Kaseya: Zweite große Supply-Chain-Attacke

Kaseya: Zweite große Supply-Chain-Attacke
Anzeige

Beitrag teilen

Innerhalb eines halben Jahres ereignet sich, nach Sunburst (Solarwinds), jetzt mit dem Angriff auf Kaseya bereits die zweite aufsehenerregende Supply-Chain-Attacke. Geht man von der Anzahl parallel betroffener Unternehmen aus, ist die Cyberattacke sicherlich eine der größten in der Geschichte der IT-Security. Ein Kommentar von Richard Werner, Business Consultant bei Trend Micro zur Kaseya-Krise.

Am Wochenende des 4. Juli, dem Nationalfeiertag der USA, traf eine Cyberattacke den Service-Provider Kaseya und breitete sich rasch auf dessen Kunden und weitere Unternehmen aus. Laut der News-Plattform Bleepingcomputer waren etwa 50 direkte Kunden des Anbieters betroffen, die als Service-Provider wiederum ihre Kunden infizierten. Weltweit, so die Newsagentur, sind wohl etwa 1.500 Unternehmen betroffen.

Anzeige

50 Kaseya-Kunden infizieren 1.500 weitere Unternehmen

Trend Micro kann bestätigen, dass es auch in Deutschland Vorfälle gab. Die Tatsache, dass der Angriff an einem der wichtigsten Feiertage der USA stattfand, ist kein Zufall, sondern sorgfältiges Kalkül der Täter – das aufging. Nicht nur, dass IT-Security-Teams an Wochenenden und Feiertagen grundsätzlich unterbesetzt sind, auch die Kommunikationsketten zu den betroffenen Kunden waren unterbrochen, so dass sich der Angriff vielfach ungehindert ausbreiten konnte. Geht man von der Anzahl parallel betroffener Unternehmen aus, ist die Cyberattacke sicherlich eine der größten in der Geschichte der IT-Security. Zerlegt man sie in ihre Einzelteile, so drängen sich allerdings viele Parallelen zu anderen Angriffen auf. Aus dem groben, sich wiederholenden Schema können Unternehmen für ihre Infrastruktur einige wissenswerte Lehren ziehen:

Alles beginnt mit der Sicherheitslücke

Auffällig beim Fall „Kaseya“ ist, dass eine Sicherheitslücke in der Software verwendet wurde, die zum Zeitpunkt der Tat dem Hersteller bekannt war und deren Schließung sich bereits in der Beta-Phase befand. Den Angreifern verblieb demnach nicht mehr viel Zeit, wollten sie erfolgreich sein. Der Service-Provider wurde über sogenanntes „responsible disclosure“ auf das Vorhandensein der Schwachstelle aufmerksam gemacht und arbeitete an der Schließung. Ungewöhnlich ist der zeitliche Zusammenhang dennoch und lässt Raum für Interpretationen. Zwar ist die Patch-Problematik in der IT-Security weit bekannt, jedoch sollten Unternehmen im Hinterkopf behalten, dass Angreifer nicht nur bei Microsoft oder anderen weit verbreiteten Software-Varianten nach Schwachstellen suchen, sondern auch in der Software von IT-Dienstleistern. Dabei stehen insbesondere Applikationen im Fokus, die in direkter Kommunikation mit mehreren Kundengeräten stehen. Betreibt man eigene Softwareentwicklung, muss dieser Umstand ebenfalls Teil der Risikokalkulation sein.

Anzeige

Die Besonderheiten eines Supply-Chain-Angriffes

Der gesamte Vorfall lässt sich in die Kategorie „Supply-Chain-Angriff“ einordnen. In dieser noch relativ selten aber immer häufiger auftretenden Kategorie infiziert der Täter zunächst IT-Dienstleister. Diese sind deshalb so interessant, weil sie zu anderen Unternehmen stehende oder aktivierbare IT-Verbindungen unterhalten. Betroffen sind beispielsweise Update-Mechanismen, die direkt Aktualisierungen in fremden Systemen durchführen, aber auch Fernwartungssysteme, Auftragsverarbeitungen und ähnliches. Dies hat zur Folge, dass die Täter in der Lage sind, eine Maschine, in der Regel einen Server, im Rechenzentrum des Opfers zu übernehmen. Im Gegensatz zu „klassischen“ Angriffen werden dabei die gesamte Netzwerksicherheit sowie clientbasierte Sicherheitslösungen umgangen. Übrig bleibt, was auf den Serversystemen aktiviert ist und die Kommunikationen zwischen Serversystemen überwacht.

Veraltete Antivirus-Technologie öffnet Wege

Gerade in On-Premises-Rechenzentren ist das sehr häufig veraltete Antivirus-Technologie. Zudem fehlen oft wichtige Sicherheitspatches – für den Fall, dass es sich überhaupt um supportete Betriebssysteme handelt. Dieser Umstand sorgt dafür, dass der Täter das finale Opfer oft extrem schnell ausschalten und sich quasi unerkannt in Systemen bewegen kann. Je größer der initiale Schaden, desto besser für den Angreifer, da dadurch enormer Druck aufgebaut werden kann. Das spezielle Angebot von Kaseya bot den Kriminellen die Möglichkeit, nicht nur direkt Unternehmen, sondern auch deren Kunden zu erreichen. Dies erklärt die im Verhältnis große Zahl der Opfer. Supply-Chain-Angriffe sind im Verhältnis selten, weil sie für einen Angreifer kompliziert und mit hohem Aufwand verbunden sind. Ihre Wirkung ist allerdings oft fatal.

Die Lehren aus „Kaseya“

Wichtig ist zu verstehen, dass es sich hier nicht um eine vorübergehende Welle handelt. In der sich aktuell stark verändernden IT-Sicherheitslandschaft sind in vielen Fällen äußere Faktoren für die aktuelle Situation verantwortlich. Zu diesen zählen der Stellenwert der IT in Unternehmen, der allgemeine Umgang mit IT durch Mitarbeiter sowie das Aufkommen von Bitcoin. Während die ersten beiden dazu beitragen, dass die IT und damit vor allem die IT-Security in Unternehmen immer komplexer und damit unübersichtlicher werden, hat das Entstehen von Cryptowährungen tatsächlich den Cyber-Untergrund revolutioniert. Dies erlaubt den Protagonisten im Untergrund eine zunehmende Spezialisierung und den uneingeschränkten Handel untereinander. Alle drei Faktoren lassen sich nicht mehr umkehren. Die angesprochene Komplexität wird damit zunehmend zur Belastung der Verteidiger was sowohl im übertragenem als auch im rein zwischenmenschlichen Miteinander für Probleme sorgt. Unternehmen müssen deshalb Ihre aktuelle Security-Strategie auf moderne Angriffstechniken prüfen. Das Beispiel von Kaseya kann dabei helfen.

Mehr bei TrendMicro.com

 


Über Trend Micro

Als einer der weltweit führenden Anbieter von IT-Sicherheit hilft Trend Micro dabei, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Mit über 30 Jahren Sicherheitsexpertise, globaler Bedrohungsforschung und beständigen Innovationen bietet Trend Micro Schutz für Unternehmen, Behörden und Privatanwender. Dank unserer XGen™ Sicherheitsstrategie profitieren unsere Lösungen von einer generationsübergreifenden Kombination von Abwehrtechniken, die für führende Umgebungen optimiert ist. Vernetzte Bedrohungsinformationen ermöglichen dabei besseren und schnelleren Schutz. Unsere vernetzten Lösungen sind für Cloud-Workloads, Endpunkte, E-Mail, das IIoT und Netzwerke optimiert und bieten zentrale Sichtbarkeit über das gesamte Unternehmen, um Bedrohung schneller erkennen und darauf reagieren zu können. Mit über 6.700 Mitarbeitern in 65 Ländern und der weltweit fortschrittlichsten Erforschung und Auswertung globaler Cyberbedrohungen ermöglicht Trend Micro Unternehmen, ihre vernetzte Welt zu schützen. Die deutsche Niederlassung von Trend Micro befindet sich in Garching bei München. In der Schweiz kümmert sich die Niederlassung in Wallisellen bei Zürich um die Belange des deutschsprachigen Landesteils, der französischsprachige Teil wird von Lausanne aus betreut; Sitz der österreichischen Vertretung ist Wien.


 

Passende Artikel zum Thema

Landkreis Anhalt-Bitterfeld mit IT-Katastrophenfall

Nach einem schweren Cyberangriff hat der Landkreis Anhalt-Bitterfeld den Katastrophenfall festgestellt. Ein Katastrophenfall auf Grund eines Cyberangriffs – ein in ➡ Weiterlesen

Trend Micro kündigt Zusammenarbeit mit Microsoft an

Trend Micro kündigt neue Zusammenarbeit mit Microsoft an. Die Kooperation umfasst die Entwicklung Cloud-nativer Cybersecurity-Lösungen zum Schutz der gemeinsamen Kundenbasis. Trend ➡ Weiterlesen

Ransomware zielt auf industrielle Steuerungssysteme

Trend Micro warnt vor Ransomware, die auf industrielle Steuerungssysteme abzielt. Deutschland besonders stark von Grayware betroffen, bei Malware im globalen ➡ Weiterlesen

Trend Micro bietet umfassende Zero-Trust-Lösung

Risikoinformationen ermöglichen Schutz für hybride Arbeitsmodelle auch nach der Pandemie. Trend Micro, einer der weltweit führenden Anbieter von Cybersicherheitslösungen, bietet, ➡ Weiterlesen