Compliance-Lexikon · CRA
Supply Chain Attack
[səˈplaɪ tʃeɪn əˈtæk] auch: Lieferkettenangriff, Software-Supply-Chain-Angriff
Ein Supply Chain Attack ist ein Cyberangriff, der nicht direkt das Zielunternehmen, sondern einen vertrauenswuerdigen Dritten in dessen Lieferkette - Softwareanbieter, Open-Source-Bibliothek oder IT-Dienstleister - kompromittiert, um darueber Zugang zu allen nachgelagerten Organisationen zu erlangen.
Warum Supply Chain Attacks zu den gefaehrlichsten Bedrohungen zaehlen
SolarWinds (2020) und der Log4Shell-Vorfall (2021) zeigten die verheerende Reichweite von Supply-Chain-Angriffen: Ein einzelner kompromittierter Softwareanbieter oder eine einzelne verwundbare Open-Source-Bibliothek kann tausende nachgelagerte Organisationen gleichzeitig gefaehrden. Diese Angriffe sind besonders schwer zu erkennen, weil sie das implizite Vertrauen in legitime, signierte Software ausnutzen.
Wo Supply-Chain-Angriffsrisiken adressiert werden
| Framework | Referenz | Anforderung |
|---|---|---|
| CRA | Erwaegungsgrund 1-5 | Begruendung der CRA-Regulierung mit expliziter Bezugnahme auf Supply-Chain-Angriffe wie SolarWinds. |
| NIS-2 / BSIG | § 30 Abs. 2g | Lieferkettensicherheit als explizite Mindestmassnahme zur Abwehr von Supply-Chain-Angriffen. |
| MITRE ATT&CK | T1195 | Supply Chain Compromise als dokumentierte Angriffstechnik mit Unterkategorien. |
| NIST SP 800-161 | vollstaendig | Cybersecurity Supply Chain Risk Management als umfassender Abwehrrahmen. |
| ENISA | Threat Landscape Supply Chain | Jaehrlicher ENISA-Bericht zur Bedrohungslage bei Lieferkettenangriffen. |
BAM-Objektreferenz
Haeufige Fehler
- Vertrauen in Software-Updates ohne zusaetzliche Integritaetspruefung
- Keine Ueberwachung auf ungewoehnliches Verhalten nach Softwareupdates
- Open-Source-Abhaengigkeiten nicht systematisch auf Kompromittierung geprueft
- Keine Segmentierung, die die Ausbreitung nach einer kompromittierten Komponente begrenzt
Typische Angriffsmuster
Supply-Chain-Angriffe nutzen mehrere Vektoren: Kompromittierung des Build-Prozesses eines Softwareanbieters (SolarWinds), Einschleusen bösartigen Codes in populaere Open-Source-Pakete (npm, PyPI), Ausnutzung von Schwachstellen in weit verbreiteten Bibliotheken (Log4Shell) oder Kompromittierung eines IT-Dienstleisters mit privilegiertem Zugang zu Kundensystemen (Kaseya). Verteidigung erfordert eine Kombination aus SBOM-basierter Transparenz, Code-Signierung, Build-Pipeline-Sicherheit und Netzwerksegmentierung.
Naechster Schritt
Compliance-Stresstest starten
Kostenloser Stresstest zur Lieferkettensicherheit.