Aktuelles, Branche - geschrieben von dp am Freitag, Juli 9, 2021 19:45 - noch keine Kommentare
Kaseya als Fanal: Unternehmen sollten Security-Strategie auf moderne Angriffstechniken abstellen
Richard Werner erläutert am Beispiel des Kaseya-Vorfalls Besonderheiten eines Supply-Chain-Angriffs
[datensicherheit.de, 09.07.2021] Innerhalb eines halben Jahres hat sich, nach der „Sunburst“-Attacke auf Solarwinds, jetzt mit dem Angriff auf Kaseya offensichtlich bereits der zweite aufsehenerregende Supply-Chain-Schadensfall ereignet. Die Tatsache, dass dieser Angriff am Wochenende des 4. Juli (einem der wichtigsten Feiertage der USA) stattfand, spricht für ein sorgfältiges Kalkül der Täter. Ausgehend von der Anzahl parallel betroffener Unternehmen, ist diese Cyber-Attacke sicherlich eine der größten in der bisherigen Geschichte der IT-Security. „In der noch relativ seltenen, aber immer häufiger auftretenden Kategorie des ‚Supply-Chain-Angriffs‘ infiziert der Täter zunächst IT-Dienstleister. Diese sind deshalb so interessant, weil sie zu anderen Unternehmen stehende oder aktivierbare IT-Verbindungen unterhalten“, erläutert Richard Werner, „Business Consultant“ bei Trend Micro, in seinem Kommentar zur Kaseya-Krise. Der Täter könne sich dann quasi unerkannt im System bewegen und das Opfer extrem schnell ausschalten. Supply-Chain-Angriffe seien im Verhältnis selten, „weil sie für einen Angreifer kompliziert und mit hohem Aufwand verbunden sind“ – ihre Wirkung sei allerdings oft fatal.
Richard Werner: Supply-Chain-Angriffe noch im Verhältnis selten, weil kompliziert und aufwändig – allerdings oft mit fataler Wirkung
Weltweit wohl etwa 1.500 Unternehmen vom Kaseya-Vorfall betroffen
Werner rekapituliert den Vorfall: „Am Wochenende des 4. Juli, dem Nationalfeiertag der USA, traf eine Cyber-Attacke den Service-Provider Kaseya und breitete sich rasch auf dessen Kunden und weitere Unternehmen aus. Laut der News-Plattform ,Bleepingcomputer‘ waren etwa 50 direkte Kunden des Anbieters betroffen, die als Service-Provider wiederum ihre Kunden infizierten.“
Weltweit, so die News-Agentur, seien wohl etwa 1.500 Unternehmen betroffen. Trend Micro könne zudem bestätigen, dass es auch in Deutschland Vorfälle gegeben habe. Werner führt aus: „Die Tatsache, dass der Angriff an einem der wichtigsten Feiertage der USA stattfand, ist kein Zufall, sondern sorgfältiges Kalkül der Täter – das aufging. Nicht nur, dass IT-Security-Teams an Wochenenden und Feiertagen grundsätzlich unterbesetzt sind, auch die Kommunikationsketten zu den betroffenen Kunden waren unterbrochen, so dass sich der Angriff vielfach ungehindert ausbreiten konnte.“
Auch Angriff auf Kaseya begann mit einer Sicherheitslücke
Gehe man von der Anzahl parallel betroffener Unternehmen aus, so sei diese Cyber-Attacke sicherlich eine der größten in der Geschichte der IT-Security. „Zerlegt man sie in ihre Einzelteile, so drängen sich allerdings viele Parallelen zu anderen Angriffen auf. Aus dem groben, sich wiederholenden Schema können Unternehmen für ihre Infrastruktur einige wissenswerte Lehren ziehen“, erläutert Werner:
Auffällig beim Kaseya-Fall sei, „dass eine Sicherheitslücke in der Software verwendet wurde, die zum Zeitpunkt der Tat dem Hersteller bekannt war und deren Schließung sich bereits in der Beta-Phase befand“. Den Angreifern sei demnach nicht mehr viel Zeit verblieben, um erfolgreich zu sein. Der Service-Provider sei über „responsible disclosure“ auf das Vorhandensein der Schwachstelle aufmerksam gemacht worden und habe an der Schließung gearbeitet. Ungewöhnlich sei der zeitliche Zusammenhang dennoch und lasse Raum für Interpretationen. „Zwar ist die Patch-Problematik in der IT-Security weit bekannt, jedoch sollten Unternehmen im Hinterkopf behalten, dass Angreifer nicht nur bei Microsoft oder anderen weit verbreiteten Software-Varianten nach Schwachstellen suchen, sondern auch in der Software von IT-Dienstleistern.“ Dabei stünden insbesondere in direkter Kommunikation mit mehreren Kundengeräten stehende Applikationen im Fokus. Werner rät: „Betreibt man eigene Softwareentwicklung, muss dieser Umstand ebenfalls Teil der Risikokalkulation sein.“
Besonderheiten eines Supply-Chain-Angriffs wie z.B. auf Kaseya
Der gesamte Vorfall lasse sich in die Kategorie „Supply-Chain-Angriff“ einordnen. In dieser noch relativ seltenen, aber immer häufiger auftretenden Kategorie infiziere der Täter zunächst IT-Dienstleister. „Diese sind deshalb so interessant, weil sie zu anderen Unternehmen stehende oder aktivierbare IT-Verbindungen unterhalten. Betroffen sind beispielsweise Update-Mechanismen, die direkt Aktualisierungen in fremden Systemen durchführen, aber auch Fernwartungssysteme, Auftragsverarbeitungen und Ähnliches.“ Dies habe zur Folge, dass die Täter in der Lage seien, eine Maschine, in der Regel einen Server, im Rechenzentrum des Opfers zu übernehmen. Im Gegensatz zu „klassischen“ Angriffen würden dabei die gesamte Netzwerksicherheit sowie client-basierte Sicherheitslösungen umgangen. „Übrig bleibt, was auf den Serversystemen aktiviert ist und die Kommunikationen zwischen Serversystemen überwacht.“
Gerade in On-Premises-Rechenzentren sei das sehr häufig veraltete Antivirus-Technologie. Zudem fehlten oft wichtige Sicherheitspatches – „für den Fall, dass es sich überhaupt um supportete Betriebssysteme handelt“. Dieser Umstand sorge dafür, dass der Täter das finale Opfer oft extrem schnell ausschalten und sich quasi unerkannt in Systemen bewegen könne. Je größer der initiale Schaden, desto besser für den Angreifer, da dadurch enormer Druck aufgebaut werden könne. Das spezielle Angebot von Kaseya habe den Kriminellen die Möglichkeit geboten, nicht nur direkt Unternehmen, sondern auch deren Kunden zu erreichen. Dies erkläre die im Verhältnis große Zahl der Opfer. Supply-Chain-Angriffe seien indes im Verhältnis selten, „weil sie für einen Angreifer kompliziert und mit hohem Aufwand verbunden sind“. Ihre Wirkung sei allerdings oft fatal, warnt Werner.
Unternehmen sollten ihre Lehren aus Kaseya-Attacke ziehen
Wichtig sei zu verstehen, dass es sich hier nicht um eine vorübergehende Welle handele. In der sich aktuell stark verändernden IT-Sicherheitslandschaft seien in vielen Fällen äußere Faktoren für die aktuelle Situation verantwortlich. Zu diesen zählten der Stellenwert der IT in Unternehmen, der allgemeine Umgang mit IT durch Mitarbeiter sowie das Aufkommen von „Bitcoin“. Während die ersten beiden dazu beitrügen, dass die IT und damit vor allem die IT-Security in Unternehmen immer komplexer und damit unübersichtlicher würden, habe das Entstehen von sogenannten Kryptowährungen tatsächlich den Cyber-Untergrund revolutioniert.
Dies erlaube den Protagonisten im Untergrund eine zunehmende Spezialisierung und den uneingeschränkten Handel untereinander. Werner stellt klar: „Alle drei Faktoren lassen sich nicht mehr umkehren.“ Die angesprochene Komplexität werde damit zunehmend zur Belastung der Verteidiger – was sowohl im übertragenem als auch im rein zwischenmenschlichen Miteinander für Probleme sorge. „Unternehmen müssen deshalb Ihre aktuelle Security-Strategie auf moderne Angriffstechniken prüfen. Das Beispiel von Kaseya kann dabei helfen“, unterstreicht Werner abschließend.
Weitere Informationen zum Thema:
blog.trendmicro.de
Supply Chain-Angriffe im Cloud Computing vermeiden
datensicherheit.de, 08.07.2021
Kaseya-Vorfall zeigt Notwendigkeit der Netzwerküberwachung auch in KMU / Angreifer missbrauchten offenbar Zero-Day-Schwachstelle in Unified-Management-Software VSA von Kaseya
TREND MICRO, 04.07.2021
IT Management Platform Kaseya Hit With Sodinokibi/REvil Ransomware Attack
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren