Supply Chain AttackExperte

Supply Chain Attack: Wenn die Bedrohung aus der Software selbst kommt

Du installierst Software von einem vertrauenswürdigen Anbieter. Du hältst dich an bewährte Sicherheitspraktiken. Du hältst alles auf dem neuesten Stand. Und trotzdem wirst du kompromittiert. Das ist die beunruhigende Realität eines Supply Chain Attacks – bei dem die Bedrohung nicht durch einen direkten Einbruch entsteht, sondern durch etwas, dem du bereits vertraut hast.

Was dahintersteckt

Ein Supply Chain Attack liegt vor, wenn ein Cyberkrimineller ein Ziel indirekt angreift, indem er einen Anbieter, eine Software-Bibliothek, einen Update-Mechanismus oder eine Hardware-Komponente kompromittiert, auf die das Ziel angewiesen ist. Anstatt ein gut gesichertes Unternehmen direkt anzugreifen, sucht der Angreifer nach einem schwächeren Glied in der Abhängigkeitskette dieses Unternehmens – und vergiftet es an der Quelle.

Das Ergebnis: Schadcode, Backdoors oder Spyware werden automatisch an Tausende oder sogar Millionen von Nutzern ausgeliefert – oft genau über jene Update-Mechanismen, die eigentlich zur Sicherheit der Software beitragen sollen.

Wie es funktioniert

Moderne Software basiert auf zahlreichen Abhängigkeitsebenen: Bibliotheken von Drittanbietern, Open-Source-Pakete, Cloud-Dienste und vom Anbieter gelieferte Komponenten. Diese Komplexität schafft eine Angriffsfläche, die für eine einzelne Organisation kaum vollständig zu überwachen ist.

Ein typischer Ablauf sieht so aus:

1. Zielidentifikation – Angreifer ermitteln einen weit verbreiteten Software-Anbieter oder ein Open-Source-Paket mit schwächeren Sicherheitspraktiken als seine Kunden.
2. Kompromittierung – Der Angreifer dringt in das Build-System, das Code-Repository oder den Update-Server des Anbieters ein. Dies kann durch Phishing, gestohlene Zugangsdaten oder die Ausnutzung einer Schwachstelle in der eigenen Infrastruktur des Anbieters geschehen.
3. Code-Injektion – Schadcode wird unauffällig in ein legitimes Software-Update oder eine Bibliotheksversion eingefügt.
4. Verteilung – Das präparierte Update wird mit legitimen Zertifikaten signiert und an alle Nutzer ausgerollt. Da es aus einer vertrauenswürdigen Quelle stammt, schlagen Sicherheitstools häufig keinen Alarm.
5. Ausführung – Die Schadsoftware läuft still im Hintergrund auf dem Gerät des Opfers und kann Zugangsdaten abgreifen, Backdoors einrichten oder Daten exfiltrieren.

Der SolarWinds-Angriff von 2020 ist das bekannteste Beispiel. Hacker schleusten Schadsoftware in ein routinemäßiges Software-Update ein, das anschließend an rund 18.000 Organisationen verteilt wurde – darunter US-amerikanische Bundesbehörden. Der Einbruch blieb monatelang unentdeckt.

Ein weiterer bekannter Fall betraf das NPM-Paket-Ökosystem, bei dem Angreifer bösartige Pakete mit Namen veröffentlichten, die bekannten Bibliotheken zum Verwechseln ähnlich sahen – eine Technik namens Typosquatting –, in der Hoffnung, dass Entwickler sie versehentlich installieren würden.

Warum das für VPN-Nutzer relevant ist

VPN-Software ist nicht immun dagegen. Wenn du einen VPN-Client installierst, vertraust du darauf, dass die Anwendung – und jede Bibliothek, auf die sie angewiesen ist – sauber ist. Ein Supply Chain Attack, der auf die Software-Distribution eines VPN-Anbieters abzielt, könnte theoretisch einen kompromittierten Client ausliefern, der deine echte IP-Adresse preisgibt, deinen Kill Switch deaktiviert oder deinen Datenverkehr ohne dein Wissen protokolliert.

Daher ist es besonders wichtig:

• VPN-Software ausschließlich von offiziellen Quellen herunterzuladen – niemals von App-Stores Dritter oder Mirror-Seiten.
• Anbieter zu bevorzugen, die reproduzierbare Builds veröffentlichen oder regelmäßige unabhängige Audits durchführen lassen, damit die kompilierte Software unabhängig verifiziert werden kann.
• Auf Code-Signing-Zertifikate zu achten, die bestätigen, dass die Software seit dem Verlassen des Entwicklers nicht manipuliert wurde.
• Software aktuell zu halten, aber auch Sicherheitsmeldungen im Blick zu behalten – wenn ein Anbieter einen Supply-Chain-Vorfall bekannt gibt, sollte man schnell handeln.

Über VPN-Software hinaus betreffen Supply Chain Attacks auch andere Datenschutz-Tools: Browser, Browser-Erweiterungen, Passwort-Manager und Betriebssysteme. Eine kompromittierte Browser-Erweiterung könnte beispielsweise alles unterlaufen, was ein VPN zum Schutz deiner Privatsphäre leistet.

Das große Bild

Supply Chain Attacks sind besonders gefährlich, weil sie Vertrauen ausnutzen. Der klassische Sicherheitsrat lautet: „Lade nur von vertrauenswürdigen Quellen herunter" – doch ein Supply Chain Attack macht aus vertrauenswürdigen Quellen selbst die Bedrohung. Deshalb gewinnen Konzepte wie Zero-Trust-Architektur, Software Bill of Materials (SBOM) und kryptografische Verifikation von Software-Paketen in der Sicherheitscommunity zunehmend an Bedeutung.

Für alltägliche Nutzer lautet die Schlussfolgerung einfach, aber wichtig: Die Software, auf die du dich verlässt, ist nur so sicher wie das gesamte Ökosystem dahinter. Informiert zu bleiben, Anbieter mit transparenten Sicherheitspraktiken zu wählen und Tools wie VPN-Audits zur Überprüfung von Anbieterangaben zu nutzen – all das gehört zum Aufbau eines wirklich widerstandsfähigen Datenschutz-Setups.