Digitale Effizienz bringt digitale Risiken – das zeigt ein aktuelles Forschungsprojekt der Gesellschaft für Anlagen- und Reaktorsicherheit (GRS). Im Fokus: sogenannte Supply-Chain-Angriffe, bei denen Angreifer über externe IT-Dienstleister in hochsensible Systeme eindringen. Besonders besorgniserregend: Selbst sicherheitskritische Bereiche wie die Kerntechnik sind potenziell verwundbar.
Angriffsfläche durch digitale Vernetzung
Moderne IT-Systeme sind selten autark. Ob Software-Updates, Cloud-Dienste oder Plattformlösungen – viele Unternehmen setzen auf externe Anbieter. Damit entstehen komplexe digitale Lieferketten, die zur Einflugschneise für Cyberangriffe werden können. Besonders brisant: Dienstleister verfügen oft über weitreichende Zugriffsrechte – ein idealer Angriffspunkt.
Einfallstor auf leisen Sohlen
Im Gegensatz zu klassischen Cyberattacken zielen Supply-Chain-Angriffe nicht direkt auf das Hauptziel, sondern auf vorgelagerte, vermeintlich harmlosere Komponenten. Ist ein Dienstleister kompromittiert, kann Schadsoftware durch legitime Update-Prozesse oder Schnittstellen in das eigentliche Zielsystem gelangen – mit verheerenden Folgen.
Dauergefahr statt Einmalrisiko
Die Gefahr endet nicht mit der Inbetriebnahme eines Systems. Software wird kontinuierlich aktualisiert, digitale Dienste dauerhaft genutzt. Das bedeutet: Die Angriffsfläche bleibt über den gesamten Lebenszyklus eines Systems bestehen. Betreiber kritischer Infrastrukturen stehen damit vor der Herausforderung, nicht nur ihre eigenen Systeme, sondern auch die Sicherheit ihrer Dienstleister dauerhaft im Blick zu behalten.
Forschung für mehr Sicherheit
Die GRS forscht im Auftrag des Bundesumweltministeriums an konkreten Schutzmaßnahmen. Dabei werden reale Vorfälle analysiert, internationale Standards ausgewertet und Muster von Angriffsstrategien identifiziert. Zentral ist die Erweiterung des etablierten MITRE ATT&CK Frameworks – einem globalen Standard zur Klassifikation von Cyberbedrohungen – auf die speziellen Bedingungen digitaler Dienstleistungssysteme in der kritischen Infrastruktur.
Wer Sicherheit will, muss die gesamte Lieferkette absichern
Das neue GRS-Projekt zeigt: IT-Sicherheit ist heute weit mehr als nur ein Thema der eigenen Firewall. In einer digital vernetzten Welt entscheidet die Schwächste Stelle in der Kette über die Gesamtsicherheit – besonders in der hochsensiblen Welt der Kerntechnik.
