SECURITY Cyberdefense & ID Protection Conference 2020 Neue Gefahren für Managed Service Provider

Von Candid Wüest

Anbieter zum Thema

Die Komplexität der IT-Infrastruktur, die wirtschaftlich schwierigen Zeiten und der Mangel an Ressourcen haben viele KMUs dazu bewogen sich an Managed Service Provider (MSPs) zu wenden, um ihnen mit der Flut von IT-Bedrohungen zu helfen. Dies macht es wiederum für Cyberkriminelle lukrativ MSPs direkt anzugreifen, um dann darüber an die Endkunden zu gelangen.

Mit steigender Populariträt von Managed Service Providern (MSP) wird es für Cyberkriminelle immer lukrativer MSPs direkt anzugreifen, um dann über bestehende Verbindungen an deren Kunden zu gelangen.
Mit steigender Populariträt von Managed Service Providern (MSP) wird es für Cyberkriminelle immer lukrativer MSPs direkt anzugreifen, um dann über bestehende Verbindungen an deren Kunden zu gelangen.
(Bild: gemeinfrei / Pixabay)

Acronis-Daten für Deutschland zeigen einen Anstieg der geblockten Cyber-Attacken von 29 Prozent vom letzten Quartal in 2019 gegenüber dem ersten Quartal in 2020. IT Bedrohungen wie E-Mail-Attacken, schwache Passwörter und gezielte Ransomware-Attacken mögen simpel erscheinen, können aber bei Vernachlässigung zu verheerenden Folgen führen.

Die häufigste Angriffsform: E-Mail-Attacken

E-Mails sind mengenmäßig nach wie vor das Angriffsmittel Nummer 1. Durch geschickte Social-Engineering-Nachrichten wird die Schwachstelle Mensch ausgenutzt. Hierzu werden verschiedene Tricks von den Angreifern angewendet. Die Emotet-Malware durchstöbert z.B. das E-Mail-Postfach von kompromittierten BenutzernInnen und antwortet dann täuschend echt auf bestehende Konversationen mit einem passenden Link zur Malware.

Es kann aber auch ohne Malware profitabel für die Angreifer sein. Die sogenannten Business-E-Mail Compromise (BEC) Schwindel richten laut FBI pro Jahr im Durchschnitt einen Schaden von 6.5 Mrd. US Dollar an. Bei der ursprünglichen Masche gibt sich der Angreifer in einem gefälschten E-Mail als Mitglied der Geschäftsleitung aus und überzeugt den Mitarbeiter unter einem Vorwand schnellstmöglich eine Transaktion durchzuführen oder Gutscheine zu kaufen. Das Geld landet natürlich bei den Cyberkriminellen. Aber auch gefälschte Rechnungen mit neuen IBAN-Daten sind eine beliebte Masche, gerade bei geknackten E-Mail-Konten.

Es ist somit wichtig einen guten E-Mail Schutz zu haben, welcher viele Angriffe bereits in dieser frühen Stufe abblocken kann. Wenn der Benutzer gar nicht erst die Chance erhält den infizierten Anhang zu öffnen, kann man sich viel Ärger ersparen.

Schwache Passwörter immer noch weitverbreitet

Schwache, leicht zu erratende Passwörter sind leider nach wie vor weitverbreitet. Hinzukommt, dass Benutzer ein und dasselbe Passwort für mehrere Dienste verwenden. Das wiederum hat zur Folge, dass wenn einer dieser Dienste geknackt wird, der Angreifer plötzlich Zugriff auf alle anderen Dienste erhält. Je nach Einsatz kann der Angreifer dann Phishing-E-Mails versenden, Passwörter zurücksetzen, Daten stehlen oder auf Online-Dienste zugreifen.

Es gab auch schon Vorfälle, bei welchen die Rechnungsvorlagen eines Dienstleisters im Online-Portal verändert wurden, so dass plötzlich die Kontonummer des Angreifers als Zielkonto aufgelistet war. Ähnlich wie bei BEC-Attacken fällt dies nur den wenigsten Kunden auf, alle anderen überweisen unwissentlich ihr Geld an die Kriminellen.

Eine Multi-Faktor-Authentifizierung und ein Passwort-Manager bringen hier zusätzliche Sicherheit. Als Service Provider ist eine sichere Authentifizierung der Kunden genauso wichtig, wie ein einfacher Passwort Reset-Prozess, welcher den Support nicht unnötig beansprucht.

Gezielte Ransomware Attacken auf dem Vormarsch

Ransomware-Attacken, welche die Daten von Benutzern verschlüsseln, und dann Lösegeld verlangen sind sehr profitabel und deshalb weiterhin hoch im Kurs. Im Mai wurden 31 Prozent der von Acronis in Europa geblockten Ransomware-Attacken in Deutschland registriert. Das bedeutet den unrühmlichen ersten Platz für Deutschland im EU-Raum. Mehr als ein Dutzend Ransomware-Gruppen wie Maze, Sodinokibi und Co. haben sich auf Attacken gegen Unternehmenskunden spezialisiert. Es geht aber längst nicht mehr nur um das Verschlüsseln von Daten, sondern vielmehr um den Datendiebstahl. So musste sich Travelex Anfang des Jahres mit 2.3 Mio. US Dollar freikaufen. Beim portugiesischen Energieriesen EDP wurden sogar 11 Mio. US-Dollar verlangt, damit die 10 TB an gestohlenen Daten nicht veröffentlicht werden. Doch auch Service-Dienstleister wie Cognizant stehen vermehrt im Fadenkreuz der Angreifer. Über den Service Provider können die Kunden angegriffen werden, eine neue Art der Supply Chain-Attacke.

In die manuell durchgeführten Attacken werden legitime Systemtools missbraucht (Living-off-the-Land) um z.B. vorhandene Backups zu löschen. Die Angreifer loggen sich auch gerne mit gestohlenen Passwörtern in die Provider Konsole ein, um so die Sicherheitssoftware komplett zu deinstallieren.

Es ist deshalb unerlässlich eine umfassende Schutzsoftware wie z.B. Acronis Cyber Protect einzusetzen, welche über traditionelles Backup oder Anti-Virus hinausgeht und die Digitale Präsenz auf den unterschiedlichen Stufen schützen kann.

Fazit

Die Bedrohungen sind vielseitig und die kreativen Angreifer nutzen die komplexen IT-Prozesse aus um an ihr Ziel zu gelangen. Es ist nur eine Frage der Zeit bis man angegriffen wird. Ein effizienter Daten- und System-Schutz ist deshalb unerlässlich um die Flut von Attacken rechtzeitig zu erkennen und zu neutralisieren, ohne dafür viel kostbare Ressourcen aufzuwenden.

Candid Wüest ist VP Cyber Protection Research bei Acronis.
Candid Wüest ist VP Cyber Protection Research bei Acronis.
(Bild: pascaluehli.com)

Über den Autor: Candid Wüest arbeitet als VP Cyber Protection Research bei Acronis und analysiert die Sicherheitslage im Internet. Er berät Unternehmen und Regierungen in IT Security Fragen. Davor war er mehr als 16 Jahre als Lead Threat Researcher im globalen Symantec Security Response Team tätig. Er besitzt einen Master in Informatik von der ETH Zürich und verschiedene Patente.

Security-Insider ist Mitveranstalter und Medienpartner der »SECURITY Cyberdefense & ID Protection Conference 2020«. Wenn Sie Candid Wüest und viele weitere interessante Speaker live erleben wollen, melden Sie sich hier zur virtuellen Konferenz oder zum Konferenztermin im September an:

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

► Zur Agenda & Anmeldung – SECURITY Cyberdefense & ID Protection Conference 2020

(ID:46646196)