Nach Hack auf Citrix: Kein Unternehmen der Welt ist gefeit vor Angriffen

Hinweise zu Schutzmaßnahmen

Ein Kommentar von Marc Schieder, CIO von DRACOON

[datensicherheit.de, 11.03.2019] Wie am vergangenen Wochenende bekannt wurde, ist das US-amerikanische Softwareunternehmen Citrix Opfer eines verheerenden Cyberangriffs geworden. Citrix ist unter anderem für die Abwicklung sensibler IT-Projekte für die Kommunikationsagentur des Weißen Hauses, das US-Militär, das FBI und viele amerikanische Unternehmen verantwortlich. Laut einem Blogeintrag des Security-Providers gelang es den Kriminellen offenbar, sich Zugriff auf das interne Netzwerk zu verschaffen und somit Zugang zu Geschäftsdokumenten zu erlangen. Dem Konzern selbst sei der Angriff zunächst nicht aufgefallen, sondern das FBI hatte in diesem Falle Alarm geschlagen.

Cyberkriminellen nutzten wahrscheinlich dem „Passwort Spraying“

Nach aktuellem Kenntnisstand ist der IT-Sicherheitsanbieter zweimal innerhalb der letzten Monate angegriffen worden: einmal im Dezember und erneut einmal am letzten Montag – so berichtete es die Firma Resecurity. Zu den Tätern gibt es bereits erste Informationen: Der Angriff sei wahrscheinlich von der iranischen Hackergruppe Iridium durchgeführt worden, die auch hinter einer Welle jüngster Cyberangriffe gegen zahlreiche Regierungsbehörden, Öl- und Gasunternehmen und andere Ziele stand. Bezüglich der Methodik bedienten sich die Cyberkriminellen wahrscheinlich dem „Passwort Spraying“. Bei dieser Vorgehensweise handelt es sich nicht um einen klassischen Brute-Force-Angriff, sondern es werden typische, weitverbreitete Passwörter ausprobiert, bis man schließlich auf den richtigen Code stößt und Zugang erhält. Häufig werden hier besonders naheliegende und unsichere Zugangsinformationen durchprobiert, wie etwa „Password.“ Auf diese Weise konnten die Angreifer wohl mehrere Mitarbeiter-Accounts kompromittieren und somit in das Netzwerk eindringen. Insgesamt wurden vermutlich zwischen sechs und zehn Terabyte Daten entwendet. Wie Citrix in seinem Blogpost zum Vorfall betont, gebe es derzeit keine Hinweise darauf, dass der Angriff Einfluss auf die Sicherheit der Produkte oder Dienste der Firma hat. Allerdings bestehe laut NBC News aufgrund der besonderen Datensensibilität der Citrix-Kunden das potenzielle Risiko, dass Hacker schließlich ihren Weg in US-Regierungsnetzwerke finden könnten, so die Meinung von Experten.

Bild: DRACOON

Marc Schieder, CIO von DRACOON

Kein Unternehmen sicher vor Cyberangriffen

Der Hackerangriff auf Citrix zeigt, dass auch Unternehmen aus dem Bereich IT-Sicherheit nicht vor dem Umstand geschützt sind, dass betriebsintern unsichere und extrem leicht zu ermittelnde Passwörter genutzt werden. Und genau das kann zu einer Kompromittierung einer großen Menge an kritischer Geschäftsdaten führen. Dies birgt eine Gefahr für den Betrieb selbst, aber auch für seine Kunden. Gerade jetzt müssen Unternehmen, völlig unabhängig, in welcher Branche sie tätig sind, verstärkt darauf achten, dass sie die Schulung ihrer Mitarbeiter und die hohen Sicherheitsstandards bezüglich der Zugangsinformationen auf keinen Fall vernachlässigen. Ich empfehle außerdem auch die Einführung einer Zweifaktor-Authentifizierung für das Login, so wird der Zugriff auf die Accounts um eine zusätzliche „Hürde“ erweitert.

Risiken für die IT-Sicherheit nicht vernachlässigen

Kein Unternehmen, egal ob Weltkonzern oder mittelständischer Betrieb, darf die Risiken für die IT-Sicherheit vernachlässigen – eine gute Absicherung ist keine einmalige Angelegenheit, sondern bedarf dem konstanten Monitoring der aktuellen Gefahren und Schulungen der Mitarbeiter über den Umgang damit. Abgesehen von internen Maßnahmen zum sicheren Passwortmanagement und anderen Sicherheitsstrategien können auch Softwarelösungen dabei helfen, das Security-Niveau zu erhöhen, beziehungsweise auf einem hohen Niveau zu halten. Bei der Implementierung einer neuen Lösung, etwa einer Lösung zum Dateiaustausch – aber auch anderen Arten von Software – sollte darauf geachtet werden, dass diese bereits mit besonders datenschutzfreundlichen Voreinstellungen versehen sind und die Themen Datensicherheit und -Schutz in die Entwicklung miteingeflossen sind. Die Konzepte „Privacy by design“ und „Privacy by default“ gehören seit einiger Zeit zu den am häufigsten diskutierten Themen, wenn es um den Schutz von Informationen geht. Sie bedeuten konkret nichts anderes als „Datenschutz durch Technikgestaltung“ sowie „Datenschutz durch datenschutzfreundliche Voreinstellungen.“ Spätestens seit diese Grundsätze sogar in der EU-DSGVO verankert wurden (Artikel 25), sind die Begriffe zurecht in aller Munde und bei der Wahl der richtigen Softwarelösungen sollten, beziehungsweise müssen, diese Kriterien unbedingt berücksichtigt werden.

Schutzniveau amheben

Insgesamt sorgen also sowohl organisatorische Maßnahmen, etwa zum sicheren Umgang mit Passwörtern, als auch ein besonderes Augenmerk auf Datensicherheit und -Schutz bei der Wahl von verwendeten Softwarelösungen dafür, das Schutzniveau im Unternehmen auf ein Maximum zu heben. Dabei ist es egal, ob es sich um einen Betrieb aus dem Bereich IT-Sicherheit handelt oder einer anderen Branche. Unterschätzen sollten Firmen die Gefahr auf ihre IT-Infrastruktur in keinem Fall.

Weitere Informationen zum Thema:

datensicherheit.de, 24.01.2019
Doxing: Einschätzung der Situation und Konsequenzen

datensicherheit.de, 08.09.2018
Datensicherheit: Filesharing mit Virenschutz