Der Blätterkatalog benötigt Javascript.
Bitte aktivieren Sie Javascript in Ihren Browser-Einstellungen.
The Blätterkatalog requires Javascript.
Please activate Javascript in your browser settings.
18 l inside l funkschau Kommentar 7 l 2021 ➤ Es war wohl einer der bisher größten und schwerwiegendsten Cybervorfälle bis zu 1 500 Firmen sollen betroffen sein und selbst das Weiße Haus hat sich eingeschaltet Der Angriff der Hacker-Gruppe „REvil“ auf den USamerikanischen IT-Dienstleister Kaseya und seine Management-Plattform VSA hat weite Kreise gezogen und noch weitaus beängstigendere Konsequenzen So mussten beispielsweise in Schweden 800 Filialen der Supermarktkette Coop kurzfristig schließen da ihre Kassensysteme von der eingeschleusten Ransomware lahmgelegt wurden Die Summe der Schäden lässt sich aktuell hingegen höchstens erahnen viele Unternehmen dürften derzeit noch mit den Folgen kämpfen ein Großteil wird diese wohl nie öffentlich machen Im Gegensatz zum badenwürttembergischen Regalsysteme-Hersteller Berger Geschäftsführer Carsten Gries berichtete ohne Scheu davon dass sein Betrieb über vier Tage hinweg lahmgelegt war und forderte andere Unternehmen im Interview mit „Zeit Online“ auf ebenfalls über derartige Vorfälle zu sprechen „Die Gefahr durch Cyberangriffe wird noch massiv zunehmen Unternehmen dürfen Hackerangriffe nicht tabuisieren “ Neben Berger sind auch andere deutsche Firmen betroffen die Zahl soll jedoch überschaubar sein die hiesige Wirtschaft hatte Glück Auf sie zielte lediglich ein Bruchteil der REvil-Ransomware-Angriffe vor allem USamerikanische Unternehmen standen im Fokus Dafür spricht unter anderem dass die Täter den 4 Juli als symbolträchtigen Feiertag für ihr kriminelles Vorhaben gewählt haben Aber auch die konkrete Uhrzeit scheint bewusst auf den US-Geschäftsbetrieb ausgerichtet gewesen zu sein Kaseya selbst reagierte rasch auf den Vorfall fuhr die eigenen Server runter und rief auch Kunden dazu auf verwundbare On-Premise-Systeme schnell offline zu nehmen Mittlerweile steht darüber hinaus ein Patch zur Verfügung der die betroffene kritische Sicherheitslücke in VSA schließt Dennoch Schnell reagiert aber zu langsam vorbereitet Kaseya kannte die betroffene Lücke in seiner RMM-Lösung wohl schon länger niederländische Sicherheitsexperten hatten sie dem Unternehmen gemeldet Einem Patch kamen die Cyberkriminellen dann bekanntermaßen zuvor Jetzt beginnt das Aufräumen das Wundenlecken und das Lernen aus dem Angriff – wie es auch beim Angriff auf Solarwinds im vergangenen Dezember der Fall war Die Parallelen reichen aber weiter Auch bei Solarwinds hat es sich um einen sogenannten Supply-Chain-Angriff gehandelt Eine Methode deren Gefahrenpotenzial bereits der Feind im eigenen netzwerk von Forschern und Experten unterstrichen wurde Und jetzt hat sie abermals in der Praxis bewiesen dass sie diesem Ruf in wenig nachsteht Die Kriminellen greifen nicht mehr nur einzelne Ziele an Sie kompromittieren Software – bei Kaseya und Solarwinds Management-Anwendungen für IT-Dienstleister und Managed Service Provider – und schaffen sich ein perfekt vernetztes System um Malware in der Breite effektiv verteilen zu können Die Schadprogramme öffnen somit bestehende legitime Tore an der Sicherheitsinfrastruktur vorbei und können von den oftmals umfassenden Berechtigungen beispielsweise von RMM-Lösungen innerhalb der Systemlandschaft profitieren Angriffe fliegen so weitestgehend unter dem Radar bis sie beispielsweise durch Unregelmäßigkeiten im Netzwerk-Traffic auffallen „Der Täter kann sich quasi unerkannt im System bewegen und das Opfer extrem schnell ausschalten Supply-Chain-Angriffe sind im Verhältnis selten weil sie für einen Angreifer kompliziert und mit hohem Aufwand verbunden sind Ihre Wirkung ist allerdings oft fatal“ sagt Richard Werner von Trend Micro In Hinblick auf Kaseya VSA führt Mark Loman von Sophos darüber hinaus aus „Normalerweise bietet diese Software einen äußerst vertrauenswürdigen Kommunikationskanal der MSPs unbegrenzten privilegierten Zugriff ermöglicht um vielen Unternehmen bei ihren IT-Umgebungen zu helfen Genau diese Plattform wurde nun als Verteiler für die Ransomware umfunktioniert “ Selten aber extrem gefährlich Es braucht nicht viel Fantasie um sich vorzustellen was ein erfolgreicher Angriff auf einen Anbieter anrichten könnte der ein noch weitaus größeres Kundennetzwerk bedient es wäre ein globaler Schneeballeffekt Supply-Chain-Angriffe stellen eine neue Qualität der Cyberangriffe dar ein Feind der sich nicht mehr an der eigenen Netzwerkgrenze abwehren lässt da er sich schon längst hinter den Verteidigungslinien befindet – und doch ist es nur die vorläufige Spitze des Eisbergs Ob Solarwinds JBS Colonial-Pipeline oder jetzt Kaseya die Zahl der großen schwerwiegenden Vorfälle hat in den vergangenen Jahren stetig zugenommen Und sie zeigen dass viele Security-Strategien und -Lösungen schlicht an ihre Grenzen stoßen Nun heißt es Schlüsse zu ziehen schnellstmöglich zu handeln für Anwenderunternehmen aber vor allem auch sich für einen möglichen Ernstfall zu rüsten Sie müssen sich darauf einstellen dass ein Worst Case-Szenario nicht immer zu vermeiden ist um mit einer zuvor klar definierten Strategie reagieren können steFan adelmann Chefredakteur funkschau sadelmann@wekafachmedien de „Die Schadprogramme öffnen bestehende legitime Tore an der Sicherheitsinfrastruktur vorbei Angriffe können so lange Zeit unter dem Radar fliegen “