Xygeni Logo Weiß
Kostenlos ausprobieren
Demo buchen
Xygeni Security-Glossar
Glossar zur Sicherheit bei Softwareentwicklung und -bereitstellung
Video-Demo ansehen

Was ist ein Software-Supply-Chain-Angriff?

Inhaltsverzeichnis

Was ist ein Software-Supply-Chain-Angriff?
 #

In diesem Glossar definieren wir, was ein Software-Supply-Chain-Angriff ist, und stellen einige Beispiele für Software-Supply-Chain-Angriffe vor.

Wie Sie vielleicht bereits wissen, handelt es sich bei Angriffen auf die Software-Lieferkette um eine spezielle Form von Cyberangriffen. Sie zielen in der Regel auf Softwarekomponenten, Bibliotheken, Entwicklungstools oder die Infrastruktur von Drittanbietern ab, die zur Erstellung und Verbreitung von Softwareanwendungen verwendet werden. Anstatt die Zielorganisation direkt anzugreifen, infiltrieren Angreifer vertrauenswürdige Softwarelieferanten oder Dienstleister. Einschleusen von Schadcode or Backdoors die anschließend im Rahmen legitimer Updates oder Installationen an Endbenutzer ausgeliefert werden. Da Angriffe auf die Software-Lieferkette die impliziten Vertrauensbeziehungen innerhalb der SDLC, ist es schwierig und besonders heimtückisch und schwierig, sie zu erkennen.

Definition:

Was ist ein Software-Supply-Chain-Angriff und warum ist er wichtig? #

Im Gegensatz zu herkömmlichen Cyberangriffen beeinträchtigen Angriffe auf die Software-Lieferkette die grundlegenden Elemente des Anwendungsentwicklungsprozesses. Sind sie erfolgreich, können sie schnell skalieren und Tausende von Organisationen gleichzeitig betreffen. Diese Art von Angriff erregte große Aufmerksamkeit durch spektakuläre Vorfälle wie den SolarWinds-Angriff (auf den wir weiter unten eingehen), bei dem kompromittierte Updates zahlreiche Regierungs- und enterprise Systeme. Warum sind böswillige Akteure daran interessiert? Der strategische Reiz liegt in der großen Reichweite und den erweiterten Berechtigungen, die oft mit Softwarekomponenten verbunden sind. Dadurch sind diese Angriffe sowohl effizient als auch verheerend.

Hauptmerkmale #

Zu den wichtigsten Merkmalen von Angriffen auf die Software-Lieferkette zählen:

  • Vertrauensmissbrauch: böswillige Akteure nutzen oft die Vertrauensbeziehungen zwischen Entwicklern und ihren Tools, Abhängigkeiten von Drittanbietern und Anbietern aus
  • Seitlicher Aufprall: Ein einmaliger Angriff kann über Software-Verteilungskanäle auf mehrere Opfer übergreifen.
  • Heimlichkeit und Beharrlichkeit: Schadcode ist oft in signierte, scheinbar legitime Softwarepakete eingebettet und ermöglicht so eine langfristige Persistenz
  • Komplexe Zuordnung: Da ein Angriff dieser Art seinen Ursprung in der Lieferkette hat, kann die Rückverfolgung der Quelle sehr komplex und zeitaufwändig sein.

Gängige Vektoren von Angriffen auf die Software-Lieferkette
#

Komponenten und Abhängigkeiten von Drittanbietern: Angreifer können weit verbreitete OSS-Pakete oder proprietäre SDKs kompromittieren, die unwissentlich in Entwicklungsprojekte eingebunden werden

Bausysteme und CI/CD Pipelines: Ausnutzen falsch konfigurierter oder anfälliger Build-Umgebungen, um während der Softwarekompilierung oder -verpackung schädliche Artefakte einzuschleusen

Code-Repositorys: Unbefugter Zugriff auf Quellcode-Repositorys (z. B. GitHub), um legitime Codebasen mit schädlichen Nutzdaten zu verändern

Software-Updates und Patch-Mechanismen: Abfangen oder Manipulieren von Update-Kanälen, um kompromittierte Versionen vertrauenswürdiger Software bereitzustellen

Sehen wir uns nun einige Beispiele an. Wenn Sie weitere Informationen zu Angriffsvektoren und -arten wünschen – eintauchen!

Beispiele für Angriffe auf die Software-Lieferkette #

  • SolarWinds Orion (2020): Dies ist wohl eines der berüchtigtsten Beispiele. Angreifer fügten eine Hintertür namens „SUNBURST“ in ein legitimes Software-Update ein, das von über 18,000 Kunden heruntergeladen wurde, darunter Fortune 500-Unternehmen und US-Behörden.
  • Codecov Bash Uploader (2021): In diesem Fall haben Bedrohungsakteure ein in CI verwendetes Skript geändert pipelines, Diebstahl von Anmeldeinformationen und Umgebungsvariablen aus Tausenden von Projekten
  • UAParser.js (2021): an NPM Eine von Millionen genutzte Bibliothek wurde gekapert und mithilfe von Krypto-Mining- und Anmeldedaten stehlender Malware erneut veröffentlicht.
  • Kaseya VSA (2021): Hier nutzten Angreifer eine Schwachstelle in einer Remote-Monitoring-Plattform aus, um Ransomware bei Managed Service Providern und deren Kunden einzusetzen.

Diese Beispiele für Angriffe auf die Software-Lieferkette veranschaulichen die Vielfalt der Techniken und das potenzielle Ausmaß der Auswirkungen und unterstreichen die Notwendigkeit robuster Software-Integritätsprüfungen.

Einige Erkennungs- und Präventionstechniken
#

Angesichts der Komplexität und des verdeckten Charakters von Angriffen auf die Software-Lieferkette sind zur Vorbeugung und Erkennung mehrschichtige Sicherheitsansätze erforderlich:

  • SBOM (Software-Stückliste): Führen Sie ein detailliertes Inventar aller Drittanbieterkomponenten und ihrer Versionen, um anomale oder nicht autorisierte Änderungen zu erkennen
  • Code-Signierung und -Verifizierung: Stellen Sie sicher, dass alle Artefakte während der Erstellung und Bereitstellung kryptografisch signiert und verifiziert werden
  • Laufzeitüberwachung: Implementieren Sie EDR und Runtime Application Self-Protection (RASP), um verdächtiges Verhalten während der Ausführung zu erkennen
  • Zugriffskontrollen und Audits: Erschweren Sie den Zugriff auf Code-Repositories und CI/CD Umgebungen mit Multi-Faktor-Authentifizierung und rollenbasierten Zugriffskontrollen
  • Kontinuierliches Scannen auf Schwachstellen: Verwenden Sie automatisierte Tools, um Open-Source-Abhängigkeiten zu scannen und bekannte Schwachstellen oder Fehlkonfigurationen zu erkennen
  • Lieferantenrisikomanagement: Bewerten Sie die Sicherheitslage aller Drittanbieter, insbesondere derjenigen mit Zugriff auf sensible Entwicklungsumgebungen

Kennen Sie die Risikoauswirkungen für Sicherheitsteams und DevSecOps?
 #

 #

Sicherheitsmanager sowie DevOps- und DevSecOps-Teams müssen ihre Strategien neu ausrichten, um den Risiken von Angriffen auf die Software-Lieferkette zu begegnen:

DevSecOps-Integration: Sicherheit muss in den gesamten Software-Lebenszyklus integriert werden, vom Entwurf bis zur Bereitstellung

Bedrohungsmodellierung: Berücksichtigen Sie Bedrohungen in der Lieferkette bei Risikobewertungen und Bedrohungsmodellierungsübungen.cises

Entwicklerschulung: Informieren Sie Entwickler über sichere Codierungspraktiken und die Risiken der Integration schlecht geprüfter Komponenten von Drittanbietern.

Diese Vorgehensweisen verringern nicht nur das Risiko einer Gefährdung, sondern fördern auch eine Kultur, in der die Sicherheit an erster Stelle steht – sowohl bei der Entwicklung als auch im Betrieb.

Warum sollten Sie sich interessieren?
 #

Für jeden Entwickler von Softwareanwendungen ist es wichtig zu verstehen, was ein Software-Supply-Chain-Angriff ist. Da diese Art von Angriffen genau die Mechanismen ausnutzt, die schnelle Softwareinnovationen ermöglichen, und vertrauenswürdige Tools zu Angriffspunkten macht, sind sie äußerst gefährlich. Dokumentierte Beispiele für Supply-Chain-Angriffe und umfassende Abwehrstrategien verdeutlichen, dass Transparenz, Verantwortlichkeit und funktionsübergreifende Sicherheitsintegration zur Abwehr dieser Angriffe erforderlich sind.

Für Organisationen, die ihre Software-Lieferketten überwachen und sichern möchten, Xygeni ist die Antwort. Sehen Sie sich unsere Video-Demo an oder a Kostenlose Testversion!

Verständnis von Angriffen auf die Software-Lieferkette
Inhaltsverzeichnis
Priorisieren, beheben und sichern Sie Ihre Softwarerisiken
7-Tage kostenlose Testversion
Keine Kreditkarte erforderlich
Kostenlos Ausprobieren

Starten Sie Ihre Testversion

Fangen Sie kostenlos an.
Keine Kreditkarte erforderlich.

Mit nur einem Klick loslegen:

  • Ihr Quellcode wird nie hochgeladen – Ihre Privatsphäre bleibt in Ihren Händen
  • Bis zu 25 Scans pro Tag inklusive

Diese Informationen werden gemäß den Nutzungsbedingungen und Datenschutzbestimmungen

Screenshot der kostenlosen Testversion von Xygeni
Xygeni Logo Weiß

© 2026 Xygeni. Alle Rechte vorbehalten

Linkedin-in X-Twitter Youtube

Produkte

Ressourcen

Unternehmen

Rechtliches