Cyber-Kriminalität: „Die Angriffsflächen und die Wahrscheinlichkeit für Fehler nehmen zu“
Mit bis zu 1.500 betroffenen Unternehmen zählt der durch eine Sicherheitslücke beim Software-Anbieter Kaseya verursachte Coup der Cybercrime-Bande REvil zu den spektakulärsten Angriffen in den vergangenen Wochen. Er zeigt erneut, welches Potenzial in Ransomware as a Service (RaaS) und Lieferkettenangriffen steckt. Steffen Ullrich ist Sicherheitsforscher beim deutschen IT-Security-Hersteller genua. Im Interview benennt er Ursachen und Gegenstrategien die Unternehmen künftig auf dem Radar haben müssen.
Gerne organisieren wir Ihnen auch ein individuelles Gespräch mit Herrn Ullrich.
---------------------------------------------------------------------
Für die Presse – frei zur redaktionellen Verwendung
Interview
RaaS und Supply-Chain-Angriffe
„Die Angriffsflächen und die Wahrscheinlichkeit für Fehler nehmen zu“
Herr Ullrich, wie können Gruppen wie REvil so erfolgreich sein, obwohl die Gefahr von Cyber-Angriffen den meisten Unternehmen bewusst sein dürfte?
Ullrich: Selbst wenn Unternehmen beim Thema IT-Sicherheit vorbildlich agieren, deckt das nicht alle Eventualitäten ab. Immer mehr Features und vernetzte Technologien sorgen für eine hohe Komplexität in der IT-Infrastruktur. Diese wird selbst für erfahrene Entwickler, Administratoren und Anwender schwer beherrschbar. Ergo nimmt sowohl die Angriffsfläche für Cyber-Attacken als auch die Wahrscheinlichkeit von Fehlern zu – wodurch sich den Angreifern wiederum mehr Erfolgschancen eröffnen. Es ist offensichtlich, dass die überbordende Komplexität ein ernstzunehmender Feind ist.
Cyber-Kriminelle agieren strategisch und operativ immer professioneller. Auf welche Ziele konzentrieren sich solche Organisationen?
Ullrich: Die Supply Chain rückt immer mehr in den Fokus der Angreifer. Die heutigen hochvernetzten Systeme aus IT-Infrastruktur und Prozessleit- sowie Automatisierungstechnik integrieren Lösungen von vielen Herstellern. Außerdem wird immer mehr Infrastruktur, Hardware und Software von spezialisierten Dienstleistern betrieben oder die eigene IT-Sicherheit ausgelagert. Eine Kompromittierung dieser Zulieferer durch Sicherheitslücken in ihren Produkten oder Prozessen ermöglicht es Angreifern, bei einer Vielzahl von Kunden in die IT-Netzwerke einzudringen. Damit sind Kriminelle nicht auf ein erfolgreiches Phishing oder die Nachlässigkeit der einzelnen Unternehmen angewiesen, sondern können sich, wie im aktuellen Kaseya VSA-Fall, eine über den Zulieferer vorhandene Präsenz im Netz des Unternehmens zunutze machen.
Wie lässt sich diesen unsichtbaren Feinden begegnen?
Ullrich: Mit Blick auf die Komplexität ist ein guter Anfang, eine einfache Regel zu befolgen: KISS! Also, Keep It Simple, Stupid! Das bedeutet, sich auf die wirklich notwendigen Produkte und Features zu beschränken sowie auf einfache, klare, gut dokumentierte Schnittstellen und Prozesse zu achten. Dies hilft auch dabei, die IT-Sicherheit nach dem Prinzip ‚Security by Design‘ zu gestalten und eine höhere Robustheit sowie Resilienz zu erreichen.
Fundierte, unabhängige Beurteilungen und Analysen, zum Beispiel durch das BSI, können das Vertrauen in IT-Security-Lösungen signifikant stärken. Sie erhöhen auch den Druck auf Zulieferer bezüglich Qualität, Zuverlässigkeit und Sicherheit, sowohl mit Blick auf Produkte und Dienstleistungen als auch auf interne Arbeitsprozesse und Infrastrukturen. Entsprechend sollte man bei der Auswahl von IT-Security-Anwendungen und Dienstleistungen auf Zertifizierungen und Zulassungen achten.
Hinzu kommen eine gute Kontrolle darüber, was im eigenen Netz passiert sowie eine frühzeitige Schadensbegrenzung. Beispielsweise kann eine restriktive Fernwartung anstatt einer Netzkoppelung bereits einen hohen Schutz gegen eine kompromittierte Infrastruktur beim Dienstleister bieten. Zusammen mit Video-Aufzeichnungen und Logging ermöglicht sie es im Schadensfall, die Auswirkungen schnell zu beurteilen. Eine solide Segmentierung und Mikrosegmentierung wiederum schränkt die Bewegungsfreiheit eines Angreifers im Netzwerk deutlich ein und reduziert dessen Ausbreitung sowie die verursachten Schäden.
Und wie schützen sich Unternehmen konkret gegen Supply-Chain-Angriffe?
Ullrich: Gegen die besonders perfiden Lieferkettenangriffe schützen sich Unternehmen, indem sie darauf achten, welche Dienstleister und 3rd-Party-Produkte sie auswählen und wie sie diese einsetzen. Die Supply Chain muss insgesamt stärker in die Risikobetrachtung einbezogen werden. Das bedeutet, es sollten potenzielle Schäden betrachtet und Mitigationsmaßnahmen zur Schadensbegrenzung entwickelt werden.
Zertifizierungen und Zulassungen können das Vertrauen in die Fähigkeiten der Zulieferer unterstützen. Zu einer soliden IT-Security-Strategie gehört aber auch, die potenziell zusätzlichen Einfallstore durch Dienstleister proaktiv zu beschränken. Im Falle der Lücke in MS Exchange (ProxyLogon) bedeutete dies zum Beispiel, einen VPN-Zugang zu nutzen, statt MS Exchange direkt zum Internet zu exponieren. Ein ergänzender Lösungsweg war in diesem Fall die Abgrenzung vom internen Netzwerk über Segmentierung und Mikrosegmentierung.
Über genua Die genua GmbH ist Enabler der digitalen Transformation. Wir sichern sensitive IT-Netzwerke im Public- und im Enterprise-Sektor, bei KRITIS-Organisationen und in der geheimschutzbetreuten Industrie mit hochsicheren und skalierbaren Cyber-Security-Lösungen. Dabei fokussiert die genua GmbH auf den umfassenden Schutz von Netzwerken, Kommunikation und interner Netzwerksicherheit für IT und OT. Das Lösungsspektrum umfasst Firewalls und Gateways, VPNs, Fernwartungssysteme, interne Netzwerksicherheit und Cloud Security bis hin zu Remote-Access-Lösungen für mobile Mitarbeiter und Home Offices.
Die genua GmbH ist eine Tochtergesellschaft der Bundesdruckerei-Gruppe. Mit mehr als 300 Mitarbeitern entwickelt und produziert sie IT-Security-Lösungen ausschließlich in Deutschland. Seit der Unternehmensgründung in 1992 belegen regelmäßige Zertifizierungen und Zulassungen durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) den hohen Sicherheits- und Qualitätsanspruch der Produkte. Zu den Kunden zählen u.a. Arvato Systems, BMW, die Bundeswehr, das THW sowie die Würth-Gruppe.
Pressekontakt: Martina Hafner Domagkstr. 7 85551 Kirchheim bei München M +49 171 56 92 523 E martina_hafner@genua.de Pressekontakt für den Zeitraum vom 19. bis 23. Juli: E kerstin_podlinski@genua.de