Eine Phishing-E-Mail tarnt sich als Nachricht eines bekannten Geschäftspartners. Im Anhang: ein Dokument, das angeblich eine aktualisierte Preisliste enthält. Der Empfänger in der Einkaufsabteilung öffnet das Dokument ohne Rückfrage. Das eingebettete Makro installiert einen Remote-Access-Trojaner — und der Angreifer hat fortan vollen Zugriff auf das interne Netz.
Informationen und Software aus unzuverlässigen Quellen können die Integrität von Entscheidungen und die Sicherheit von IT-Systemen gleichermaßen gefährden. Das BSI führt diese Gefährdung als G 0.20.
Was steckt dahinter?
Informationsverarbeitung beruht auf einer Vertrauenskette: Daten werden erhoben, übertragen, verarbeitet und als Grundlage für Entscheidungen verwendet. Wenn ein Glied dieser Kette auf unzuverlässigen Quellen basiert, pflanzt sich der Fehler durch die gesamte Verarbeitungskette fort. Bei Software kommt hinzu, dass ungeprüfter Code direkt die Sicherheit des Systems gefährdet.
Angriffsformen
- Gefälschte E-Mails (Phishing) — Der Absender ist gefälscht oder dem eines bekannten Kontakts nachgeahmt. Anhänge und Links führen zu Schadcode oder gefälschten Anmeldeseiten. Die klare Strukturierung von E-Mail-Adressen und -Headern macht automatisierte Fälschungen trivial.
- Software aus inoffiziellen Quellen — Downloads von Drittanbieter-Seiten, Foren oder Filesharing-Plattformen können manipulierte Versionen enthalten. Selbst wenn die Software funktional korrekt erscheint, kann sie im Hintergrund Daten abfließen lassen.
- Kompromittierte Update-Mechanismen — Supply-Chain-Angriffe schleusen Schadcode über die regulären Update-Kanäle des Herstellers ein. Die Updates tragen eine gültige digitale Signatur und werden von den Systemen vertrauensvoll installiert.
- Falschinformationen als Entscheidungsgrundlage — Ungeprüfte Internetquellen, gefälschte Studien oder manipulierte Berichte fließen in Geschäftsentscheidungen ein und führen zu Fehleinschätzungen.
Schadensausmass
Manipulierte Software kann alle drei Schutzziele gleichzeitig verletzen: Datenabfluss (Vertraulichkeit), Datenmanipulation (Integrität), Systemausfall durch Schadcode (Verfügbarkeit). Bei Falschinformationen liegt der Schaden in fehlerhaften Entscheidungen — die Auswirkungen reichen von Fehlinvestitionen bis zu regulatorischen Verstößen.
Praxisbeispiele
Gefälschte Lieferantenrechnung per E-Mail. Die Finanzabteilung eines mittelständischen Unternehmens erhält eine E-Mail, die exakt wie die Rechnungen eines langjährigen Zulieferers aussieht — inklusive korrektem Logo, Rechnungsnummer und Ansprechpartner. Lediglich die Bankverbindung ist geändert. Da der Betrag im üblichen Rahmen liegt, wird die Rechnung bezahlt. Der Betrug fällt erst auf, als der echte Zulieferer eine Zahlungserinnerung schickt.
Manipuliertes Open-Source-Paket. Ein Entwickler bindet eine populäre Open-Source-Bibliothek in sein Projekt ein. Kurz zuvor hat ein Angreifer eine leicht abgewandelte Version unter einem verwechselbaren Paketnamen veröffentlicht (Typosquatting). Die manipulierte Version funktioniert identisch, exfiltriert aber Umgebungsvariablen — einschließlich API-Keys und Datenbank-Passwörtern — an einen externen Server.
Falsche Marktdaten in Vorstandsvorlage. Für eine Investitionsentscheidung recherchiert ein Analyst Marktdaten im Internet und übernimmt Zahlen aus einer professionell aufgemachten, aber inhaltlich falschen Branchenstudie. Die Investition basiert auf fehlerhaften Annahmen. Der Fehler wird erst nach dem Markteintritt erkennbar — der Rückzug kostet das Unternehmen einen siebenstelligen Betrag.
Relevante Kontrollen
Die folgenden ISO-27001-Kontrollen wirken dieser Gefährdung entgegen. (Die vollständige Liste der 30 zugeordneten Kontrollen findest du unten im Abschnitt „Abdeckende ISO-27001-Kontrollen”.)
Prävention:
- A.8.19 — Installation von Software: Restriktive Richtlinien verhindern die Installation ungeprüfter Software.
- A.8.7 — Schutz gegen Schadsoftware: Endpoint-Protection erkennt und blockiert Schadcode in heruntergeladenen Dateien.
- A.5.7 — Bedrohungsintelligenz: Aktuelle Informationen über Bedrohungen, einschließlich laufender Phishing-Kampagnen und Supply-Chain-Angriffe.
- A.8.23 — Webfilterung: Blockierung bekannter bösartiger Domains und Download-Quellen.
- A.8.25 — Sicherer Entwicklungslebenszyklus: Dependency-Management und Integritätsprüfung von Bibliotheken im Entwicklungsprozess.
Erkennung:
- A.5.24 — Planung der Informationssicherheitsvorfallreaktion: Vorbereitete Prozesse für den Fall, dass kompromittierte Software erkannt wird.
- A.8.15 — Protokollierung: Aufzeichnung von Software-Installationen und Download-Aktivitäten.
Reaktion:
- A.5.25 — Bewertung und Entscheidung über Informationssicherheitsereignisse: Strukturierte Triage bei Verdacht auf kompromittierte Quellen.
- A.5.26 — Reaktion auf Informationssicherheitsvorfälle: Eindämmung, wenn kompromittierte Software bereits installiert wurde.
BSI IT-Grundschutz
G 0.20 verknüpft der BSI-Grundschutzkatalog mit den folgenden Bausteinen:
- OPS.1.2.6 (NTP-Zeitsynchronisation) — Zeitsynchronisation aus vertrauenswürdigen Quellen als Beispiel für Integritätsanforderungen.
- CON.8 (Software-Entwicklung) — Anforderungen an die Prüfung von Abhängigkeiten und externen Komponenten.
- OPS.1.1.3 (Patch- und Änderungsmanagement) — Sicherstellung, dass Updates aus vertrauenswürdigen Quellen stammen.
- SYS.1.6 (Containerisierung) — Prüfung von Container-Images auf Integrität und Herkunft.
Quellen
- BSI IT-Grundschutz: Elementare Gefährdungen, G 0.20 — Originalbeschreibung der elementaren Gefährdung
- ISO/IEC 27002:2022 Abschnitt 8.19 — Umsetzungshinweise zur Installation von Software
- BSI: Empfehlungen zu Supply-Chain-Sicherheit — Hinweise zur Absicherung der Software-Lieferkette