Kommentar von Richard Werner, Business Consultant bei Trend Micro
Am Wochenende des 4. Juli, dem Nationalfeiertag der USA, traf eine Cyberattacke den Service-Provider Kaseya und breitete sich rasch auf Kunden und weitere Unternehmen aus. Laut der News-Plattform Bleepingcomputer fielen etwa 50 direkte Kunden des Anbieters der Attacke zum Opfer, die als Service-Provider wiederum ihre eigenen Kunden infizierten. Weltweit, so die Newsagentur, sind wohl etwa 1.500 Unternehmen betroffen. Auch Trend Micro kann bestätigen, dass es auch in Deutschland Vorfälle gab.Der gewählte Zeitpunkt des Angriffs, nämlich einer der wichtigsten Feiertage der USA, ist kein Zufall, sondern Kalkül der Täter, und das ging auf. Nicht nur, dass IT-Security-Teams an Wochenenden und Feiertagen grundsätzlich unterbesetzt sind, auch die Kommunikationsketten zu den betroffenen Kunden waren unterbrochen, so dass sich der Angriff vielfach ungehindert ausbreiten konnte. Geht man von der Anzahl gleichzeitig betroffener Unternehmen aus, ist die Cyberattacke sicherlich eine der größten in der Geschichte der IT-Security. Zerlegt man ihn in seine Einzelteile, so drängen sich allerdings viele Parallelen zu anderen Angriffen auf. Aus dem sich wiederholenden Schema können Unternehmen für ihre Infrastruktur einige wertvolle Lehren daraus ziehen:
Alles beginnt mit der Sicherheitslücke
Beim Fall „Kaseya“ fällt auf, dass die Cyberkriminellen eine Sicherheitslücke in der Software ausnutzten, die zum Zeitpunkt der Tat dem Softwarehersteller bekannt war und deren Schließung sich bereits in der Beta-Phase befand. Den Angreifern blieb demnach nicht mehr viel Zeit, wollten sie erfolgreich sein. Kaseya ist hier jedoch keine Schuld vorzuwerfen: Der Service-Provider wurde über sogenanntes „Responsible Disclosure“ auf das Vorhandensein der Schwachstelle aufmerksam gemacht und arbeitete an der Schließung. Ungewöhnlich ist der zeitliche Zusammenhang dennoch und lässt Raum für Interpretationen. Zwar ist die Patch-Problematik in der IT-Security weit bekannt, jedoch sollten Unternehmen im Hinterkopf behalten, dass Angreifer nicht nur bei Microsoft oder anderen weit verbreiteten Software-Varianten nach Schwachstellen suchen, sondern auch in der Software von IT-Dienstleistern. Dabei stehen insbesondere Applikationen im Fokus, die in direkter Kommunikation mit mehreren Kundengeräten stehen. Betreibt man eigene Softwareentwicklung, muss dieser Umstand ebenfalls Teil der Risikokalkulation sein. Auch ist es unter Umständen eine Überlegung wert, eine Schwachstelle übergangsweise mithilfe von virtuellem Patching zu schützen.
Die Besonderheiten eines Supply-Chain-Angriffes
Der gesamte Vorfall lässt sich weitestgehend in die Kategorie „Supply-Chain“-Angriff einordnen. Bei dieser Art von Angriffen infiziert der Täter zunächst IT-Dienstleister. Diese sind deshalb so interessant, weil sie zu anderen Unternehmen IT-Verbindungen unterhalten, sei es aktive oder solche, die sich aktivieren lassen. Genutzt werden beispielsweise Update-Mechanismen, die direkt Aktualisierungen in fremden Systemen durchführen, aber auch Fernwartungssysteme, Auftragsverarbeitungen und ähnliches. Dies hat zur Folge, dass die Täter in der Lage sind, eine Maschine, in der Regel einen Server, im Rechenzentrum des Opfers zu übernehmen. Im Gegensatz zu „klassischen“ Angriffen werden dabei die gesamte Netzwerksicherheit sowie clientbasierte Sicherheitslösungen umgangen. Es sind dann nur noch die relevant, die auf den Serversystemen aktiviert sind und die Kommunikationen zwischen Serversystemen überwachen. Gerade in On-Premises-Rechenzentren ist das häufig nur veraltete Antivirus-Technologie. Zudem fehlen dort häufig wichtige Sicherheits-Patches – falls es sich überhaupt um Betriebssysteme mit Support handelt. Hier, im Kern, setzt aber der Angriff an. Dieser Umstand sorgt dafür, dass der Täter das Opfer oft extrem schnell ausschalten und sich quasi unerkannt in Systemen lateral bewegen kann. Je größer der initiale Schaden, desto besser für den Angreifer, da dadurch enormer Druck aufgebaut werden kann.
Das spezielle Angebot von Kaseya bot den Kriminellen die Möglichkeit, nicht nur direkt Unternehmen sondern auch deren Kunden zu erreichen. Dies erklärt die im Verhältnis große Zahl der Opfer. Supply-Chain-Angriffe sind verhältnismäßig selten, weil sie für einen Angreifer kompliziert und mit hohem Aufwand verbunden sind. Ihre Wirkung ist allerdings oft fatal, geht es doch um den Verlust von Daten, Reputation und Vertrauen der Kunden. Die aktuellen Erpresser etwa forderten angeblich ein Lösegeld von 70 Millionen US-Dollar.
Die Lehren aus „Kaseya“
Wichtig ist zu verstehen, dass es sich hier nicht um eine vorübergehende Welle handelt. In der „IT-Security-Neuzeit“ sind in vielen Fällen äußere Faktoren für die aktuelle Situation verantwortlich. Zu diesen zählen der Stellenwert der IT in Unternehmen, der allgemeine Umgang mit IT durch Mitarbeiter sowie Bitcoin. Während die ersten beiden dazu beitragen, dass die IT und damit vor allem die IT-Security in Unternehmen immer komplexer und damit unübersichtlicher werden, hat das Entstehen von Kryptowährungen tatsächlich den Cyber-Untergrund revolutioniert. Dies erlaubt den Protagonisten im Untergrund eine zunehmende Spezialisierung und den uneingeschränkten Handel untereinander. Alle drei Faktoren lassen sich nicht mehr umkehren. Die angesprochene Komplexität wird damit zunehmend zur Belastung der Verteidiger, was sowohl im übertragenen als auch im rein zwischenmenschlichen Miteinander für Probleme sorgt. Unternehmen müssen deshalb ihre aktuelle Security-Strategie auf moderne Angriffstechniken prüfen.
Weitere Informationen zu den Einzelheiten des Angriffs finden Sie hier.