Am Wochenende des 4. Juli, dem Nationalfeiertag der USA, traf eine Cyberattacke den Service-Provider Kaseya und breitete sich rasch auf dessen Kunden und weitere Unternehmen aus. So legte sie unter anderem das Kassensystem beim schwedischen Supermarkt Coop für Tage lahm. Richard Werner, Business Consultant bei Cybersicherheitsunternehmen Trend Micro, erklärt, was diese Attacke so besonders machte.
Laut der News-Plattform Bleepingcomputer waren etwa 50 direkte Kunden von Kaseya betroffen, die als Service-Provider wiederum ihre Kunden infizierten. Weltweit, so die Newsagentur, spürten wohl etwa 1.500 Unternehmen die Auswirkungen des Angriffs in ihren Systemen. Trend Micro kann bestätigen, dass es auch in Deutschland Vorfälle gab. Die Tatsache, dass der Angriff an einem der wichtigsten Feiertage der USA stattfand, ist kein Zufall, sondern sorgfältiges Kalkül der Täter – das aufging. IT-Security-Teams sind an Wochenenden und Feiertagen grundsätzlich unterbesetzt. Und auch die Kommunikationsketten zu den betroffenen Kunden waren unterbrochen, so dass sich der Angriff vielfach ungehindert ausbreiten konnte. Geht man von der Anzahl parallel betroffener Unternehmen aus, ist die Cyberattacke sicherlich eine der größten in der Geschichte der IT-Security. Zerlegt man sie in ihre Einzelteile, drängen sich allerdings viele Parallelen zu anderen Angriffen auf. Aus dem groben, sich wiederholenden Schema können Unternehmen für ihre Infrastruktur einige wissenswerte Lehren ziehen:
Alles beginnt mit der Sicherheitslücke
Auffällig beim Fall „Kaseya“ ist, dass eine Sicherheitslücke in der Software verwendet wurde, die dem Hersteller zum Zeitpunkt der Tat bekannt war und deren Schließung sich bereits in der Beta-Phase befand. Den Angreifern verblieb demnach nicht mehr viel Zeit. Der Service-Provider wurde über sogenanntes „responsible disclosure“ auf das Vorhandensein der Schwachstelle aufmerksam gemacht und arbeitete an der Schließung. Ungewöhnlich ist der zeitliche Zusammenhang dennoch und lässt Raum für Interpretationen.
Die Patch-Problematik ist in der IT-Security zwar weit bekannt. Jedoch sollten Unternehmen im Hinterkopf behalten, dass Angreifer nicht nur bei Microsoft oder anderen weit verbreiteten Software-Varianten nach Schwachstellen suchen, sondern auch in der Software von IT-Dienstleistern. Dabei stehen insbesondere Applikationen im Fokus, die in direkter Kommunikation mit mehreren Kundengeräten stehen. Betreibt man eigene Softwareentwicklung, muss dieser Umstand ebenfalls Teil der Risikokalkulation sein.
Die Besonderheiten eines Supply-Chain-Angriffes
Der gesamte Vorfall lässt sich in die Kategorie „Supply-Chain-Angriff“ einordnen. In dieser noch relativ selten, aber immer häufiger auftretenden Kategorie infiziert der Täter zunächst IT-Dienstleister. Diese sind deshalb so interessant, weil sie zu anderen Unternehmen stehende oder aktivierbare IT-Verbindungen unterhalten. Betroffen sind beispielsweise Update-Mechanismen, die direkt Aktualisierungen in fremden Systemen durchführen, aber auch Fernwartungssysteme, Auftragsverarbeitungen und ähnliches. Dies hat zur Folge, dass die Täter in der Lage sind, eine Maschine, in der Regel einen Server, im Rechenzentrum des Opfers zu übernehmen.
Im Gegensatz zu „klassischen“ Angriffen werden dabei die gesamte Netzwerksicherheit sowie clientbasierte Sicherheitslösungen umgangen. Übrig bleibt, was auf den Serversystemen aktiviert ist und die Kommunikationen zwischen Serversystemen überwacht. Gerade in On-Premises-Rechenzentren ist das sehr häufig veraltete Antivirus-Technologie. Zudem fehlen oft wichtige Sicherheitspatches – für den Fall, dass es sich überhaupt um supportete Betriebssysteme handelt.
Dieser Umstand sorgt dafür, dass der Täter das finale Opfer oft extrem schnell ausschalten und sich quasi unerkannt in Systemen bewegen kann. Je größer der initiale Schaden, desto besser für den Angreifer, da dadurch enormer Druck aufgebaut werden kann. Das spezielle Angebot von Kaseya bot den Kriminellen die Möglichkeit, nicht nur direkt Unternehmen, sondern auch deren Kunden zu erreichen. Dies erklärt die relativ große Zahl der Opfer. Supply-Chain-Angriffe sind im Verhältnis selten, weil sie für einen Angreifer kompliziert und mit hohem Aufwand verbunden sind. Ihre Wirkung ist allerdings oft fatal.
Die Lehren aus „Kaseya“
Wichtig ist zu verstehen, dass es sich hier nicht um eine vorübergehende Welle handelt. In der sich aktuell stark verändernden IT-Sicherheitslandschaft sind in vielen Fällen äußere Faktoren für die aktuelle Situation verantwortlich. Zu diesen zählen der Stellenwert der IT in Unternehmen, der allgemeine Umgang mit IT durch Mitarbeiter sowie das Aufkommen von Bitcoin. Während die ersten beiden dazu beitragen, dass die IT und damit vor allem die IT-Security in Unternehmen immer komplexer und damit unübersichtlicher werden, hat das Entstehen von Cryptowährungen tatsächlich den Cyber-Untergrund revolutioniert. Dies erlaubt den Protagonisten im Untergrund eine zunehmende Spezialisierung und den uneingeschränkten Handel untereinander.
Alle drei Faktoren lassen sich nicht mehr umkehren. Die angesprochene Komplexität wird damit zunehmend zur Belastung der Verteidiger, was sowohl im übertragenem als auch im rein zwischenmenschlichen Miteinander für Probleme sorgt. Unternehmen müssen deshalb ihre aktuelle Security-Strategie auf moderne Angriffstechniken prüfen. Das Beispiel von Kaseya kann dabei helfen.
