Anzeige

Cyberangriff

Mit bis zu 1.500 betroffenen Unternehmen zählt der durch eine Sicherheitslücke beim Software-Anbieter Kaseya verursachte Coup der Cybercrime-Bande REvil zu den spektakulärsten Angriffen in den vergangenen Wochen.

Er zeigt erneut, welches Potenzial in Ransomware as a Service (RaaS) und Lieferkettenangriffen steckt. Steffen Ullrich ist Sicherheitsforscher beim deutschen IT-Security-Hersteller genua. Im Interview benennt er Ursachen und Gegenstrategien die Unternehmen künftig auf dem Radar haben müssen.

Herr Ullrich, wie können Gruppen wie REvil so erfolgreich sein, obwohl die Gefahr von Cyber-Angriffen den meisten Unternehmen bewusst sein dürfte?

Steffen Ullrich: Selbst wenn Unternehmen beim Thema IT-Sicherheit vorbildlich agieren, deckt das nicht alle Eventualitäten ab. Immer mehr Features und vernetzte Technologien sorgen für eine hohe Komplexität in der IT-Infrastruktur. Diese wird selbst für erfahrene Entwickler, Administratoren und Anwender schwer beherrschbar. Ergo nimmt sowohl die Angriffsfläche für Cyber-Attacken als auch die Wahrscheinlichkeit von Fehlern zu – wodurch sich den Angreifern wiederum mehr Erfolgschancen eröffnen. Es ist offensichtlich, dass die überbordende Komplexität ein ernstzunehmender Feind ist.

Cyber-Kriminelle agieren strategisch und operativ immer professioneller. Auf welche Ziele konzentrieren sich solche Organisationen?

Steffen Ullrich: Die Supply Chain rückt immer mehr in den Fokus der Angreifer. Die heutigen hochvernetzten Systeme aus IT-Infrastruktur und Prozessleit- sowie Automatisierungstechnik integrieren Lösungen von vielen Herstellern. Außerdem wird immer mehr Infrastruktur, Hardware und Software von spezialisierten Dienstleistern betrieben oder die eigene IT-Sicherheit ausgelagert. Eine Kompromittierung dieser Zulieferer durch Sicherheitslücken in ihren Produkten oder Prozessen ermöglicht es Angreifern, bei einer Vielzahl von Kunden in die IT-Netzwerke einzudringen. Damit sind Kriminelle nicht auf ein erfolgreiches Phishing oder die Nachlässigkeit der einzelnen Unternehmen angewiesen, sondern können sich, wie im aktuellen Kaseya VSA-Fall, eine über den Zulieferer vorhandene Präsenz im Netz des Unternehmens zunutze machen.
 

 

Wie lässt sich diesen unsichtbaren Feinden begegnen?

Steffen Ullrich: Mit Blick auf die Komplexität ist ein guter Anfang, eine einfache Regel zu befolgen: KISS! Also, Keep It Simple, Stupid! Das bedeutet, sich auf die wirklich notwendigen Produkte und Features zu beschränken sowie auf einfache, klare, gut dokumentierte Schnittstellen und Prozesse zu achten. Dies hilft auch dabei, die IT-Sicherheit nach dem Prinzip ‚Security by Design‘ zu gestalten und eine höhere Robustheit sowie Resilienz zu erreichen.

Fundierte, unabhängige Beurteilungen und Analysen, zum Beispiel durch das BSI, können das Vertrauen in IT-Security-Lösungen signifikant stärken. Sie erhöhen auch den Druck auf Zulieferer bezüglich Qualität, Zuverlässigkeit und Sicherheit, sowohl mit Blick auf Produkte und Dienstleistungen als auch auf interne Arbeitsprozesse und Infrastrukturen. Entsprechend sollte man bei der Auswahl von IT-Security-Anwendungen und Dienstleistungen auf Zertifizierungen und Zulassungen achten.

Hinzu kommen eine gute Kontrolle darüber, was im eigenen Netz passiert sowie eine frühzeitige Schadensbegrenzung. Beispielsweise kann eine restriktive Fernwartung anstatt einer Netzkoppelung bereits einen hohen Schutz gegen eine kompromittierte Infrastruktur beim Dienstleister bieten. Zusammen mit Video-Aufzeichnungen und Logging ermöglicht sie es im Schadensfall, die Auswirkungen schnell zu beurteilen. Eine solide Segmentierung und Mikrosegmentierung wiederum schränkt die Bewegungsfreiheit eines Angreifers im Netzwerk deutlich ein und reduziert dessen Ausbreitung sowie die verursachten Schäden.

Und wie schützen sich Unternehmen konkret gegen Supply-Chain-Angriffe?

Steffen Ullrich: Gegen die besonders perfiden Lieferkettenangriffe schützen sich Unternehmen, indem sie darauf achten, welche Dienstleister und 3rd-Party-Produkte sie auswählen und wie sie diese einsetzen. Die Supply Chain muss insgesamt stärker in die Risikobetrachtung einbezogen werden. Das bedeutet, es sollten potenzielle Schäden betrachtet und Mitigationsmaßnahmen zur Schadensbegrenzung entwickelt werden. 

Zertifizierungen und Zulassungen können das Vertrauen in die Fähigkeiten der Zulieferer unterstützen. Zu einer soliden IT-Security-Strategie gehört aber auch, die potenziell zusätzlichen Einfallstore durch Dienstleister proaktiv zu beschränken. Im Falle der Lücke in MS Exchange (ProxyLogon) bedeutete dies zum Beispiel, einen VPN-Zugang zu nutzen, statt MS Exchange direkt zum Internet zu exponieren. Ein ergänzender Lösungsweg war in diesem Fall die Abgrenzung vom internen Netzwerk über Segmentierung und Mikrosegmentierung.

 
 
Steffen Ullrich, Softwareentwickler und Sicherheitsforscher
Steffen Ullrich
Softwareentwickler und Sicherheitsforscher, genua GmbH

Weitere Artikel

Hacker

Hacker zielen verstärkt auf kritische Infrastrukturen

Kritische Infrastrukturen (KRITIS) sind für das reibungslose Funktionieren unserer Gesellschaft und Wirtschaft unerlässlich. Da diese Strukturen hochsensibel sind, stellen sie für Cyberkriminelle ein ganz besonderes Ziel dar und sie unternehmen große…
Ransomware

Die Ransomware-Krise braucht einen globalen Lösungsansatz

Ransomware hat sich mittlerweile zu einem globalen Problem entwickelt. Cyberkriminelle Gruppen operieren von Ländern aus, die ihnen einen sicheren Unterschlupf bieten und es ihnen ermöglichen, sogar raffinierteste Angriffe zu starten. Um eine Eskalation zu…
Facebook Hacker

Spionagekampagne gegen Kurden durch hinterhältige Facebook-Posts

ESET-Forscher haben eine mobile Spionagekampagne untersucht, die sich gezielt gegen Kurden richtet. Die Operation läuft mindestens seit März 2020 und verbreitet sich über spezielle Facebook-Profile. Hierüber werden zwei Android-Backdoors verteilt, die als 888…
Ransomware

Großteil der Unternehmen zweifelt an eigener Ransomware-Resilienz

Anhaltende Cyberbedrohungen und neue Technologien wie Cloud-native Anwendungen, Kubernetes-Container und Künstliche Intelligenz stellen Unternehmen weltweit bei der Datensicherung vor große Herausforderungen. Das zeigt der Dell Technologies 2021 Global Data…
Hacker E-Mail

E-Mail-Account gehackt – Was nun?

Was tun, wenn man die Kontrolle über das E-Mail-Konto verloren hat? Wie sollte man sich im Fall der Fälle verhalten und welche Maßnahmen sollten ergriffen werden, um den Schaden eines gehackten E-Mail-Accounts so gering wie möglich zu halten.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.