Ransomware-Wellen verursachen immer wieder Millionenschäden. Eine aktuelle Kampagne der REvil-Gruppe nutzt die Software Kaseya für Angriffe aus. Dr. Tilman Frosch, Geschäftsführer von G DATA Advanced Analytics, beantwortet fünf Fragen und schätzt die Lage für Deutschland ein.
Es ist davon auszugehen, dass auch deutsche Managed Service Provider (MSPs) und Systemhäuser das betroffene Produkt im Einsatz haben. Ein wichtiger Anteil von Kaseyas Geschäft ist es, seinen Kunden zu ermöglichen, Kaseyas Produkte unter eigenem Namen in eigene Produkte und Angebote zu integrieren. Der MSP weiß dadurch, dass er Kaseya einsetzt, was für Kunden des MSPs aber nicht unbedingt erkennbar ist. Die MSPs sind hier dringend in der Pflicht, ihre Kunden zu informieren und auch dem BSI eine Abschätzung möglicherweise betroffener Kunden zukommen zu lassen, um eine bessere Lageeinschätzung für den deutschen Raum zu ermöglichen.
Was uns als Sicherheitsforschern seit Jahren klar ist, gelangt durch solche Fälle als Erkenntnis in ein breiteres Bewusstsein: Diese Lösungen sind nicht notwendigerweise anfälliger als andere Software, sie sind nur mit hohen Privilegien ausgestattet und haben eine hohe Verbreitung. Dadurch bieten sie einen großen Hebel für Angreifer, um mit einmaligem Aufwand vielfache Ernte einzufahren. Werkzeuge zur Verwaltung von IT-Systemen bieten sich natürlich an, aber jegliche Anbieter von on-premise installierter Software trägt dieses Risiko, wie wir alle spätestens seit NotPetya wissen sollten.
Damals nutzten die Täter ein Softwareupdate der im ukrainischen Wirtschaftsraum weit verbreiteten Software MeDoc, um flächig Schaden anzurichten. Es wäre naiv anzunehmen, dass die Infrastruktursicherheit bei Softwareanbietern einem gezielten Angriff besser widerstehen kann, als bei anderen hochtechnisierten Unternehmen. Auch im Entwicklungsprozess besteht bei dem einen oder anderen Softwareanbieter offenbar Nachholbedarf, was das Auffinden von Schwachstellen im eigenen Code oder die zeitnahe Behebung betrifft.
Was uns als Sicherheitsforschern seit Jahren klar ist, gelangt durch solche Fälle als Erkenntnis in ein breiteres Bewusstsein: Diese Lösungen sind nicht notwendigerweise anfälliger als andere Software, sie sind nur mit hohen Privilegien ausgestattet und haben eine hohe Verbreitung. Dadurch bieten sie einen großen Hebel für Angreifer, um mit einmaligem Aufwand vielfache Ernte einzufahren.
Die Fälle sehen ähnlich aus, sind es im Detail aber nicht. Bei SolarWinds hatten wir es mit einem Supply Chain-Angriff zu tun, bei dem kompromittierter Code eingeschleust wurde. Im aktuellen Fall konnten Angreifer wohl eine Zero-Day-Schwachstelle in der Kaseya-Software ausnutzen, um sich Zugriff auf die Netzwerke zu verschaffen. Im zweiten Schritt wurde dann Ransomware aufgespielt und die Daten verschlüsselt.
Das ist nach aktueller Kenntnis korrekt und auch eine wichtige Unterscheidung. Dennoch handelt es sich auch hier um einen Angriff über die Supply Chain. Vor allem ist dieser Angriff eine erneute Erinnerung daran, wie verwundbar unsere digitalisierte Gesellschaft ist, wenn man den Hebel an der richtigen Stelle ansetzt.
Funktionierende Offline-Backups sicherstellen, on-premise Installationen von Kaseya VSA offline nehmen und bis auf Weiteres offline halten sowie die betroffene Infrastruktur durch einen qualifizierten Dienstleister auf einen erfolgreichen Angriff untersuchen lassen.
Was für ein Unternehmen sinnvoll und umsetzbar ist, ist immer individuell. Hundertprozentige Sicherheit kann nicht das Ziel sein. Als Unternehmer gehen wir Risiken ein. Wichtig ist, diese Risiken informiert, kalkuliert und bewusst einzugehen. Oft ist ein Security Assessment der richtige erste Schritt zu einem passenden Konzept. Trotzdem gibt es Maßnahmen, die eigentlich immer sinnvoll sind:
Ransomware ist nicht das Erste, was ein Angreifer ausführt, Ransomware ist der letzte Schritt in der Verwertungskette. Mit adäquatem Security Monitoring kann man die Schritte davor durchaus sehen und handeln, bevor die eigenen Daten verschlüsselt sind. Und natürlich sollte man weiterhin eine aktuelle und leistungsstarke Endpoint-Protection-Lösung und sinnvolle Gateway-Lösungen einsetzen und deren Meldungen auch nicht ignorieren. An den Basics ändert sich nicht viel.