Supply-Chain-Angriffe: Was sie sind und wie du dich schützen kannst

Stell dir vor, du führst ein Software-Update durch, dem du voll und ganz vertraust – schließlich kommt es von einem seriösen Hersteller. Doch statt Sicherheitspatches bringt dir dieses Update eine digitale Hintertür ins Haus, die Cyberkriminellen den Weg in deine Systeme ebnet. Was wie ein Szenario aus einem Hollywood-Thriller klingt, ist längst bittere Realität:
So geschehen beim berüchtigten SolarWinds-Angriff, der 2020 tausende Organisationen und sogar Regierungsbehörden kompromittierte, oder zuletzt bei 3CX, dessen manipulierte App im Jahr 2023 Hunderttausende Nutzer gefährdete.

Diese sogenannten Supply-Chain-Angriffe – auch Lieferkettenangriffe genannt – greifen nicht direkt die großen Konzerne oder Behörden an, sondern zielen auf kleine, oft weniger geschützte Glieder in der Lieferkette. Ein einziger kompromittierter Dienstleister oder ein infiziertes Softwaremodul kann so eine Kettenreaktion auslösen und im schlimmsten Fall ganze Branchen lahmlegen. Spektakuläre Beispiele wie Stuxnet (der die iranischen Nuklearanlagen traf) oder der Hackerangriff auf den US-Einzelhandelsriesen Target zeigen eindrucksvoll, dass niemand immun ist: Selbst hochgesicherte Netze fallen, wenn ein Zulieferer oder eine externe Komponente manipuliert wird.

Doch wie genau funktionieren diese Attacken, die sich hinter scheinbar harmlosen Updates verbergen? Weshalb sind sie so schwer zu entdecken – und noch schwerer zu bekämpfen? Und vor allem: Welche Schritte kannst du als Unternehmen oder versierter Privatanwender unternehmen, um dich vor diesem hochgefährlichen Angriffsvektor zu schützen? In diesem Artikel geben wir dir einen Überblick über die Mechanismen, die bekanntesten Angriffsbeispiele und die wirksamsten Schutzmaßnahmen. Darüber hinaus zeigen wir, wie das Supply-Chain Risk Management von Protectstar im Detail aussieht und wie unsere strengen Prozesse verhindern, dass Schadsoftware schon bei der Entwicklung unerkannt eingeschleust wird.

1. Was ist ein Supply-Chain-Angriff?

Ein Supply-Chain-Angriff (auf Deutsch: Lieferkettenangriff) beschreibt eine Angriffsform, bei der Kriminelle nicht das eigentliche Ziel direkt attackieren, sondern einen Umweg über Drittanbieter, Zulieferer oder externe Software-Komponenten nehmen. Diese indirekte Vorgehensweise hat einen simplen Grund: Große Organisationen und Konzerne verfügen mittlerweile über hochentwickelte Sicherheitsvorkehrungen, sodass ein „Frontalangriff“ sehr ressourcenintensiv und riskant ist. Kleiner aufgestellte Zulieferer oder externe Dienstleister weisen hingegen häufig weniger komplexe Sicherheitsmechanismen auf – und dienen somit als vergleichsweise einfaches Einfallstor.

Wie funktioniert das?
Ein klassisches Szenario sieht so aus: Hacker kompromittieren die Software eines vertrauenswürdigen Anbieters, indem sie Schadcode in ein eigentlich legitimes Update integrieren. Die Kunden installieren das Update in gutem Glauben, es handle sich um eine harmlose Aktualisierung. Sobald dieses Update aufgespielt ist, haben die Angreifer unbemerkt Zugang zu den Systemen der Opfer. Auf diese Weise lassen sich potenziell zehntausende Geräte oder Netzwerke gleichzeitig infizieren. Ein besonders prominentes Beispiel ist der SolarWinds-Hack von 2020.

Warum gerade dieser Ansatz?
Weg des geringsten Widerstands: Wer versucht, direkt in die hochgesicherten Netzwerke großer Konzerne oder Behörden einzubrechen, steht oft vor mehrstufigen Firewalls, Intrusion-Prevention-Systemen und Security-Teams. Wesentlich einfacher ist es, einen kleineren Lieferanten oder IT-Dienstleister zu kompromittieren, der zwar regelmäßigen Zugriff auf die Zielsysteme hat, aber selbst über weniger strenge Sicherheitsmaßnahmen verfügt. Statistiken bestätigen diesen Trend: 92% der erfolgreichen Cyberangriffe erfolgen laut einer Verizon-Studie bei kleineren Unternehmen, die dann als Sprungbrett zum eigentlichen Ziel missbraucht werden.

2. Bekannte Beispiele für Supply-Chain-Angriffe

Im Folgenden stellen wir einige besonders markante Fälle von Lieferkettenangriffen vor. Dabei wird deutlich, dass sämtliche Branchen und Technologien betroffen sein können – vom einfachen Unternehmensnetzwerk über hochspezialisierte Industriesteuerungen bis hin zu Cloud-Diensten und beliebten Consumer-Anwendungen.

SolarWinds (2020)

Der SolarWinds-Hack gilt als einer der schwerwiegendsten Lieferkettenangriffe der letzten Jahre:

• Hintergrund: SolarWinds ist ein US-amerikanischer IT-Dienstleister, der unter anderem die beliebte Netzwerkmanagement-Software Orion anbietet. Weltweit verließen sich Behörden, große Konzerne und Managed Service Provider (MSPs) auf SolarWinds-Produkte, um ihre IT-Infrastrukturen zu überwachen.
• Attackenablauf: Die Angreifer – vermutlich eine russische Hackergruppe, die von vielen Sicherheitsexperten „Cozy Bear“ (APT29) genannt wird – drangen in die Build-Umgebung von SolarWinds ein. Dort injizierten sie den Schadcode „SUNBURST“ direkt in Orion-Updates. Weil diese Updates offiziell signiert waren, erkannten die Kunden keinen Unterschied zu normalen Versionsaktualisierungen.
• Zeitraum: Die Kompromittierung fand wohl bereits im Frühling 2020 statt. Die verseuchten Updates wurden ab März 2020 verteilt, die Entdeckung erfolgte erst im Dezember 2020, als das Cybersicherheitsunternehmen FireEye Verdacht schöpfte.
• Ausnutzung: Die Hintertür „SUNBURST“ ermöglichte es den Hackern, Daten abzugreifen und weitere Schadsoftware nachzuladen. Weil die Malware offiziell signiert war, blieb sie monatelang unentdeckt.
• Ausmaß: Rund 18.000 Kunden – darunter mehrere US-Bundesbehörden (z.B. das Finanz- und Handelsministerium) und internationale Konzerne – waren potenziell betroffen. Tatsächlich nutzten die Angreifer aber wohl nur einen Bruchteil dieser Zugänge aktiv aus, was das ganze Ausmaß nur schwer nachvollziehbar macht.

Folgen:

• Politische Konsequenzen: Die US-Regierung reagierte mit neuen Richtlinien für die Softwareentwicklung und verstärkter Zusammenarbeit mit privaten Sicherheitsunternehmen.
• Vertrauensverlust: SolarWinds sah sich massiven Image-Schäden und juristischen Konsequenzen ausgesetzt. Viele Unternehmen überdachten zudem ihre Update- und Lieferkettenprozesse.

Dieser Vorfall verdeutlichte eindringlich, wie verheerend der Missbrauch einer Update-Infrastruktur sein kann. Ein einziger kompromittierter Anbieter sorgte innerhalb kürzester Zeit für eine globale Sicherheitskrise.

3CX (2023)

Im März 2023 wurde das Unternehmen 3CX, ein Anbieter von VoIP- und UC-Lösungen, Opfer eines großangelegten Supply-Chain-Angriffs:

• Hintergrund: Die 3CX-Software wird in zahlreichen Branchen genutzt, da sie flexibel einsetzbare Kommunikationslösungen bietet. Besonders die Desktop-App für Windows und macOS ist weit verbreitet.
• Kompromittierung der Desktop-App: Den Angreifern gelang es, den Installationsprozess der 3CX-Anwendung zu manipulieren. Beim Setup wurde unbemerkt ein Trojaner mitgeladen, der einen Kanal für den Datenaustausch mit einem externen Command-and-Control-Server (C2) öffnete.
• Mögliche Vorstufe: Analysen mehrerer Sicherheitsteams (u.a. CrowdStrike) deuten auf eine sogenannte „Double Supply-Chain Attack“ hin. Demnach nutzten die Angreifer zuvor bereits kompromittierte Software, um anschließend 3CX infiltrieren zu können.
• Vermutete Täter: Laut Branchenexperten wird die Attacke mit der nordkoreanischen Hackergruppe Lazarus in Verbindung gebracht. Diese Gruppe ist für zahlreiche Spionage- und Finanzangriffe bekannt und nutzt häufig Trojaner, die vertrauliche Daten abgreifen.
• Betroffene Nutzer: Da 3CX international von zahlreichen Unternehmen und öffentlichen Einrichtungen eingesetzt wird, war das Potenzial für Schäden sehr hoch. Schätzungen gehen von Hunderttausenden bis Millionen potenziell gefährdeter Systeme aus.

Auswirkungen:

• Datendiebstahl: Ziel der Angreifer war es vor allem, sensible Informationen, Zugangsdaten und Kommunikationseinträge abzugreifen.
• Reputationsverlust: 3CX musste sehr schnell reagieren, um Vertrauen wiederherzustellen. Patches und Sicherheitswarnungen wurden binnen kurzer Zeit veröffentlicht. Dennoch zeigten sich viele Kunden verunsichert, da sie sich auf eine offiziell verifizierte Installationsroutine verlassen hatten.

Der 3CX-Fall offenbart, wie raffinierte Hackergruppen mittlerweile vorgehen: Sie suchen gezielt nach Lücken in der Software-Supply-Chain und können selbst weit verbreitete Kommunikationsdienste zum Einfallstor machen.

Stuxnet (2010)

Der Stuxnet-Wurm ist zwar ein etwas älteres, dafür jedoch extrem eindrückliches Beispiel für einen hochentwickelten Lieferkettenangriff – und wird oft als erstes Cyber-Waffensystem der Geschichte bezeichnet:

Ziel: Stuxnet richtete sich auf Siemens-Steuerungssysteme (SCADA), die in Irans Nuklearprogramm eingesetzt wurden. Besonders kritisch war die Manipulation von Zentrifugen zur Urananreicherung.

Angriffsmethode:

• Infizierung über USB-Sticks: Da das Netzwerk isoliert war (Air-Gap), wurden die Systeme nicht direkt über das Internet angegriffen. Ein kompromittierter USB-Stick gelangte in das interne Netzwerk, wahrscheinlich über externe Techniker oder unwissende Mitarbeiter.
• Zero-Day-Exploits: Stuxnet nutzte mehrere bis dahin unbekannte Sicherheitslücken (Zero-Days) in Windows-Betriebssystemen. Dadurch konnte er sich unbemerkt weiterverbreiten und gezielt die Siemens-Software „Step7“ manipulieren.

Funktion:

• Sabotage: Stuxnet manipulierte die Steuerung der Gaszentrifugen, indem er die Drehzahlen unbemerkt veränderte. Gleichzeitig sorgte er dafür, dass die Überwachungssoftware normale Werte anzeigte. Auf diese Weise wurden die Zentrifugen beschädigt, ohne dass es sofort auffiel.
• Hintergrund: Sicherheitsforscher gehen davon aus, dass es sich um eine gemeinsame Aktion der USA und Israels gehandelt haben könnte, um das iranische Atomprogramm zu verlangsamen.

Bedeutung:

• Meilenstein in der IT-Sicherheit: Stuxnet war der erste öffentlich gewordene Fall, bei dem eine Cyber-Attacke gezielt physische Anlagen sabotierte.
• Lernfaktor: Die damaligen Ereignisse führten zu einem Boom in der Entwicklung von Schutzmaßnahmen für industrielle Steuerungssysteme (ICS). Man erkannte plötzlich, dass selbst hochspezialisierte, vermeintlich isolierte Anlagen verwundbar sind.

Obwohl Stuxnet nicht über klassische Software-Updates eingeschleust wurde, demonstriert dieser Fall exemplarisch, wie ein Angriff bereits „in der Kette“ stattfinden kann – hier über den physischen Transport von infizierten Datenträgern.
 

Weitere Fälle (Target, NotPetya, CCleaner etc.)

Supply-Chain-Angriffe betreffen nahezu jede Branche. Drei exemplarische Beispiele zeigen die Breite des Problems:

Target (2013): Der US-Einzelhandelsriese Target erlitt einen massiven Datenleck-Skandal, als Kriminelle die Zugangsdaten eines HLK-Zulieferers (Heizung, Lüftung, Klimatisierung) stahlen. Über dessen privilegierte Zugänge gelang es, 40 Millionen Kreditkarten-Datensätze zu entwenden. Das Vertrauen der Kundschaft wurde massiv erschüttert, und Target musste hohe Kosten für Entschädigungen und Sicherheitsupgrades tragen.

NotPetya (2017): Diese Malware tarnte sich als Ransomware, war aber in Wirklichkeit ein destruktiver Wiper, der Daten unwiederbringlich löschte. Der Angriff wurde über ein Update der ukrainischen Buchhaltungssoftware MeDoc verbreitet und führte global zu Schäden in Milliardenhöhe. Unternehmen wie Maersk und Merck waren schwer betroffen und mussten teilweise ganze IT-Infrastrukturen neu aufsetzen.

CCleaner (2017): Das beliebte PC-Tool CCleaner wurde beim Hersteller Piriform (zwischenzeitlich von Avast übernommen) selbst kompromittiert, als Angreifer in die Build-Umgebung eindrangen. Über das offiziell signierte Installationsprogramm gelangte die Malware auf Millionen PCs weltweit. Dabei zielten die Angreifer insbesondere auf große Technologieunternehmen ab, bei denen die zweite Stufe der Malware (selektive Spionage) aktiviert wurde.

Diese Beispiele illustrieren, dass niemand sich in trügerischer Sicherheit wiegen sollte: Ob Einzelhandel, Industrie oder Softwareanbieter, jedes Glied in einer Lieferkette kann zum Ausgangspunkt eines Angriffs werden.
 

3. Warum sind Lieferkettenangriffe so gefährlich?

Supply-Chain-Attacken bergen ein enormes Risikopotenzial und haben oft weitreichende Auswirkungen. Hier sind die wichtigsten Gründe:

• Massenhafter Schaden: Ein einziger Angriff kann tausende Kunden und Millionen Endnutzer treffen – etwa wenn weit verbreitete Software infiziert wird.
• Ausnutzung von Vertrauen: Klassische Sicherheitsmechanismen werden umgangen, da eine scheinbar legitime Komponente (z.B. signierte Updates) die Schadsoftware enthält.
• Schwer zu erkennen: Gerade weil die Infektion über offiziell zertifizierte Kanäle erfolgt, bleiben Hintertüren oft monatelang unentdeckt.
• Lang anhaltende Folgen: Einmal kompromittierte Hardware- oder Firmware-Komponenten sind nur schwer zu bereinigen und überstehen unter Umständen sogar Neuinstallationen.
• Breit gefächerte Angriffsfläche: Durch die wachsende Globalisierung und starke Vernetzung erhöhen sich Anzahl und Komplexität der Lieferketten permanent.
   

4. Wie kannst du dich schützen?

Weder Unternehmen noch Privatnutzer können es sich leisten, die Risiken in ihrer Lieferkette zu ignorieren. Es gibt jedoch eine Reihe etablierter Praktiken, die das Risiko erheblich senken:

1. Sorgfältige Auswahl und Überprüfung von Zulieferern: Sicherheitsaudits, Zertifizierungen und verbindliche Standards sollten Teil der Lieferantenverträge sein.
2. Prinzip der geringsten Berechtigungen: Drittanbieter erhalten nur den unbedingt nötigen Zugriff, und dieser wird engmaschig kontrolliert.
3. Software-Lieferkette absichern: Integrität und Authentizität von Updates überprüfen, nur offizielle Quellen nutzen und Code-Reviews durchführen.
4. Software Bill of Materials (SBOM): Alle eingesetzten Bibliotheken und Komponenten dokumentieren, um Schwachstellen zielgenau schließen zu können.
5. Aktive Überwachung und schnelles Patchen: Verdächtige Aktivitäten früh erkennen (Monitoring) und Sicherheitsupdates konsequent einspielen – einschließlich Firmware-Updates.
6. Notfallplan und Reaktionsfähigkeit: Ein Incident-Response-Plan minimiert den Schaden, falls ein Angriff dennoch Erfolg hat. Cyber-Versicherungen können finanzielle Risiken abfedern.

5. Protectstars Ansatz: Supply-Chain Risk Management (SCRM)

Bei Protectstar ist man sich der wachsenden Bedrohung durch Lieferkettenangriffe bewusst. Deshalb haben wir ein eigenes Supply-Chain Risk Management (SCRM) implementiert, das alle Entwicklungsschritte und Produktintegrationen umfasst. Mehr dazu in unserem Blogartikel unter https://www.protectstar.com/de/blog/supply-chain-risk-management-scrm-why-its-indispensable-for-your-security

Dieses Konzept beruht auf mehreren zentralen Säulen:

• Lückenlose Prüfung jeder Komponente: Keine externe Bibliothek oder Modul wird in unsere Lösungen integriert, ohne vorher gründliche Sicherheitsprüfungen (Code-Reviews, Audits, Penetrationstests) zu durchlaufen. Eine SBOM stellt sicher, dass wir bei neu auftretenden Schwachstellen sofort reagieren können.
• Einhaltung anerkannter Sicherheitsstandards: Wir richten uns konsequent nach den NIST-Richtlinien (z.B. SP 800-161 für Lieferketten-Risikomanagement) sowie ISO/IEC 27036 für sichere Lieferantenbeziehungen. Die Empfehlungen der OWASP für sichere Softwareentwicklung setzen wir strikt um.
• Regelmäßige Audits und Zertifizierungen: Mehrere unserer Apps haben die DEKRA MASA L1 Zertifizierung erhalten, und Institute wie AV-TEST haben unsere Sicherheits-Apps wiederholt prämiert. Jede Code-Änderung wird transparent dokumentiert und bewertet.
• Kontinuierliche Verbesserung: Wir setzen selbstlernende KI-Modelle (Antivirus AI, Firewall AI) ein, um Zero-Day-Angriffe schon im Ansatz zu erkennen. Mit einer Treffergenauigkeit von über 99,8 % und praktisch keinen Fehlalarmen erzielen wir einen mehrschichtigen Schutz, ergänzt durch Lösungen wie Anti Spy und die Datenlösch-App iShredder.

Durch dieses Zusammenspiel schaffen wir eine durchgängige Sicherheitskette – von der ersten Codezeile bis zum Download durch unsere Kunden. Jede mögliche Schwachstelle wird schon im Vorfeld detektiert und beseitigt, bevor sie Nutzerinnen und Nutzer überhaupt erreichen könnte.

6. Fazit

Supply-Chain-Angriffe sind in den letzten Jahren zu einer enormen Bedrohung herangewachsen. Von manipulierten Software-Updates über kompromittierte Hardware-Bauteile bis hin zu USB-Sticks, die Schadsoftware in vermeintlich sichere Umgebungen einschleusen: Die Angreifer nutzen gezielt das hohe Vertrauen aus, das in Lieferbeziehungen herrscht. Die Schäden sind oft verheerend und betreffen nicht nur einzelne Unternehmen, sondern ganze Branchen und staatliche Institutionen.

Gleichzeitig ist niemand diesen Attacken hilflos ausgeliefert. Ein bewusstes Supply-Chain Risk Management kann das Risiko signifikant verringern. Entscheidende Punkte sind dabei eine gründliche Auswahl und Überprüfung von Zulieferern, ein durchdachtes Berechtigungskonzept sowie das schnelle Erkennen und Patchen von Schwachstellen. Darüber hinaus sollten Unternehmen klare Notfallpläne in der Schublade haben, um im Ernstfall umgehend reagieren zu können.

Protectstar macht vor, wie eine durchgängige Sicherheitsstrategie aussehen kann: Durch strenge Prüfprozesse, kontinuierliche Audits, Einhaltung internationaler Standards und den Einsatz fortschrittlicher KI-Technologie sorgt das Unternehmen dafür, dass Angreifer erst gar keinen Fuß in die Tür bekommen. Eine solche Herangehensweise ist in einer Zeit, in der digitale Angriffe zunehmend komplex und schwer zu durchschauen sind, unerlässlich.

Wer diese Grundsätze beachtet, baut sich einen soliden Verteidigungsring auf – und schützt seine Systeme, Daten und Geschäftsprozesse vor einem der gefährlichsten Angriffsvektoren unserer Zeit. So bleiben auch vertrauenswürdige Updates tatsächlich vertrauenswürdig, und selbst wenn irgendwo in der Lieferkette ein schwaches Glied auftaucht, kann man Schaden frühzeitig begrenzen oder ganz abwenden. Letztendlich ist es genau diese proaktive und ganzheitliche Sicht, die den entscheidenden Unterschied zwischen Sicherheit und Verwundbarkeit macht.