:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Kaseya und Solarwinds: Lieferketten-Security Ransomware-Attacken: Die Trutzburg ist keine Lösung
Viele Unternehmen setzen auf die Cloud und Managed Services. Nach den jüngsten Angriffen stellt sich die Frage, wie man Schaden abwenden kann, welche Vorsorgemaßnahmen sinnvoll sind und warum der Gedanke, sich wieder ganz in die eigenen Wände zurückzuziehen, vielleicht keine ganz so gute Idee ist.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
„Das Schlimmste wäre, wieder zurück in die lokale Trutzburg zu gehen", erteilt Thomas Uhlemann, Security Evangelist bei Eset einer möglichen Reaktion auf die REvil-Attacke eine klare Absage. Denn schließlich gibt es ja meist handfeste Gründe, auf die Cloud und MSP-Angebote zu setzen. Der Fachkräftemangel ist einer davon, ein anderer sicherlich der sich schnell entwickelnde Security-Markt. Aktuelle Patches einspielen, für Updates sorgen – viele dieser Dinge können mittelständische Kunden, deren Brot-und-Butter-Geschäft nicht in der IT verortet ist, nicht aus eigener Kraft leisten.
Wir hatten hierzulande das Glück, dass am Freitag Abend bereits viele Server heruntergefahren waren.
Dass die Attacke für deutsche Unternehmen und Managed Service Provider wohl ziemlich glimpflich abging, hängt nach Meinung von Uhlemann auch mit dem Timing zusammen. „Wir hatten hierzulande das Glück, dass am Freitag Abend bereits viele Server heruntergefahren waren." Dadurch wurde die Ransomware schlicht nicht mehr automatisch verteilt. „Wir empfehlen Unternehmen, die die IT-Management-Software von Kaseya einsetzen, potenziell betroffene VSA-Server herunterzufahren. Sollten diese befallen sein, kappt die Ransomware die administrativen Zugänge und verschlüsselt die Daten. Das Vorgehen der Hacker ähnelt dem beim SolarWinds-Vorfall, jedoch haben es die Angreifer im aktuellen Fall eher auf finanzielle Gewinne abgesehen.“
Eine erste Angriffs-Statistik
Eine erste Statistik von Kaspersky zeigt die weltweite Verteilung der Angriffsversuche. Bis zum Abend des 5. Juni 2021 zählten die Forscher über 5.000 Infektionsversuche in Europa, Nord- und Südamerika. Die meisten Angriffsversuche waren in den folgenden fünf Ländern zu verzeichnen:
- Italien (45,2 Prozent),
- den USA (25,9 Prozent),
- Kolumbien (14,8 Prozent),
- Deutschland (3,2 Prozent) und
- Mexiko (2,2 Prozent).
Weltweit sind wohl zwischen 800 und 1.500 Firmen in 17 Ländern betroffen, räumte der Vorstandsvorsitzende von Kaseya, Fred Voccola, gegenüber der Nachrichtenagentur Reuters ein, darunter auch einige in Deutschland, wie das BSI mitteilt. „Auch in Deutschland sind IT-Dienstleister und weitere Unternehmen betroffen. Nach aktuellem Kenntnisstand wurden mehrere Tausend IT-Geräte verschlüsselt. Kritische Infrastrukturen oder die Bundesverwaltung sind nach derzeitiger Kenntnis nicht betroffen.“
BSI-Präsident Arne Schönbohm: „Der Vorfall zeigt, wie intensiv die globale Vernetzung in der Digitalisierung voranschreitet und welche Abhängigkeiten dabei entstehen. Bei dem aktuellen Angriff wurde Ransomware über jedes Glied einer Software-Lieferkette ausgerollt. Das zeigt deutlich: Lieferketten müssen auch unter dem Aspekt der IT-Sicherheit in den Fokus rücken. Ransomware ist derzeit als eine der größten Bedrohungen für die IT von Unternehmen und Organisationen einzuschätzen. Bei erfolgreichen Angriffen werden Dienstleistungen und Produktion häufig zum Stillstand gebracht. Die Schäden für Betroffene sind daher oftmals enorm."
Schneeball-Effekt
Mit minimalem Aufwand möglichst hohen Schaden anzurichten, ist das erklärte Ziel von Hackern und derartigen Supply-Chain-Attacken. Ein Angriff auf ein System wie das von Kaseya die logische Konsequenz. Da viele MSP dieses einsetzen, kann ein Schneeball-Effekt entstehen. Während Kaseya von rund 50 eigenen Kunden spricht, die von der Attacke betroffen waren, sind wiederum zahlreiche von deren Kunden betroffen. In Summe kommt man damit auf die oben genannten 800 bis 1.500 Unternehmen, die nach jetzigem Stand mit der Ransomware konfrontiert sind und zu Lösegeldzahlungen aufgefordert werden, um ihre Daten wieder entschlüsseln zu können.
Ulrich Mertz, Geschäftsführer von Rangee, einem Unternehmen, das bewusst nicht auf die Cloud setzt, bedauert daher, dass „die jahrelang zuverlässig funktionierende Offline-Lösung, die sicher hinter der Firewall agiert, zuletzt leider aus der Mode gekommen ist.“ Er zieht daraus die Schlussfolgerung: „Diese ‚Überall-verfügbar-Technik‘ ist ein attraktives Ziel für Cyberkriminelle und zieht schnell unerwünschte Besucher an. Unternehmen sind daher gut beraten, bei jedem Management-Dienst, der weltweit bereitgestellt wird, genau zu überlegen, ob er tatsächlich einen Mehrwert liefert – oder ob die Offline-Lösung mit denselben Funktionen nicht vielleicht doch wertvoller ist, weil sie passive Sicherheit bietet.“
Diese Überlegung anzustellen ist sicherlich sinnvoll, in vielen Fällen aber eben keine echte Option. Ist also derjenige, der auf die Cloud und MSP setzt, automatisch gefährdeter? Und: Wie lassen sich Sicherheitsrisiken minimieren?
So erhöht man den Schutz
Uhlemann hat darauf eine ganz klare Antwort: „Die Etablierung von Zero-Trust-Modellen ist unerlässlich. Dazu sollte sich auch immer eine Verhaltensprüfung gesellen." Im Falle der aktuellen REvil-Attacke hat diese auch angeschlagen. „Unsere Systeme haben noch vor dem Alarm durch Kaseya Anomalitäten festgestellt, auf die unsere Kunden dann auch umgehend reagieren konnten", erläutert er.
In eine ähnliche Kerbe schlägt auch Kaspersky. Der Anbieter sieht ebenfalls die Etablierung von Systemen für Endpoint Detection and Response als wichtiges Schutzelement.
Darüber hinaus gibt er folgende Empfehlungen:
- Remote-Desktop-Dienste nicht in öffentlichen Netzwerken freigeben, es sei denn, dies ist unbedingt erforderlich. Hierfür sollten stets starke Passwörter verwendet werden.
- Umgehend verfügbare Patches für kommerzielle VPN-Lösungen installieren, die Remote-Mitarbeitern Zugriff bieten und als Gateways in das Netzwerk fungieren.
- Software auf allen verwendeten Geräten immer auf dem neuesten Stand halten, um zu verhindern, dass Ransomware Sicherheitslücken ausnutzt.
- Bei der Verteidigungsstrategie auf die Erkennung von seitlichen Bewegungen und die Datenexfiltration ins Internet konzentrieren. Dabei sollte vor allem auf den ausgehenden Datenverkehr geachtet werden, um Verbindungen von Cyberkriminellen zu erkennen.
- Daten regelmäßig durch Backups sichern, damit im Notfall bei Bedarf schnell darauf zugegriffen werden kann.
- Stets Zugriff auf aktuelle Threat-Intelligence-Daten haben, um die tatsächlichen TTPs zu kennen, die von Bedrohungsakteuren verwendet werden.
- Mitarbeiter regelmäßig in Cybersicherheit schulen
Perfide Masche
Dass das Abfangen derartiger Attacken nicht einfach ist, verdeutlicht auch ein Statement des Security-Anbieters Sophos, das dieser im Juni veröffentlichte: „REvil, auch bekannt als Sodinokibi, ist ein ausgereiftes und weit verbreitetes Ransomware-as-a-Service (RaaS) Angebot. Kriminelle Kunden können die Ransomware von den Entwicklern leasen und mit eigenen Parametern versehen auf den Computern ihrer Opfer platzieren. Der jeweilige Ansatz und die Auswirkungen eines Angriffs mit REvil-Ransomware sind somit sehr variabel und hängen von den Tools, Verhaltensweisen, Ressourcen und Fähigkeiten des Angreifers ab, der die Malware mietet.“
Ähnlich äußert sich Dr. Bernd Rohleder vom Bitkom: „Mit der jüngsten Attacke auf das IT-Unternehmen Kaseya wird eine besonders perfide Masche genutzt, um Unternehmen in aller Breite zu attackieren.“ Der Branchenverband vermutet, dass durch Sabotage, Datendiebstahl oder Spionage der deutschen Wirtschaft bereits 2019 ein Gesamtschaden von über 100 Milliarden Euro entstanden ist. „Viele Unternehmen sind durch die Pandemie und den ungeplanten Umzug ins Homeoffice anfälliger für Internetkriminalität geworden. Wir gehen davon aus, dass die Schadenssummen und die Zahl betroffener Unternehmen 2020 deutlich über dem Niveau des Vorjahres liegen.“
Für die Daten ist man selbst verantwortlich
Eric Waltert, Regional Vice President DACH bei Veritas: „Die Ransomware-Attacke auf Kaseya VSA führt schmerzhaft vor Augen, dass Unternehmen drei verschiedene Arten von Daten sicher im Blick haben sollten, um sich vor Cyberattacken zu schützen: Daten, die ihnen gehören und die sie selbst hosten; Daten, die ihnen gehören und die für sie gehostet werden und Daten, die ihnen zwar nicht gehören, auf die sie aber für den Erfolg ihres Unternehmens angewiesen sind.“
Zu wenige Unternehmen wissen, laut Waltert, „dass sie selbst dafür verantwortlich sind, ihre Daten in der Cloud und ihrem SaaS-Dienst zu sichern. Stattdessen meinen sie irrtümlicherweise, dass die Dienstleister dies für sie übernehmen. Zudem müssen Unternehmen für all jene Daten, auf die sie angewiesen sind, Druck auf ihre Zuliefererkette ausüben und als Teil ihrer Auftragsverhandlungen verlangen, dass die Anbieter in der Lage sind, höchsten Datenschutz zu liefern“.
Die Sicherheit von Lieferketten ist ebenfalls ein dringendes Anliegen von Uhlemann. „Beim Lieferkettengesetz spielt Security bislang eine untergeordnete Rolle. Das muss sich ändern", drängt er.
(ID:47539727)
:quality(80)/p7i.vogel.de/wcms/ec/8d/ec8d48043c61c55c45e1184eb47dc4ee/0111445864.jpeg "Lookout kündigt Mobile Endpoint Security für MSSPs an. (Bild: Wesley JvR/peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/8b/9f8b72f3ec7ab3838d3552d27b01be93/0114629846.jpeg "Die gefährlichste Cyberbedrohung in Deutschland ist Ransomware. Dabei werden häufig nicht nur Daten verschlüsselt, sondern auch geklaut. (Bild: gankevstock - stock.adobe.com)")