Die Behauptung der Ransomware-Gruppe Everest, sie habe Atlas Air und dessen Zulieferer Tsunami Tsolutions angegriffen, zeigt, wie moderne Ransomware-Angriffe die Komplexität der Lieferkette ausnutzen, um Risiken zu schaffen – selbst dort, wo Angriffe noch nicht bestätigt sind.
Von Kate O'Flaherty
Im Februar wurde die Everest-Ransomware-Gruppe behaupteten, abgezweigt zu haben 1.2 TB Daten der Frachtfluggesellschaft Atlas Air. Die Behauptungen des Ransomware-Kartells, die in einem Darknet-Forum veröffentlicht wurden, wurden durch Screenshots der angeblich gestohlenen Informationen, darunter technische Daten von Boeing-Flugzeugen, untermauert.
Wenige Tage später behaupteten die Hacker, sie hätten auch den in den USA ansässigen Anbieter von Unterstützungsleistungen und Informationslösungen für die Luft- und Raumfahrttechnik, Tsunami Tsolutions, kompromittiert. Dabei bezogen sie sich auf einen kleineren Datensatz im Rahmen eines offenbar koordinierten Angriffs auf die Lieferkette.
Atlas Air bestritt den Vorfall und Tsunami Solutions reagierte nicht auf Everests Behauptungen, aber die Vorfälle zeigen, wie moderne Ransomware-Angriffe Sicherheitslücken ausnutzen. Komplexität der Lieferkette und Mehrdeutigkeit, um Risiken zu schaffen – selbst wenn Verstöße noch nicht bestätigt sind.
Wie können Organisationen ihre Widerstandsfähigkeit und Verteidigungsfähigkeit angesichts unsicherer, sich schnell verändernder Bedrohungsszenarien stärken, die außerhalb ihrer direkten Kontrolle liegen?
Screenshot-Probleme
Everest behauptete, Beweise für den Datendiebstahl bei Atlas Air zu haben, doch die vorgelegten Dokumente hätten leicht gefälscht sein können. Loslassen Um vollständige Datensätze zu präsentieren, veröffentlichte die Gruppe Screenshots von Dokumenten, die sie als Wartungs- und Reparaturunterlagen, Logistikaufzeichnungen und Teilekataloge bezeichnete. Behauptungen, die sich ausschließlich auf Screenshots stützen, bewegen sich in einer bewusst mehrdeutigen Zone, so Sergiu Zaharia, PhD, CISO bei Pentest-Tools.com. „Aber genau diese Mehrdeutigkeit ist der Punkt“, erklärt er. IO„Everest muss den Vertragsbruch nicht endgültig beweisen, um Druck auszuüben. Es reicht, genügend Zweifel zu säen, damit das Reputations- und Vertragsrisiko des Nichthandelns die Kosten eines Eingreifens übersteigt. Das ist eine altbekannte Erpressungsmethode.“
Die Forscher stellten Anomalien in den Screenshots fest, darunter einen Verweis auf Malaysia Airlines Dies schien keine direkte Verbindung zu Atlas Air zu haben. Als Everest später den Angriff auf Tsunami Solutions für sich beanspruchte, enthielten die Screenshots ähnliche Informationen.
Dies wirft berechtigte Fragen auf, ob die Daten überhaupt aus den Systemen von Atlas Air stammen oder von einem Zulieferer. Die Daten könnten sogar von einer gemeinsamen Plattform oder „einer unabhängigen Quelle stammen, die die Gruppe zu einem einzigen Anspruch zusammengefasst hat, um maximale Wirkung zu erzielen“, vermutet Zaharia.
Die Frage der Glaubwürdigkeit ist daher weniger eindeutig, als es zunächst scheint, so Zaharia. „Die Screenshots beweisen möglicherweise keinen Einbruch in die Kernsysteme von Atlas Air. Sie beweisen aber mit ziemlicher Sicherheit, dass jemand in der Lieferkette Zugriff auf solche Dokumente hatte, der eine Datenexfiltration ermöglichte.“
Die Fälle um Atlas Air und die Everest-Ransomware-Gruppe verdeutlichen ein wiederkehrendes Muster bei moderner Cybererpressung: Die Angreifer veröffentlichen Screenshots und gewagte Behauptungen, während das angegriffene Unternehmen die Kompromittierung bestreitet, sagt Tracey Hannan-Jones, Direktorin für Informationssicherheitsberatung bei UBDS Digital.
In stark vernetzten Sektoren wie der Luft- und Raumfahrt sowie der Luftfracht können die Folgewirkungen dieser „unbewiesenen“ Vorfälle dennoch erheblich sein, sagt sie.
Verifizierbare Datenlecks liefern in der Regel stärkere Hinweise. Dazu gehören Dateistrukturen, Beispielarchive, Hashwerte, Zeitstempel, eindeutige interne Kennungen oder unabhängige Bestätigungen von betroffenen Dritten, so Hannan-Jones. Screenshots reichten ohne die internen Telemetriedaten des Opfers „selten aus, um die Herkunft zu bestätigen“, erklärt sie.
Risiken in der realen Welt
Auch wenn es keinen endgültigen Beweis dafür gibt, dass ein Verstoß stattgefunden hat, bergen die Behauptungen dennoch reale Risiken.
Die Leugnung eines Sicherheitsvorfalls beseitigt das Risiko nicht, sondern verändert lediglich dessen Art, so Dana Simberkoff, Chief Risk, Privacy and Information Security Officer bei AvePoint. „Sobald ein glaubwürdiger Angreifer eine Bedrohung öffentlich macht, sehen sich Unternehmen mit betrieblichen, regulatorischen und reputationsbezogenen Konsequenzen konfrontiert – unabhängig davon, ob sich die Behauptung als begründet erweist.“
„Verneinung ist nicht dasselbe wie Zusicherung“, ergänzt Rob Demain, CEO von e2e-assure. „Die Aussage von Atlas Air, dass ihre Systeme nicht kompromittiert wurden, bezieht sich lediglich auf ihr eigenes System“, betont er. „Sie bestätigt oder widerlegt nicht, ob Daten, die mit dem Unternehmen in Verbindung stehen, möglicherweise an anderer Stelle in der Lieferkette vorhanden sind.“
Das sei das Kernproblem der Lieferkette, sagt er. „Ein Unternehmen kann die Kontrolle über seine eigenen Systeme ausüben, aber nicht unbedingt über die Systeme von Lieferanten, die seine Daten speichern, verarbeiten oder darauf zugreifen.“
Komplexität der Lieferkette
Im Luft- und Raumfahrtsektor, wo Datenumgebungen zwischen Betreibern, Herstellern und Entwicklungspartnern miteinander vernetzt sind, ist dies ein klares Beispiel dafür, wie sich Risiken durch Dritte in einem gesamten Ökosystem ausbreiten können.
Die Luft- und Raumfahrtbranche ist in dieser Hinsicht besonders aufschlussreich, da ihre Lieferkettenkomplexität laut Zaharia „strukturell bedingt und unvermeidbar“ ist. „Ein einzelnes Flugzeugprogramm involviert Tausende von Zulieferern in Dutzenden von Ländern, die über Wartungsmanagementsysteme, Ersatzteildatenbanken, Logistikplattformen und technische Dokumentationsdatenbanken miteinander verbunden sind – Systeme, die auf betriebliche Effizienz und nicht auf Sicherheit ausgelegt sind. Viele dieser Verbindungen basieren auf implizitem Vertrauen, das nie explizit überprüft wurde.“
Laut Stew Parkin, CTO von Assured Data Protection, führt dies zu Intransparenz in der Lieferkette. „Herkömmliches Drittanbieter-Risikomanagement – Fragebögen, jährliche Überprüfungen, vertragliche Zusicherungen – ist schlichtweg nicht für hochgradig vernetzte Ökosysteme mit mehreren Abhängigkeitsebenen und gemeinsam genutzten Plattformen geeignet.“
Wenn es zu einem Vorfall wie dem Atlas-Vorfall kommt, stehen Unternehmen vor dem Problem, das Gegenteil beweisen zu müssen. „Man kann nicht einfach nachweisen, dass nicht auf Daten zugegriffen wurde, insbesondere wenn die Offenlegung über einen Partner erfolgt sein könnte“, sagt Parkin. „In dieser Diskrepanz zwischen dem, was intern bekannt ist, und dem, was man nach außen sicher kommunizieren kann, steigt das Risiko am schnellsten.“
Sich wandelnde regulatorische Erwartungen
Die Problematik wird vor dem Hintergrund zunehmender regulatorischer Kontrollen in Bezug auf Lieferkettensicherheit, Resilienz und Verantwortlichkeit betrachtet. Netzwerk- und Informationssysteme 2 (NIS2), die Gesetz zur digitalen Betriebsresilienz (DORA) und die aufkommende Welle von Vorschriften für kritische Infrastrukturen in der gesamten EU drängen die Verantwortlichkeit für die Sicherheit der Lieferkette vom Lieferanten bis zum Betreiber.
„Gemäß NIS2 tragen systemrelevante Unternehmen die Verantwortung für das Management von Cybersicherheitsrisiken in ihren Lieferketten, nicht nur in ihren eigenen Systemen“, erklärt Zaharia von Pentest-Tools.com. „Das ist ein bedeutender Wandel von Rahmenwerken, die Lieferkettensicherheit als Best Practice betrachteten, hin zu einem, das sie als Compliance-Pflicht mit entsprechenden Durchsetzungsfolgen ansieht.“
Da die Verantwortlichkeit über die eigenen Unternehmensgrenzen hinausgeht, müssen Firmen auch nachweisen, dass sie wirksame Maßnahmen implementiert haben. „Die Erwartungen verschieben sich von ‚Zeigen Sie mir die Richtlinie‘ hin zu ‚Zeigen Sie mir, wie Risiken kontinuierlich identifiziert, überwacht und gesteuert werden‘“, so Simberkoff von AvePoint.
Dies setzt Organisationen unter Druck, ein funktionierendes Modell und Beispiele für Governance, Entscheidungsfindung und Reaktionsmaßnahmen vorzuweisen – insbesondere dann, wenn Vorfälle Dritte betreffen oder unklare Sicherheitslücken vorliegen.
Praktische Schritte
Die Bedrohung der Lieferkette ist real, insbesondere wenn Behauptungen unbewiesen sind. Um diesem Problem entgegenzuwirken, empfehlen Experten Unternehmen, von statischen Lieferantensicherungsmodellen zu einer kontinuierlichen, systembasierten Überwachung überzugehen, die Transparenz über Datenflüsse, Abhängigkeiten und die Reaktion auf Vorfälle hinweg gewährleistet.
Laut Simberkoff bedeutet dies in der Praxis, den Fokus auf Transparenz und Integration statt auf isolierte Kontrollen zu legen. Sie empfiehlt, Datenflüsse abzubilden, zu ermitteln, wo sensible Informationen gespeichert sind, und Lieferanten auf gemeinsame Sicherheits- und Reaktionsstandards auszurichten.
Im Fall Atlas Air sei das Verständnis, welche externen Parteien legitimen Zugriff auf die Wartungsdokumentation von Boeing hatten und über welche Systeme, „der Ausgangspunkt für jede sinnvolle Antwort auf die Everest-Klage“, so Zaharia.
Zaharia ergänzt, dass es außerdem entscheidend sei, den Notfallplan speziell für ein Szenario mit einer Kompromittierung der Lieferkette zu validieren. „Die meisten Unternehmen haben Pläne für Sicherheitslücken in ihren eigenen Systemen. Weitaus weniger haben ihre Reaktion auf ein Szenario getestet, in dem die Sicherheitslücke bei einem Zulieferer auftritt, die betroffenen Daten möglicherweise nicht dem eigenen Unternehmen gehören und die forensischen Beweise unvollständig sind.“
Integrierte, auf Frameworks abgestimmte Managementsysteme, wie sie beispielsweise um … herum aufgebaut sind. ISO 27001 Sie helfen ebenfalls. Laut Simberkoff bieten sie eine „gemeinsame Sprache und Struktur für das Risikomanagement in komplexen Ökosystemen“. „Standards wie ISO 27001 dienen nicht der reinen Einhaltung von Vorschriften. Sie ermöglichen es Teams, kontinuierliche Transparenz, Qualitätssicherung und Verantwortlichkeit zu operationalisieren und zu gewährleisten.“
„Damit wird ein nachvollziehbarer Prozess geschaffen, um darzulegen, was man tut, und dies auch zu beweisen“, sagt sie. „In Umgebungen, in denen Lieferkettenrisiken unvermeidbar sind, helfen diese Rahmenwerke Organisationen dabei, von reaktiver Qualitätssicherung zu proaktiver Steuerung überzugehen. Dies ist unerlässlich im Umgang mit Unklarheiten, Ansprüchen Dritter und sich wandelnden Bedrohungsmodellen.“
Erweitern Sie Ihr Wissen
Blog: Lieferketten sind komplex, undurchsichtig und unsicher: Regulierungsbehörden fordern bessere
Podcast: Phishing für Ärger Folge 09: Was man im Katastrophenfall auf keinen Fall tun sollte
