Das schwächste Glied: Wie Angreifer über Dritte ins Unternehmensnetz gelangen

In den letzten Jahren sind die IT-Schäden durch Dritte – also durch Anbieter, Dienstleister, Zulieferer oder Partner – massiv gestiegen. Laut der BlueVoyant-Studie The State of Supply Chain Defense: Annual Global Insights Report 2024 berichteten 81 Prozent der befragten IT-Entscheider, dass ihre eigene IT bereits mindestens einmal von einer Sicherheitsverletzung in der Lieferkette betroffen war. Probleme wie Fehlkonfigurationen, fehlende Updates oder nicht eingespielte Patches bei Partnern haben längst ein bedenkliches Ausmaß erreicht. Kein Wunder also, dass Drittanbieterrisiken inzwischen fester Bestandteil von EU-Vorgaben wie NIS2 oder dem Cyber Resilience Act (CRA) sind.

Doch wie genau nutzen Angreifer die Schwachstellen von Partnern, Zulieferern und Dienstleistern aus?

Datendiebstahl bei Dienstleistern

Ein beliebtes Ziel sind externe Dienstleister, die für Unternehmen sensible Daten speichern. Viele Firmen lagern Prozesse wie Lohnabrechnung oder Personalverwaltung aus – in der Hoffnung auf Flexibilität, Kostenersparnis und höhere Sicherheitsstandards. Gelingt es Angreifern jedoch, in die Systeme dieser Dienstleister einzudringen, gelangen sie an wertvolle personenbezogene Daten. Diese nutzen sie anschließend für Phishing-, Spear-Phishing- oder Social-Engineering-Angriffe gegen Mitarbeiter der betroffenen Unternehmen.

Dienstleister als Einfallstor ins Unternehmensnetz

Immer mehr Unternehmen vernetzen sich eng mit Partnern und Dienstleistern. Dabei verschwimmen die Grenzen zwischen den verschiedenen IT-Umgebungen zunehmend. Genau das machen sich Angreifer zunutze: Sie nutzen die Infrastruktur eines Dienstleisters als Sprungbrett, um unbemerkt ins eigentliche Zielnetzwerk vorzudringen – oft ohne dass die Sicherheitsmechanismen des Opfers Alarm schlagen.

Angriffe auf die Software-Lieferkette

Besonders gefährlich sind sogenannte Software-Supply-Chain-Angriffe. Dabei kompromittieren Angreifer die Systeme von Software- oder Firmware-Anbietern und schleusen manipulierten Code in Updates oder Produkte ein. Kunden laden diese Updates nichtsahnend herunter – und öffnen Angreifern damit die Tür ins eigene Netzwerk. Ein prominentes Beispiel ist der SolarWinds-Hack von 2020, bei dem tausende Netzwerke über ein einziges manipuliertes Update kompromittiert wurden. Auch SaaS-Anbieter sind im Visier: Angriffe reichen von Datenlecks bis zu DDoS-Attacken, die Cloud-Dienste lahmlegen und Unternehmen teilweise arbeitsunfähig machen.

Wie können Unternehmen sich schützen?

Die Bedrohungslage ist eindeutig: Angreifern stehen unzählige Wege offen, über Schwachstellen bei Dritten erheblichen Schaden anzurichten. Umso wichtiger ist es, die eigene Sicherheitsstrategie entsprechend auszurichten. Dazu gehören vor allem:

• Zero-Trust-Architekturen beim Aufbau von Netzwerken
• konsequente Segmentierung der Systeme
• aktive Überwachung nicht nur der eigenen, sondern auch der IT-Umgebungen von Partnern und Dienstleistern

Nur eine kontinuierliche Überwachung aller Schnittstellen und Perimeter ermöglicht es, riskantes Verhalten, Fehlkonfigurationen oder ungepatchte Schwachstellen frühzeitig zu erkennen und sofort zu reagieren. Mit modernen Lösungen für das Third-Party Risk Management (TPRM) können Unternehmen das Risiko von sicherheitsrelevanten Vorfällen durch Dritte deutlich senken.