Innerhalb eines halben Jahres ereignet sich, nach Sunburst (Solarwinds), jetzt mit dem Angriff auf Kaseya bereits die zweite aufsehenerregende Supply-Chain-Attacke. Geht man von der Anzahl parallel betroffener Unternehmen aus, ist die Cyberattacke sicherlich eine der größten in der Geschichte der IT-Security. Ein Kommentar von Richard Werner, Business Consultant bei Trend Micro zur Kaseya-Krise.
Am Wochenende des 4. Juli, dem Nationalfeiertag der USA, traf eine Cyberattacke den Service-Provider Kaseya und breitete sich rasch auf dessen Kunden und weitere Unternehmen aus. Laut der News-Plattform Bleepingcomputer waren etwa 50 direkte Kunden des Anbieters betroffen, die als Service-Provider wiederum ihre Kunden infizierten. Weltweit, so die Newsagentur, sind wohl etwa 1.500 Unternehmen betroffen.
50 Kaseya-Kunden infizieren 1.500 weitere Unternehmen
Trend Micro kann bestätigen, dass es auch in Deutschland Vorfälle gab. Die Tatsache, dass der Angriff an einem der wichtigsten Feiertage der USA stattfand, ist kein Zufall, sondern sorgfältiges Kalkül der Täter – das aufging. Nicht nur, dass IT-Security-Teams an Wochenenden und Feiertagen grundsätzlich unterbesetzt sind, auch die Kommunikationsketten zu den betroffenen Kunden waren unterbrochen, so dass sich der Angriff vielfach ungehindert ausbreiten konnte. Geht man von der Anzahl parallel betroffener Unternehmen aus, ist die Cyberattacke sicherlich eine der größten in der Geschichte der IT-Security. Zerlegt man sie in ihre Einzelteile, so drängen sich allerdings viele Parallelen zu anderen Angriffen auf. Aus dem groben, sich wiederholenden Schema können Unternehmen für ihre Infrastruktur einige wissenswerte Lehren ziehen:
Alles beginnt mit der Sicherheitslücke
Auffällig beim Fall „Kaseya“ ist, dass eine Sicherheitslücke in der Software verwendet wurde, die zum Zeitpunkt der Tat dem Hersteller bekannt war und deren Schließung sich bereits in der Beta-Phase befand. Den Angreifern verblieb demnach nicht mehr viel Zeit, wollten sie erfolgreich sein. Der Service-Provider wurde über sogenanntes „responsible disclosure“ auf das Vorhandensein der Schwachstelle aufmerksam gemacht und arbeitete an der Schließung. Ungewöhnlich ist der zeitliche Zusammenhang dennoch und lässt Raum für Interpretationen. Zwar ist die Patch-Problematik in der IT-Security weit bekannt, jedoch sollten Unternehmen im Hinterkopf behalten, dass Angreifer nicht nur bei Microsoft oder anderen weit verbreiteten Software-Varianten nach Schwachstellen suchen, sondern auch in der Software von IT-Dienstleistern. Dabei stehen insbesondere Applikationen im Fokus, die in direkter Kommunikation mit mehreren Kundengeräten stehen. Betreibt man eigene Softwareentwicklung, muss dieser Umstand ebenfalls Teil der Risikokalkulation sein.
Die Besonderheiten eines Supply-Chain-Angriffes
Der gesamte Vorfall lässt sich in die Kategorie „Supply-Chain-Angriff“ einordnen. In dieser noch relativ selten aber immer häufiger auftretenden Kategorie infiziert der Täter zunächst IT-Dienstleister. Diese sind deshalb so interessant, weil sie zu anderen Unternehmen stehende oder aktivierbare IT-Verbindungen unterhalten. Betroffen sind beispielsweise Update-Mechanismen, die direkt Aktualisierungen in fremden Systemen durchführen, aber auch Fernwartungssysteme, Auftragsverarbeitungen und ähnliches. Dies hat zur Folge, dass die Täter in der Lage sind, eine Maschine, in der Regel einen Server, im Rechenzentrum des Opfers zu übernehmen. Im Gegensatz zu „klassischen“ Angriffen werden dabei die gesamte Netzwerksicherheit sowie clientbasierte Sicherheitslösungen umgangen. Übrig bleibt, was auf den Serversystemen aktiviert ist und die Kommunikationen zwischen Serversystemen überwacht.
Veraltete Antivirus-Technologie öffnet Wege
Gerade in On-Premises-Rechenzentren ist das sehr häufig veraltete Antivirus-Technologie. Zudem fehlen oft wichtige Sicherheitspatches – für den Fall, dass es sich überhaupt um supportete Betriebssysteme handelt. Dieser Umstand sorgt dafür, dass der Täter das finale Opfer oft extrem schnell ausschalten und sich quasi unerkannt in Systemen bewegen kann. Je größer der initiale Schaden, desto besser für den Angreifer, da dadurch enormer Druck aufgebaut werden kann. Das spezielle Angebot von Kaseya bot den Kriminellen die Möglichkeit, nicht nur direkt Unternehmen, sondern auch deren Kunden zu erreichen. Dies erklärt die im Verhältnis große Zahl der Opfer. Supply-Chain-Angriffe sind im Verhältnis selten, weil sie für einen Angreifer kompliziert und mit hohem Aufwand verbunden sind. Ihre Wirkung ist allerdings oft fatal.
Die Lehren aus „Kaseya“
Wichtig ist zu verstehen, dass es sich hier nicht um eine vorübergehende Welle handelt. In der sich aktuell stark verändernden IT-Sicherheitslandschaft sind in vielen Fällen äußere Faktoren für die aktuelle Situation verantwortlich. Zu diesen zählen der Stellenwert der IT in Unternehmen, der allgemeine Umgang mit IT durch Mitarbeiter sowie das Aufkommen von Bitcoin. Während die ersten beiden dazu beitragen, dass die IT und damit vor allem die IT-Security in Unternehmen immer komplexer und damit unübersichtlicher werden, hat das Entstehen von Cryptowährungen tatsächlich den Cyber-Untergrund revolutioniert. Dies erlaubt den Protagonisten im Untergrund eine zunehmende Spezialisierung und den uneingeschränkten Handel untereinander. Alle drei Faktoren lassen sich nicht mehr umkehren. Die angesprochene Komplexität wird damit zunehmend zur Belastung der Verteidiger was sowohl im übertragenem als auch im rein zwischenmenschlichen Miteinander für Probleme sorgt. Unternehmen müssen deshalb Ihre aktuelle Security-Strategie auf moderne Angriffstechniken prüfen. Das Beispiel von Kaseya kann dabei helfen.
Mehr bei TrendMicro.com
Über Trend Micro Als einer der weltweit führenden Anbieter von IT-Sicherheit hilft Trend Micro dabei, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Mit über 30 Jahren Sicherheitsexpertise, globaler Bedrohungsforschung und beständigen Innovationen bietet Trend Micro Schutz für Unternehmen, Behörden und Privatanwender. Dank unserer XGen™ Sicherheitsstrategie profitieren unsere Lösungen von einer generationsübergreifenden Kombination von Abwehrtechniken, die für führende Umgebungen optimiert ist. Vernetzte Bedrohungsinformationen ermöglichen dabei besseren und schnelleren Schutz. Unsere vernetzten Lösungen sind für Cloud-Workloads, Endpunkte, E-Mail, das IIoT und Netzwerke optimiert und bieten zentrale Sichtbarkeit über das gesamte Unternehmen, um Bedrohung schneller erkennen und darauf reagieren zu können..