Ein Supply-Chain-Angriff (Lieferkettenangriff) ist eine der heimtückischsten Angriffsformen überhaupt: Statt Dich direkt anzugreifen, kompromittieren Hacker einen Software-Hersteller, dem Du vertraust – und schleusen ihre Schadsoftware über ein ganz normales Software-Update auf Deinen Rechner. Du installierst ein Update von einem seriösen Anbieter, und genau dieses Update enthält die Hintertür.
Warum ist das so gefährlich?
Die besondere Gefährlichkeit von Supply-Chain-Angriffen liegt im Vertrauensbruch. Normalerweise wird Dir beigebracht: Halte Deine Software aktuell, installiere Updates zeitnah, vertraue den offiziellen Quellen. Genau dieses Verhalten nutzen Supply-Chain-Angriffe aus. Du tust alles richtig – und wirst trotzdem infiziert.
Der Ablauf ist typischerweise folgender: Die Angreifer verschaffen sich Zugang zu den Entwicklungssystemen oder der Update-Infrastruktur eines Software-Herstellers. Dort manipulieren sie den Quellcode oder den Build-Prozess, sodass das nächste reguläre Update eine Hintertür (Backdoor) enthält. Diese manipulierte Version wird dann ganz offiziell über die normalen Update-Kanäle verteilt – digital signiert, von einem vertrauenswürdigen Server, als legitimes Update.
Dein Virenscanner schlägt keinen Alarm, denn das Update kommt ja vom echten Hersteller und trägt dessen digitale Signatur. Deine Firewall lässt die Verbindung durch, denn die Software kommuniziert ja ganz normal mit ihrem Hersteller-Server. Alles sieht völlig unauffällig aus.
Das macht Supply-Chain-Angriffe zu einem Multiplikator: Statt Tausende Unternehmen einzeln angreifen zu müssen, kompromittiert der Angreifer einen einzigen Hersteller und erreicht so mit einem Schlag alle dessen Kunden. Je verbreiteter die Software, desto verheerender der Effekt.
Besonders perfide: Die Schadsoftware verhält sich nach der Installation oft wochenlang unauffällig. Sie sammelt zunächst Informationen, erkundet das Netzwerk und kommuniziert nur sporadisch mit den Angreifern – um nicht aufzufallen. Der eigentliche Angriff beginnt erst später, wenn die Hacker genug über das Ziel wissen.
Beispiele aus der Praxis
SolarWinds/SUNBURST (2020) war der bisher folgenreichste Supply-Chain-Angriff der Geschichte. Angreifer – vermutlich der russische Geheimdienst SVR – manipulierten ein Update der Netzwerk-Management-Software Orion von SolarWinds. Über 18.000 Organisationen installierten das kompromittierte Update, darunter das US-Finanzministerium, das Heimatschutzministerium und Teile des Pentagon. Die Angreifer hatten monatelang unentdeckten Zugang zu hochsensiblen Netzwerken. Die vollständige Geschichte findest Du in unserem Schadenbeispiel zu SolarWinds.
3CX (2023) zeigte, dass Supply-Chain-Angriffe sogar kaskadieren können: Die 3CX-Kompromittierung ging auf einen vorherigen Supply-Chain-Angriff auf die Trading-Software X_TRADER zurück. Ein 3CX-Mitarbeiter hatte die manipulierte Trading-Software installiert, und über dessen kompromittierten Rechner gelangten die Angreifer in die 3CX-Infrastruktur. Von dort aus wurden rund 600.000 Unternehmen weltweit gefährdet, die das 3CX-VoIP-System nutzen. Details in unserem Schadenbeispiel zu 3CX.
CCleaner (2017) traf Millionen von Privatanwendern. Das beliebte Bereinigungstool wurde kompromittiert, und die offizielle Download-Version enthielt eine Backdoor. Über 2,27 Millionen Nutzer installierten die infizierte Version. Besonders brisant: Die Angreifer hatten es auf eine Handvoll großer Tech-Unternehmen abgesehen und nutzten die breite CCleaner-Verteilung als Filter, um gezielt in deren Netzwerke einzudringen. Mehr dazu in unserem Schadenbeispiel zu CCleaner.
Wie schützt Deep Freeze davor?
Supply-Chain-Angriffe sind deshalb so gefährlich, weil sie alle klassischen Sicherheitsmaßnahmen umgehen – Virenscanner, Firewalls, sogar gesundes Misstrauen. Die Schadsoftware kommt über einen vertrauenswürdigen Kanal und nistet sich tief im System ein.
Deep Freeze bietet hier einen entscheidenden Vorteil: Da die Systemfestplatte bei jedem Neustart auf den eingefrorenen Zustand zurückgesetzt wird, kann sich auch über ein kompromittiertes Update eingeschleuste Malware nicht dauerhaft festsetzen. Die Backdoor, die durch das manipulierte Update installiert wurde, überlebt keinen Neustart. Die Angreifer verlieren ihren Zugang jedes Mal, wenn der Rechner neu gestartet wird.
Natürlich muss das kompromittierte Update selbst auch durch ein sauberes ersetzt werden – Deep Freeze schützt Dich vor den Folgen, gibt Dir aber die Zeit, das Problem ohne Panik zu lösen. Dein System bleibt funktionsfähig und sauber, während Du auf ein Sicherheitsupdate des Herstellers wartest.
Supply-Chain-Angriffe unterwandern Dein Vertrauen in Software-Hersteller und verwandeln legitime Updates in Waffen. Mit einer eingefrorenen Systempartition sorgst Du dafür, dass selbst ein kompromittiertes Update keinen dauerhaften Schaden anrichten kann – jeder Neustart ist ein Reset auf den sicheren Zustand.