Ein Lieferkettenangriff ist eine Art von Cyberangriff, der weniger sichere Elemente in der Lieferkette eines Unternehmens angreift, statt das Unternehmen direkt anzugreifen.
Inhalt
Lieferkettenangriff
In den letzten Jahren haben Angriffe auf die Lieferkette weltweit Schäden verursacht. Ein Lieferkettenangriff ist eine Art von Cyberangriff, der auf die vertrauenswürdigen Beziehungen zwischen Unternehmen abzielt und einen kompromittierten Partner als Sprungbrett nutzt, um andere zu infiltrieren. Das Ziel besteht darin, in das Netzwerk oder die Systeme eines Unternehmens einzudringen, indem ein Drittanbieter, Lieferant oder Partner kompromittiert wird, der Zugriff auf dessen Daten, Software oder Netzwerkinfrastruktur hat.
Das Kennzeichen eines Lieferkettenangriffs ist, dass Angreifer indirekt in Systeme eindringen können, indem sie zunächst weniger sichere Teile der Lieferkette eines Unternehmens kompromittieren, beispielsweise Drittanbieter. Da diese Dritten in den täglichen Betrieb eingebunden sind, können Angreifer leichter unbemerkt bleiben, bis bereits erheblicher Schaden entstanden ist.
Wichtige Merkmale von Lieferkettenangriffen
Indirekter Ansatz
Statt die Zielorganisation direkt anzugreifen, kompromittieren Angreifer einen vertrauenswürdigen Dritten, etwa einen Anbieter von Software, Hardware oder Dienstleistungen. Dieser Dritte wird dann zu einem Kanal, der die bösartige Nutzlast an das endgültige Ziel liefert.
Komplexität und Skalierung
Lieferkettenangriffe können komplex sein, mehrere Phasen umfassen und eine große Anzahl von Unternehmen und Organisationen betreffen. Die Angreifer können in verschiedenen Phasen der Lieferkette bösartigen Code oder Hardware einschleusen, was die Erkennung erschwert.
Ausnutzung von Vertrauen
Diese Angriffe nutzen die Vertrauensbeziehungen zwischen einem Unternehmen und seinen Lieferanten aus. Da Drittanbieter häufig privilegierten Zugriff auf die Systeme oder sensiblen Daten eines Unternehmens haben, werden sie zu einem attraktiven Ziel für Angreifer.
Weitreichende Auswirkungen
Die Auswirkungen eines Lieferkettenangriffs können erheblich sein und nicht nur das primäre Ziel betreffen, sondern potenziell Tausende anderer Unternehmen, die auf den kompromittierten Dritten angewiesen sind.
Arten von Lieferkettenangriffen
Lieferkettenangriffe können je nach Herkunftsort in drei Arten eingeteilt werden:
Angriffe auf Software-Lieferketten
Ein Angriff auf die Software-Lieferkette beinhaltet die Kompromittierung der Prozesse, die zur Entwicklung oder Bereitstellung von Software verwendet werden, um bösartigen Code in die Software selbst oder ihre Update-Programme einzuschleusen. Dadurch können Angreifer über scheinbar legitime Software in Zielorganisationen eindringen.
Zu den gängigen Angriffsvektoren gehören Open-Source-Code, Tools zur Systemadministration und häufig verwendete Anwendungen. Statt direkt in ein Unternehmen einzudringen, beginnen Angreifer in der Regel damit, in die Systeme eines vertrauenswürdigen Drittanbieters von Software einzudringen, der die Software entwickelt oder deren Downloads hostet. Von dort aus nutzen sie Update-Server oder Verteilungskanäle, um kompromittierte Versionen für ahnungslose Benutzer bereitzustellen.
Wird die kompromittierte Software häufig verwendet, kann der Angreifer potenziell einen groß angelegten Angriff mit erheblichen Auswirkungen auslösen, von dem zahlreiche Organisationen gleichzeitig betroffen sind.
Angriffe auf Service-Lieferketten
Ein Angriff auf die Service-Lieferkette zielt auf Dienstleister wie Managed Service Providers (MSPs) ab und nutzt deren vertrauenswürdigen Zugang, um Malware in mehreren Kundenumgebungen zu verbreiten.
Ein bekanntes Beispiel ist der Ransomware-Angriff 2021, an dem Kaseya VSA beteiligt war, ein Remote-IT-Management-Service. Angreifer kompromittierten MSPs mithilfe von Kaseya VSA und verbreiteten anschließend Ransomware an viele ihrer nachgelagerten Kunden. Da MSPs mit der Verwaltung und dem Betrieb von Kundennetzwerken betraut sind, können Angreifer sie als Verteilungsstellen für Malware wie Ransomware nutzen.
In diesem Fall nutzte der Angriff die Eigenschaften von MSP-Diensten aus und betraf sowohl die MSPs, die Kaseya VSA verwendeten, als auch deren Kunden, die sich auf diese MSPs verließen. Die Auswirkungen waren erheblich, da Berichten zufolge bis zu 1.500 Unternehmen von dem Ransomware-Angriff betroffen waren.
Angriffe auf die Lieferkette von Unternehmen
Angriffe auf die Lieferkette von Unternehmen zielen auf das gesamte Ökosystem aus Partnern, Anbietern, Logistikdienstleistern und Lieferanten ab, die den täglichen Betrieb ermöglichen. Diese Beziehungen werden genutzt, um in das primäre Zielunternehmen einzudringen.
Diese Methode ist so weit verbreitet, dass sie jetzt als Standardtaktik für den Zugang zu Unternehmen betrachtet werden kann.
Trend Micro hat Cyberangriffsgruppen wie Earth Hundun (auch bekannt als BlackTech) und Earth Tengshe (verbunden mit APT10) beobachtet. Sie kompromittieren zuerst ausländische Niederlassungen von Unternehmen und nutzen dann diesen Zugang, um deren primäre inländische Betriebe zu infiltrieren, ihre tatsächlichen Ziele.
Kategorien von Lieferkettenangriffen
- Kompromittierte Software-Updates: Einschleusen von bösartigem Code in Software-Updates, die an eine große Anzahl von Benutzern verteilt werden
- Kompromittierte Softwarebibliotheken von Drittanbietern: Einfügen von bösartigem Code in Bibliotheken oder Abhängigkeiten von Drittanbietern, die in legitime Softwareprodukte integriert sind.
- Kompromittierte Hardware oder Firmware: Einfügen bösartiger Hardwarekomponenten oder Firmware in Produkte während des Herstellungs- oder Vertriebsprozesses
- Hijacking der Tools für Entwickler: Kompromittierung der Tools, die von Entwicklern verwendet werden, darunter Integrated Development Environments (IDEs) oder CI/CD-Pipelines (Continuous Integration / Continuous Deployment)
- Kompromittierte Softwareabhängigkeiten: Einschleusen von bösartigem Code in weit verbreitete legitime Softwareabhängigkeiten
- Datenexfiltration über ausgenutzte Protokolle: Ausnutzung von Schwachstellen in Protokollen wie SMB, TLS, SSH oder direkte Angriffe auf Datenbanken durch Methoden wie SQL-Injection, um Daten zu exfiltrieren
- Angriffe auf Open-Source-Projekte: Angriffe auf weit verbreitete Open-Source-Projekte, Einfügen von bösartigem Code, der viele nachgelagerte Projekte beeinträchtigen kann
Beispiele für Lieferkettenangriffe
Node Package Manager (2025)
Am 15. September 2025 erlebte das Lager von Node Package Manager (NPM) einen andauernden Lieferkettenangriff, bei dem die Angreifer eine gezielte Phishing-Kampagne durchführten, um das Konto eines NPM-Paketbetreuers zu kompromittieren. Mit privilegiertem Zugriff injizierten die Angreifer bösartigen Code in weit verbreitete JavaScript-Pakete und gefährdeten damit das gesamte Software-Ökosystem.
Ressource: NPM Supply Chain Attack
RockYou2024 (2024)
Beim Passwort-Leak „RockYou2024“ wurden fast 10 Milliarden zuvor kompromittierte Anmeldedaten zusammengestellt und in einem Hacking-Forum veröffentlicht. Dies verdeutlicht das erhebliche Risiko für die Lieferkette, das durch die Aggregation, Wiederverwendung und öffentliche Bekanntgabe von kompromittierten Anmeldedaten über mehrere Plattformen und Dienste hinweg entsteht.
Ressource:Nearly 10 Billion Passwords Leaked in Biggest Compilation of All Time
Large Language Models (LLMs) und öffentliche Chatbots (2024)
Öffentliche Chatbots, die auf LLMs basieren, können versehentlich sensible interne Daten preisgeben, die während der Interaktion ausgetauscht werden. Dabei wird das Vertrauen ausgenutzt, das Unternehmen in diese KI-Dienste setzen. Das unterstreicht die Risiken, die mit der Nutzung externer KI-Plattformen verbunden sind, die durch ihre Lern- und Interaktionsprozesse unbeabsichtigt vertrauliche Daten preisgeben können.
Ressource:OpenAI’s Custom Chatbots Are Leaking Their Secrets
US National Public Data (2024)
Die Sicherheitslücke wurde durch Schwachstellen im Schwesterunternehmen RecordsCheck ermöglicht. Die Angreifer konnten vertrauensvolle Beziehungen zwischen verwandten Diensten ausnutzen, um auf sensible Daten zuzugreifen.
Ressource:National Public Data Breach: Only 134 Million Unique Emails Leaked and Company Acknowledges Incident
PHP Git Server Compromise (2021)
Angreifer kompromittierten den Git-Server von PHP und versuchten, eine Backdoor in den Quellcode der gängigen Webscripting-Sprache einzufügen.
Ressource:ZDNet on PHP Git Server Hack
SolarWinds-Angriff (2020)
Angreifer drangen in den Software-Update-Mechanismus von SolarWinds Orion ein. Über 18.000 Kunden erhielten bösartige Updates, darunter Regierungsbehörden und große Unternehmen.
Ressource:CISA Alert on SolarWinds
Wie sich Cyberangriffe im Jahr 2025 weiterentwickeln
Cyberangriffe nehmen an Umfang, Komplexität und Wirkung zu. Von Ransomware und Phishing bis hin zu Angriffen auf Lieferketten und KI-gesteuerten Exploits – Angreifer passen sich ständig an, um Sicherheitsmaßnahmen zu umgehen und Schwachstellen auszunutzen. Ein Verständnis dieser Entwicklungen ist entscheidend für den Aufbau robuster digitaler Strategien.
Cyber Risk Report 2025
Der aktuelle Bericht von Trend Micro bietet eine umfassende Analyse der sich wandelnden Bedrohungslandschaft, beleuchtet neue Angriffsvektoren, Risikomuster und strategische Empfehlungen für Unternehmen. Eine unverzichtbare Lektüre für alle, die Cyberangriffe besser verstehen und ihnen vorbeugen möchten.
Trend Vision One™ Plattform
Stoppen Sie Angreifer schneller und reduzieren Sie Cyberrisiken mit einer einzigen Plattform. Verwalten Sie Sicherheit ganzheitlich mit Funktionen für Prävention, Erkennung und Reaktion, die auf künstlicher Intelligenz, wegweisenden Forschungsmethoden und tiefgehenden Erkenntnissen basieren.
Trend Vision One unterstützt verschiedene hybride IT-Umgebungen, automatisiert und koordiniert Workflows und bietet fachkundige Services für Cybersicherheit. Damit können Sie Ihre Sicherheitsprozesse vereinfachen und zusammenführen.
Jon Clay arbeitet seit über 29 Jahren im Bereich Cybersicherheit. Er nutzt seine Branchenerfahrung, um Wissen zu vermitteln und Einblicke in alle extern veröffentlichten Bedrohungsanalysen und -informationen von Trend Micro zu geben.
Häufig gestellte Fragen (FAQs)
Was ist ein Supply‑Chain‑Angriff?
Ein Supply‑Chain‑Angriff richtet sich gegen vertrauenswürdige Drittanbieter oder Softwarelieferanten, um Organisationen indirekt über Schwachstellen vernetzter Systeme zu kompromittieren.
Was ist das Hauptziel eines Supply‑Chain‑Angriffs?
Das Hauptziel ist unbefugter Zugriff durch Infiltration vertrauenswürdiger Lieferanten, wodurch Angreifer Schadcode verbreiten oder Schwachstellen in mehreren Unternehmen ausnutzen.
Was sind die Phasen eines Supply‑Chain‑Angriffs?
Phasen umfassen Lieferantenkompromittierung, Schadcode‑Einbettung, manipulierte Updates, Zielinfiltration und Aufrechterhaltung von Persistenz innerhalb betroffener Unternehmensumgebungen.
Welche verschiedenen Angriffsarten gibt es?
Arten umfassen Softwaremanipulation, Hardwaremanipulation, Diebstahl von Lieferantenanmeldedaten, Missbrauch externer Dienste und Manipulation vertrauenswürdiger Update‑Mechanismen.
Was ist ein reales Beispiel für einen Supply‑Chain‑Angriff?
Ein bekanntes Beispiel ist der SolarWinds‑Angriff, bei dem manipulierte Softwareupdates zahlreiche Regierungsbehörden und große Unternehmen weltweit kompromittierten.
Wie verhindert man einen Supply‑Chain‑Angriff?
Verhindern Sie Supply‑Chain‑Angriffe durch Lieferantenprüfung, Zero‑Trust‑Kontrollen, Integritätsüberwachung, Patch‑Management, Quellvalidierung und kontinuierliche Audits aller Softwareabhängigkeiten.