IT-Sec Jahresrückblick 2021 – Teil 2
„Supply-Chain-Angriffe“
In 2020 und 2021 traten zwei verstörende Angriffsszenarien auf die Bühne der IT-Sicherheit. Erst in 2020 der Angriff auf SolarWinds und dann im Frühjahr 2021 der Angriff auf Kaseya. Verstörend waren und sind diese Angriffe, weil sie die sogenannte Lieferantenkette betreffen. Sowohl SolarWinds wie auch Kaseya liefern zentrale Infrastrukturkomponenten, die IT-Dienstleister benötigen um eigene Kund*innen z.B. schnell und effizient mit Updates oder Sicherheitspatches zu beliefern. Ist diese Infrastruktur kompromittiert, kann niemand mehr garantieren, dass die gerade gelieferten Updates eine Lücke schließen oder selbst der Angriff sind. Der IT-Dienstleister oder die IT-Abteilung hat dabei nichts falsch gemacht – die Quelle ist verseucht. Weder procado, noch procado-Kund*innen nutzen SolarWinds oder Kaseya, waren also nicht unmittelbar betroffen. Trotzdem ein Weckruf, auch Lieferanten kritisch zu hinterfragen.
Kaseya – Supply-Chain-Angriffe – Lieferkettenangriff
Der erfolgte Angriff könnte als der bislang größte seiner Art betitelt werden, weil er durch einen Domino-Effekt weltweite Auswirkungen ausgelöst hat. Der Angriff selbst war gegen den Software-Hersteller Kaseya gerichtet. Die Angreifer nutzten dabei eine schon bekannte Sicherheitslücke in dem Desktop-Management-Tool VSA aus. Kaseya befand sich zwar auf der Zielgraden beim Schließen der Lücke, die Angreifer waren bei diesem Wettrennen aber letzten Endes schneller.
Hier wird es auch für procado als Managed Service Provider sensibel: Die Software VSA wird von IT-Dienstleistern (nicht von procado) genutzt, die als Managed Services Provider die Systeme ihrer Kunden warten und mit Software-Updates versorgen. Den Angreifern ist es gelungen über diese Software ein schadhaftes Update auszuspielen, mit dem zunächst die IT-Dienstleister und im nächsten Schritt deren Kunden infiziert wurden. Die Hacker verschlüsselten ganze Systeme und es kam zu massiven Ausfällen. Das Kritische bei Supply-Chain-Angriffen: Es werden legitime Anwendungen infiziert, um darüber Schadsoftware breitflächig zu verteilen. Ein Albtraum für jeden Managed Service Provider.
BSI-Präsident Arne Schönbohm dazu: „Der Vorfall zeigt, wie intensiv die globale Vernetzung in der Digitalisierung voranschreitet und welche Abhängigkeiten dabei entstehen. Bei dem aktuellen Angriff wurde Ransomware über jedes Glied einer Software-Lieferkette ausgerollt. Das zeigt deutlich: Lieferketten müssen auch unter dem Aspekt der IT-Sicherheit in den Fokus rücken.“
Durch Zugriffsberechtigungen und Multi-Faktor-Authentifizierung lassen sich hier Risiken mindern. Es gilt, vor allem Konten mit hohen Privilegien (Administratoren) abzuriegeln. Mit einem erweiterten Monitoring lassen sich zusätzlich die Zugriffe und Rechteveränderungen im Blick behalten. Ein Zero-Trust-Ansatz und Least-Privilege-Prinzip sind hier verpflichtend. Und wie immer ist ein zuverlässiges Backup-Management elementar. Sollte es wie beim Kaseya-Hack „nur“ zu einer Verschlüsselung und nicht zu einem Datendiebstahl kommen, ist die Behebung des Vorfalls zwar mit etwas Aufwand verbunden, die Lösegeld-Förderung lässt sich aber ignorieren.
IT-Sec Jahresrückblick 2021 – Teil 1 | IT-Sec Jahresrückblick 2021 – Teil 3
