Mit bis zu 1.500 betroffenen Unternehmen zählt der durch eine Sicherheitslücke beim Software-Anbieter Kaseya verursachte Coup der Cybercrime-Bande REvil zu den spektakulärsten Angriffen in den vergangenen Wochen. Er zeigt erneut, welches Potenzial in Ransomware as a Service (RaaS) und Lieferkettenangriffen steckt. Steffen Ullrich ist Sicherheitsforscher beim deutschen IT-Security-Hersteller genua. Im Interview benennt er Ursachen und Gegenstrategien die Unternehmen künftig auf dem Radar haben müssen.
Herr Ullrich, wie können Gruppen wie REvil so erfolgreich sein, obwohl die Gefahr von Cyber-Angriffen den meisten Unternehmen bewusst sein dürfte?
Ullrich: Selbst wenn Unternehmen beim Thema IT-Sicherheit vorbildlich agieren, deckt das nicht alle Eventualitäten ab. Immer mehr Features und vernetzte Technologien sorgen für eine hohe Komplexität in der IT-Infrastruktur. Diese wird selbst für erfahrene Entwickler, Administratoren und Anwender schwer beherrschbar. Ergo nimmt sowohl die Angriffsfläche für Cyber-Attacken als auch die Wahrscheinlichkeit von Fehlern zu – wodurch sich den Angreifern wiederum mehr Erfolgschancen eröffnen. Es ist offensichtlich, dass die überbordende Komplexität ein ernstzunehmender Feind ist.
Cyber-Kriminelle agieren strategisch und operativ immer professioneller. Auf welche Ziele konzentrieren sich solche Organisationen?
Ullrich: Die Supply Chain rückt immer mehr in den Fokus der Angreifer. Die heutigen hochvernetzten Systeme aus IT-Infrastruktur und Prozessleit- sowie Automatisierungstechnik integrieren Lösungen von vielen Herstellern. Außerdem wird immer mehr Infrastruktur, Hardware und Software von spezialisierten Dienstleistern betrieben oder die eigene IT-Sicherheit ausgelagert. Eine Kompromittierung dieser Zulieferer durch Sicherheitslücken in ihren Produkten oder Prozessen ermöglicht es Angreifern, bei einer Vielzahl von Kunden in die IT-Netzwerke einzudringen. Damit sind Kriminelle nicht auf ein erfolgreiches Phishing oder die Nachlässigkeit der einzelnen Unternehmen angewiesen, sondern können sich, wie im aktuellen Kaseya VSA-Fall, eine über den Zulieferer vorhandene Präsenz im Netz des Unternehmens zunutze machen.
Wie lässt sich diesen unsichtbaren Feinden begegnen?
Ullrich: Mit Blick auf die Komplexität ist ein guter Anfang, eine einfache Regel zu befolgen: KISS! Also, Keep It Simple, Stupid! Das bedeutet, sich auf die wirklich notwendigen Produkte und Features zu beschränken sowie auf einfache, klare, gut dokumentierte Schnittstellen und Prozesse zu achten. Dies hilft auch dabei, die IT-Sicherheit nach dem Prinzip ‚Security by Design‘ zu gestalten und eine höhere Robustheit sowie Resilienz zu erreichen.
Fundierte, unabhängige Beurteilungen und Analysen, zum Beispiel durch das BSI, können das Vertrauen in IT-Security-Lösungen signifikant stärken. Sie erhöhen auch den Druck auf Zulieferer bezüglich Qualität, Zuverlässigkeit und Sicherheit, sowohl mit Blick auf Produkte und Dienstleistungen als auch auf interne Arbeitsprozesse und Infrastrukturen. Entsprechend sollte man bei der Auswahl von IT-Security-Anwendungen und Dienstleistungen auf Zertifizierungen und Zulassungen achten.
Hinzu kommen eine gute Kontrolle darüber, was im eigenen Netz passiert sowie eine frühzeitige Schadensbegrenzung. Beispielsweise kann eine restriktive Fernwartung anstatt einer Netzkoppelung bereits einen hohen Schutz gegen eine kompromittierte Infrastruktur beim Dienstleister bieten. Zusammen mit Video-Aufzeichnungen und Logging ermöglicht sie es im Schadensfall, die Auswirkungen schnell zu beurteilen. Eine solide Segmentierung und Mikrosegmentierung wiederum schränkt die Bewegungsfreiheit eines Angreifers im Netzwerk deutlich ein und reduziert dessen Ausbreitung sowie die verursachten Schäden.
Und wie schützen sich Unternehmen konkret gegen Supply-Chain-Angriffe?
Ullrich: Gegen die besonders perfiden Lieferkettenangriffe schützen sich Unternehmen, indem sie darauf achten, welche Dienstleister und 3rd-Party-Produkte sie auswählen und wie sie diese einsetzen. Die Supply Chain muss insgesamt stärker in die Risikobetrachtung einbezogen werden. Das bedeutet, es sollten potenzielle Schäden betrachtet und Mitigationsmaßnahmen zur Schadensbegrenzung entwickelt werden.
Zertifizierungen und Zulassungen können das Vertrauen in die Fähigkeiten der Zulieferer unterstützen. Zu einer soliden IT-Security-Strategie gehört aber auch, die potenziell zusätzlichen Einfallstore durch Dienstleister proaktiv zu beschränken. Im Falle der Lücke in MS Exchange (ProxyLogon) bedeutete dies zum Beispiel, einen VPN-Zugang zu nutzen, statt MS Exchange direkt zum Internet zu exponieren. Ein ergänzender Lösungsweg war in diesem Fall die Abgrenzung vom internen Netzwerk über Segmentierung und Mikrosegmentierung.