

Aber dies sind lediglich die Grundlagen. Es handelt sich hierbei um ein komplexes Thema, aber glücklicherweise gibt es diverse Ressourcen von vertrauenswürdigen Quellen, die bis zum Rand mit ergänzenden Informationen angefüllt sind. So hat z. B. ENISA, die Agentur der Europäischen Union für Cybersicherheit, einen Bericht über kürzliche Angriffe veröffentlicht, inklusive einer Taxonomie der unterschiedlichen Supply-Chain-Angriffsformen. In Deutschland veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik (BSI) jährlich einen Lagebericht über die Bedrohungen im Cyberraum. Hierfinden Sie Empfehlungen, wie auch Ihr Unternehmen sich vor Supply-Chain-Angriffen schützen kann.

Kann Tresorit bei der Eindämmung von Supply-Chain-Angriffen helfen?

Tresorit kann Ihnen helfen, die Auswirkungen zu lindern, wenn eines Ihrer Systeme gehackt wurde. So können z. B. Ende-zu-Ende-Verschlüsselung und eine robuste Zugriffsrechteverwaltung sicherstellen, dass die Angreifer nur begrenzt Zugriff auf Daten haben. Zugriffsrechte können jederzeit entzogen werden, was zu einer neuen Verschlüsselung des betroffenen Ordners führt, um die Sicherheit der Dateien zu gewährleisten. Außerdem können die in Tresorit integrierten Optionen für Dateiversionen und Back-ups Ihnen bei der Wiederherstellung von Daten helfen, wenn jemand sich mittels eines Supply-Chain-Angriffes Zugriff auf Ihre Systeme verschafft und Ihre Dateien gelöscht hat oder Ihre Geräte mit Ransomware infiziert. Werfen Sie einen Blick auf unseren Sicheren Cloudspeicher, um zu erfahren, wie dieser Sie bei der Sicherung Ihres Unternehmens unterstützen kann.

Um sowohl Unternehmen als auch Einzelpersonen beim Schutz ihrer und der ihnen anvertrauten Daten unter die Arme zu greifen, haben wir im Zuge des Datenschutztags eine Reihe von Blogbeiträgen veröffentlicht, in denen wir die wichtigsten Cybersicherheits- und (im weiteren Sinne) Datensicherheitsbedrohungen im Jahr 2022 diskutieren möchten. Lesen Sie unsere bereits erschienenen Artikel und schauen Sie in den kommenden Wochen wieder vorbei, um mehr zu folgenden Themen zu erfahren:

Wir werden die Technologien hinter den jeweiligen Bedrohungen und die Unternehmen und Privatpersonen zur Verfügung stehenden Schutzmaßnahmen gegen diese Gefahren untersuchen sowie erkunden, wie Ende-zu-Ende-Verschlüsselung helfen kann. Schauen Sie demnächst wieder vorbei!

Vorgeschlagene Artikel