Supply-Chain-Angriffe: Warum deine Software dich gefährdet
Du updatest regelmäßig. Du nutzt bekannte Bibliotheken. Du hostest auf einem großen Cloud-Anbieter. Und trotzdem bist du angreifbar — weil Angreifer gelernt haben, genau dort anzusetzen, wo du am wenigsten hinschaust: in den Werkzeugen, die du vertraust.
Der Angriff über den Dienstleister
Beim SolarWinds-Angriff 2020 wurden 18.000 Organisationen — darunter US-Behörden — kompromittiert, indem Angreifer Schadcode direkt in ein legitimes Software-Update einschleusten. Niemand hat etwas Verdächtiges installiert. Alle haben nur ihre regulären Updates gemacht.
Das npm-Problem: Millionen Abhängigkeiten, wenig Kontrolle
Ein durchschnittliches Node.js-Projekt hat über 1.000 transitive Abhängigkeiten — Pakete, die deine Pakete nutzen. Die wenigsten werden aktiv gewartet. 2023 waren 18% aller npm-Pakete verwaist. Jedes verwaiste Paket ist ein potenzieller Einstiegspunkt nach Typosquatting oder Account-Übernahme.
Was KMUs konkret tun können
Kein Unternehmen kann alle Abhängigkeiten prüfen. Aber: regelmäßige `npm audit`- oder `pip-audit`-Läufe in der CI/CD-Pipeline, Software Composition Analysis (SCA) für kritische Dienste und eine klare Liste explizit freigegebener externer Dienste pro Team kosten wenig und reduzieren das Risiko deutlich.
Weiter im Tree
Security
Was jemand in 60 Sekunden über dein Unternehmen herausfindet
DNS, TLS, offene Subdomains, fehlende Header — ein externer Angreifer braucht dafür keine Hacking-Tools. Nur Geduld und ein Browser.
Security
Die fünf Security-Fehler, die 80% der KMU-Vorfälle verursachen
94% aller Cyberangriffe auf KMUs starten mit Phishing oder schwachen Zugangsdaten. Die Lösung ist nicht teuer — sie wird nur konsequent ignoriert.