Gute Billard- oder Eishockeyspieler spielen die Kugel oder den Puck gerne über die Bande. Clevere Hacker agieren in der Zwischenzeit genauso. Auch sie suchen oftmals nicht den direkten Weg zum Ziel, sondern attackieren ihre Opfer von einer Seite aus, von der diese keinen Angriff her erwarten.
So sind in den letzten Jahren die Zulieferer immer stärker zu einem Einfallstor für Schadsoftware geworden. Der Vorteil dieser Vorgehensweise für die Kriminellen liegt auf der Hand. Man infiltriert wichtige Zulieferer oder IT-Dienstleister und wartet anschließend darauf, bis sich die eigene Schadsoftware über deren Updates auch bei den ursprünglichen Zielen auf den Rechnern installiert hat.
So geschehen beispielsweise im Juli dieses Jahres beim Angriff auf Kaseya. Hier wurden zunächst Schadcodes in die IT eines wichtigen Softwareanbieters geschleust, dann erst waren die eigentlichen Ziele an der Reihe. So waren auf einen Schlag mehr als 1.000 Unternehmen von dem Angriff betroffen und US-Justizminister Merrick Garland erklärte kürzlich, dass die Hacker weltweit bereits mehr als 200 Millionen US-Dollar an Lösegeld kassiert haben.
Das Bewusstsein für die Gefahr wächst
Positiv zu werten ist, dass man sich in den Führungsetagen der Unternehmen dieser Gefahr durchaus bewusst ist. Negativ ist allerdings, dass Schutzmaßnahmen nur sehr schleppend angestoßen werden. Mangelnder Wille ist dabei nicht die Ursache, eher die vermeintlich näherliegende Absicht, sich zunächst primär um die Sicherheit der eigenen IT zu kümmern.
Wie es um das Schutzniveau in der IT der eigenen Zulieferer bestellt ist, ist für viele Verantwortliche daher eine Frage, die auch deshalb nicht beantwortet werden kann, weil sie in der Vergangenheit viel zu selten gestellt wurde. Dass Lieferverträge auch Meldepflichten für IT-Vorfälle beinhalten, ist momentan eher selten anzutreffen.
Im Bereich der kritischen Infrastrukturen, also bei Finanzinstituten, Strom- und Kommunikationsnetzen, Gesundheitsunternehmen und Logistikern gilt bereits die KRITIS-Verordnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Sie gibt den Unternehmen detailliert vor, wie und von welchen Lieferanten detaillierte Nachweise über das Schutzniveau der dortigen Produkte und IT-Systeme eingeholt werden müssen.
Würde dieses Konzept auf alle Bereiche der Wirtschaft und alle Unternehmen ausgedehnt, wäre das Schutzniveau in Deutschland sofort deutlich höher.