Kaseya und Solarwinds: Lieferketten-Security Ransomware-Attacken: Die Trutzburg ist keine Lösung

Autor: Sylvia Lösel

Viele Unternehmen setzen auf die Cloud und Managed Services. Nach den jüngsten Angriffen stellt sich die Frage, wie man Schaden abwenden kann, welche Vorsorgemaßnahmen sinnvoll sind und warum der Gedanke, sich wieder ganz in die eigenen Wände zurückzuziehen, vielleicht keine ganz so gute Idee ist.

Firmen zum Thema

Die Zugbrücke hochfahren und sich in den eigenen vier Wänden verschanzen: Security-technisch nicht immer eine sinnvolle Option
Die Zugbrücke hochfahren und sich in den eigenen vier Wänden verschanzen: Security-technisch nicht immer eine sinnvolle Option
(Bild: alexbuess – adobe.stock.com)

„Das Schlimmste wäre, wieder zurück in die lokale Trutzburg zu gehen", erteilt Thomas Uhlemann, Security Evangelist bei Eset einer möglichen Reaktion auf die REvil-Attacke eine klare Absage. Denn schließlich gibt es ja meist handfeste Gründe, auf die Cloud und MSP-Angebote zu setzen. Der Fachkräftemangel ist einer davon, ein anderer sicherlich der sich schnell entwickelnde Security-Markt. Aktuelle Patches einspielen, für Updates sorgen – viele dieser Dinge können mittelständische Kunden, deren Brot-und-Butter-Geschäft nicht in der IT verortet ist, nicht aus eigener Kraft leisten.

Wir hatten hierzulande das Glück, dass am Freitag Abend bereits viele Server heruntergefahren waren.

Thomas Uhlemann, Security Evangelist bei Eset

Dass die Attacke für deutsche Unternehmen und Managed Service Provider wohl ziemlich glimpflich abging, hängt nach Meinung von Uhlemann auch mit dem Timing zusammen. „Wir hatten hierzulande das Glück, dass am Freitag Abend bereits viele Server heruntergefahren waren." Dadurch wurde die Ransomware schlicht nicht mehr automatisch verteilt. „Wir empfehlen Unternehmen, die die IT-Management-Software von Kaseya einsetzen, potenziell betroffene VSA-Server herunterzufahren. Sollten diese befallen sein, kappt die Ransomware die administrativen Zugänge und verschlüsselt die Daten. Das Vorgehen der Hacker ähnelt dem beim SolarWinds-Vorfall, jedoch haben es die Angreifer im aktuellen Fall eher auf finanzielle Gewinne abgesehen.“

Eine erste Angriffs-Statistik

Eine erste Statistik von Kaspersky zeigt die weltweite Verteilung der Angriffsversuche. Bis zum Abend des 5. Juni 2021 zählten die Forscher über 5.000 Infektionsversuche in Europa, Nord- und Südamerika. Die meisten Angriffsversuche waren in den folgenden fünf Ländern zu verzeichnen:

  • Italien (45,2 Prozent),
  • den USA (25,9 Prozent),
  • Kolumbien (14,8 Prozent),
  • Deutschland (3,2 Prozent) und
  • Mexiko (2,2 Prozent).

Weltweit sind wohl zwischen 800 und 1.500 Firmen in 17 Ländern betroffen, räumte der Vorstandsvorsitzende von Kaseya, Fred Voccola, gegenüber der Nachrichtenagentur Reuters ein, darunter auch einige in Deutschland, wie das BSI mitteilt. „Auch in Deutschland sind IT-Dienstleister und weitere Unternehmen betroffen. Nach aktuellem Kenntnisstand wurden mehrere Tausend IT-Geräte verschlüsselt. Kritische Infrastrukturen oder die Bundesverwaltung sind nach derzeitiger Kenntnis nicht betroffen.“

BSI-Präsident Arne Schönbohm: „Der Vorfall zeigt, wie intensiv die globale Vernetzung in der Digitalisierung voranschreitet und welche Abhängigkeiten dabei entstehen. Bei dem aktuellen Angriff wurde Ransomware über jedes Glied einer Software-Lieferkette ausgerollt. Das zeigt deutlich: Lieferketten müssen auch unter dem Aspekt der IT-Sicherheit in den Fokus rücken. Ransomware ist derzeit als eine der größten Bedrohungen für die IT von Unternehmen und Organisationen einzuschätzen. Bei erfolgreichen Angriffen werden Dienstleistungen und Produktion häufig zum Stillstand gebracht. Die Schäden für Betroffene sind daher oftmals enorm."

Schneeball-Effekt

Mit minimalem Aufwand möglichst hohen Schaden anzurichten, ist das erklärte Ziel von Hackern und derartigen Supply-Chain-Attacken. Ein Angriff auf ein System wie das von Kaseya die logische Konsequenz. Da viele MSP dieses einsetzen, kann ein Schneeball-Effekt entstehen. Während Kaseya von rund 50 eigenen Kunden spricht, die von der Attacke betroffen waren, sind wiederum zahlreiche von deren Kunden betroffen. In Summe kommt man damit auf die oben genannten 800 bis 1.500 Unternehmen, die nach jetzigem Stand mit der Ransomware konfrontiert sind und zu Lösegeldzahlungen aufgefordert werden, um ihre Daten wieder entschlüsseln zu können.

Ulrich Mertz, Geschäftsführer von Rangee, einem Unternehmen, das bewusst nicht auf die Cloud setzt, bedauert daher, dass „die jahrelang zuverlässig funktionierende Offline-Lösung, die sicher hinter der Firewall agiert, zuletzt leider aus der Mode gekommen ist.“ Er zieht daraus die Schlussfolgerung: „Diese ‚Überall-verfügbar-Technik‘ ist ein attraktives Ziel für Cyberkriminelle und zieht schnell unerwünschte Besucher an. Unternehmen sind daher gut beraten, bei jedem Management-Dienst, der weltweit bereitgestellt wird, genau zu überlegen, ob er tatsächlich einen Mehrwert liefert – oder ob die Offline-Lösung mit denselben Funktionen nicht vielleicht doch wertvoller ist, weil sie passive Sicherheit bietet.“

Diese Überlegung anzustellen ist sicherlich sinnvoll, in vielen Fällen aber eben keine echte Option. Ist also derjenige, der auf die Cloud und MSP setzt, automatisch gefährdeter? Und: Wie lassen sich Sicherheitsrisiken minimieren?

So erhöht man den Schutz

Uhlemann hat darauf eine ganz klare Antwort: „Die Etablierung von Zero-Trust-Modellen ist unerlässlich. Dazu sollte sich auch immer eine Verhaltensprüfung gesellen." Im Falle der aktuellen REvil-Attacke hat diese auch angeschlagen. „Unsere Systeme haben noch vor dem Alarm durch Kaseya Anomalitäten festgestellt, auf die unsere Kunden dann auch umgehend reagieren konnten", erläutert er.

In eine ähnliche Kerbe schlägt auch Kaspersky. Der Anbieter sieht ebenfalls die Etablierung von Systemen für Endpoint Detection and Response als wichtiges Schutzelement.

Darüber hinaus gibt er folgende Empfehlungen:

  • Remote-Desktop-Dienste nicht in öffentlichen Netzwerken freigeben, es sei denn, dies ist unbedingt erforderlich. Hierfür sollten stets starke Passwörter verwendet werden.
  • Umgehend verfügbare Patches für kommerzielle VPN-Lösungen installieren, die Remote-Mitarbeitern Zugriff bieten und als Gateways in das Netzwerk fungieren.
  • Software auf allen verwendeten Geräten immer auf dem neuesten Stand halten, um zu verhindern, dass Ransomware Sicherheitslücken ausnutzt.
  • Bei der Verteidigungsstrategie auf die Erkennung von seitlichen Bewegungen und die Datenexfiltration ins Internet konzentrieren. Dabei sollte vor allem auf den ausgehenden Datenverkehr geachtet werden, um Verbindungen von Cyberkriminellen zu erkennen.
  • Daten regelmäßig durch Backups sichern, damit im Notfall bei Bedarf schnell darauf zugegriffen werden kann.
  • Stets Zugriff auf aktuelle Threat-Intelligence-Daten haben, um die tatsächlichen TTPs zu kennen, die von Bedrohungsakteuren verwendet werden.
  • Mitarbeiter regelmäßig in Cybersicherheit schulen

Perfide Masche

Dass das Abfangen derartiger Attacken nicht einfach ist, verdeutlicht auch ein Statement des Security-Anbieters Sophos, das dieser im Juni veröffentlichte: „REvil, auch bekannt als Sodinokibi, ist ein ausgereiftes und weit verbreitetes Ransomware-as-a-Service (RaaS) Angebot. Kriminelle Kunden können die Ransomware von den Entwicklern leasen und mit eigenen Parametern versehen auf den Computern ihrer Opfer platzieren. Der jeweilige Ansatz und die Auswirkungen eines Angriffs mit REvil-Ransomware sind somit sehr variabel und hängen von den Tools, Verhaltensweisen, Ressourcen und Fähigkeiten des Angreifers ab, der die Malware mietet.“

Ähnlich äußert sich Dr. Bernd Rohleder vom Bitkom: „Mit der jüngsten Attacke auf das IT-Unternehmen Kaseya wird eine besonders perfide Masche genutzt, um Unternehmen in aller Breite zu attackieren.“ Der Branchenverband vermutet, dass durch Sabotage, Datendiebstahl oder Spionage der deutschen Wirtschaft bereits 2019 ein Gesamtschaden von über 100 Milliarden Euro entstanden ist. „Viele Unternehmen sind durch die Pandemie und den ungeplanten Umzug ins Homeoffice anfälliger für Internetkriminalität geworden. Wir gehen davon aus, dass die Schadenssummen und die Zahl betroffener Unternehmen 2020 deutlich über dem Niveau des Vorjahres liegen.“

Für die Daten ist man selbst verantwortlich

Eric Waltert, Regional Vice President DACH bei Veritas: „Die Ransomware-Attacke auf Kaseya VSA führt schmerzhaft vor Augen, dass Unternehmen drei verschiedene Arten von Daten sicher im Blick haben sollten, um sich vor Cyberattacken zu schützen: Daten, die ihnen gehören und die sie selbst hosten; Daten, die ihnen gehören und die für sie gehostet werden und Daten, die ihnen zwar nicht gehören, auf die sie aber für den Erfolg ihres Unternehmens angewiesen sind.“

Zu wenige Unternehmen wissen, laut Waltert, „dass sie selbst dafür verantwortlich sind, ihre Daten in der Cloud und ihrem SaaS-Dienst zu sichern. Stattdessen meinen sie irrtümlicherweise, dass die Dienstleister dies für sie übernehmen. Zudem müssen Unternehmen für all jene Daten, auf die sie angewiesen sind, Druck auf ihre Zuliefererkette ausüben und als Teil ihrer Auftragsverhandlungen verlangen, dass die Anbieter in der Lage sind, höchsten Datenschutz zu liefern“.

Die Sicherheit von Lieferketten ist ebenfalls ein dringendes Anliegen von Uhlemann. „Beim Lieferkettengesetz spielt Security bislang eine untergeordnete Rolle. Das muss sich ändern", drängt er.

(ID:47539727)

Über den Autor

 Sylvia Lösel

Sylvia Lösel

Chefredakteurin IT-BUSINESS, Vogel IT-Medien