Cyberbedrohungen
Neue Dimension einer Cyberattacke
Anhand des vor kurzem in die Schlagzeilen geratenen Angriffs auf 3CX zeigen wir, wie auch Software zu den Schwachpunkten im Unternehmen innerhalb der Lieferkette zählen kann. Es gilt deshalb, die gesamte eigene Angriffsfläche zu überwachen.
Am 29. März 2023 meldeten mehrere Medien einen größeren Cyberangriff. Das BSI löste die Alarmstufe „orange“ aus. Den Vorfall als ungewöhnlich zu bezeichnen, wäre richtig… allerdings eher von den Auswirkungen her gesehen und nicht vom Vorgehen. Die vom Unternehmen 3CX hergestellte App – eine Telefonielösung – missbrauchten die Cyberakteuren als „Wirt“, um Schadcode an Nutzer der Software zu verteilen. In der Industrie nennt man ein solches Vorgehen Supply Chain Angriff. Das Unternehmen leitete eine Untersuchung ein und empfahl seinen Kunden, vorsichtshalber die eigene Lösung zu deinstallieren. Rein mengenmäßig handelt es sich bei der Attacke auf das zypriotische Unternehmen 3CX um einen der größten bekannten Cyberangriffe, aber passiert ist verhältnismäßig wenig. Und das lag vermutlich eher an den Zielen der Täter, welche bis heute noch unklar sind, als an den Möglichkeiten der Technik. Dennoch lohnt es sich den Vorfall näher zu betrachten, denn er erklärt viele Aspekte der derzeitigen Debatte um Cybersecurity.
Dimension Supply Chain
Der Angriff lässt sich den so genannten Supply Chain-Attacken zuordnen, zu denen auch die Vorfälle um Kaseya (2021) und Solarwinds (2022) gehören. Dabei wird in die Software eines Herstellers eine Malware eingeschleust, die anschließend mit dem gängigen Update-Verfahren ausgerollt wird. Diese Methode ist an sich schon älter, doch seit die Entwickler verstärkt auf Rapid Updates im Sinne eines DevOps-Verfahrens setzen, werden solche Angriffe häufiger. Infolge der vielen, meist kleinen Anpassungen wird Software von den Kunden seltener getestet - speziell, wenn sie eigentlich nur auf Endgeräten wie Smartphones oder Laptops zum Einsatz kommt.
Gelingt es nun dem Angreifer, den Prozess des Softwarelieferanten zu infiltrieren und seinen Schadcode an der Qualitätssicherung vorbei in den auszuliefernden Code zu schleusen, dann wird dieser mittels Update-Mechanismus auf allen Kundengeräten installiert. Genau das geschah bei besagtem 3CX-Angriff. Allein in Deutschland waren über 50.000 Systeme betroffen, und die dadurch gelegten Zugänge in Unternehmensnetze wären auf dem so genannten „Access as a Service“-Markt Millionen wert. Allerdings wurde die Attacke relativ frühzeitig entdeckt, was darauf schließen lässt, dass dies nicht die Motivation der Täter war.
Secure DevOps
Die erste Frage, die sich daher stellt, ist, wie es den Angreifern gelingen konnte, an den Sicherheitsmechanismen der Hersteller vorbeizukommen. Auch wenn der genaue Ablauf bis zum Abschluss der strafrechtlichen Ermittlungen vermutlich nicht öffentlich wird, so kann man mit Sicherheit sagen, dass es den Angreifern gelang, die Software zu signieren, so dass sie von den Aktualisierungswerkzeugen auch als reguläres Update erkannt wurde. Hierzu müssen die Täter Zugriff auf genau diese Prozesse gehabt haben. Die Vermutung liegt nahe, dass es ihnen gelang, sich Zugangsdaten zu beschaffen, um so direkt in die Softwareentwicklung einzugreifen. Werden Veränderungen nicht nachverfolgt oder, weil sie von berechtigten Personen durchgeführt wurden, nicht auf Schadcode untersucht, besteht durchaus die Möglichkeit Böses einzuschmuggeln.
Politik
Dieser spezielle Angriff ist aus politischer Sicht hochinteressant. Zum einen macht 3CX nach ersten Untersuchungen den nordkoreanischen Geheimdienst für den Angriff verantwortlich. Von diesem ist bekannt, dass er Internetkriminalität bewusst zum Zwecke der Devisenbeschaffung einsetzt. Da es allerdings nicht zu groß angelegten finanziellen Forderungen oder Erpressung kam und die allermeisten Opfer weitestgehend ungeschoren davonkamen, mag es sein, dass es diesmal nicht um Geld, sondern Informationen ging. Gut möglich, dass die Täter diese Attacke nur nutzten, um bei einigen ganz wenigen gezielt ausgesuchten Unternehmen einzudringen. Das Beunruhigende ist, dass Angriffe dieser Dimension, speziell wenn sie politischen Akteuren vorgeworfen werden, immer Nachahmer finden. Sollten Sie also Software entwickeln, die Sie an Kunden verteilen, stellen Sie sich darauf ein, dass Ihre Sicherheitsmaßnahmen getestet werden.
Die Lieferkettendebatte
Zum anderen sind derartige Angriffe auch politisch gefürchtet. Auffallend oft werden Supply Chain-Attacken von politisch motivierten Gegnern eingesetzt. Auch haben sie das Potenzial, mehrere Ziele gleichzeitig zu treffen. Es ist deshalb nicht verwunderlich, dass man sie vor allem im Zusammenhang mit Angriffen auf kritische Infrastruktur fürchtet.
In der EU- NIS 2-Direktive, die Ende letzten Jahres verabschiedet wurde, einigten sich deshalb die Länder darauf, auch die Lieferkette mit in die Gesetzgebung aufzunehmen. KRITIS Betreiber sind demnach aufgefordert, die IT-Sicherheit von Lieferanten zu prüfen. Diese Aufforderung trifft dabei auf eine bereits stetig wachsende Praxis. So rechnen in Deutschland 87% (weltweit 81%) der Unternehmen damit, dass Fragen zur Cybersecurity zumindest mittelfristig eine wichtige Rolle bei Geschäftsbeziehungen spielen werden.
Bisher ging es in der politischen Debatte dabei allerdings vorrangig um die Bereitstellung von Gütern oder Leistungen, die zur Durchführung der KRITIS-Tätigkeit essenziell sind. Mit NIS 2 wiederum wird diese Sichtweise um die Dimension der wirtschaftlichen Leistungsfähigkeit eines Betreibers erweitert. Auch dies ist eine Lehre aus der jüngeren Vergangenheit. Im Fall des Angriffs auf die Colonial Pipeline (2021) war die kritische Infrastruktur nicht betroffen. Weil aber durch den Ransomware-Angriff die gesamte Wirtschafts-IT ausfiel und keinerlei Abrechnung erfolgen konnte, entschied das Unternehmen die Auslieferung der kritischen Dienstleistung einzustellen. Ein solches Verhalten soll in der EU künftig unter Strafe gestellt werden können.
Die neue Dimension
Doch man kann es drehen und wenden, wie man will … ein Unternehmen wie 3CX passt in diese Problematik nicht hinein. Es liefert keine kritische Dienstleistung, sondern eine Verbesserung/Vereinfachung für seine Kunden. Es geht mehr oder weniger um eine von hunderten Apps, die in einem Unternehmenskontext eingesetzt werden und oftmals keinerlei strategische Bedeutung haben. Mit etwas über 100 Mitarbeitern und einem Umsatz von knapp 22 Millionen Euro fällt es auch nach NIS 2-Standards nicht in die KRITIS-Definition. Ein solches Eintrittstor kann die Gesetzgebung nicht schließen und angesichts der wirtschaftlichen Möglichkeiten von Unternehmen dieser Größenordnung sind auch ihre Cybersecurity-Fähigkeiten begrenzt. Dennoch liefern diese Anbieter oft einzigartige Lösungen, weshalb sie im Verhältnis zu ihrer Wirtschaftlichkeit sehr weit verbreitet sind. Damit sind sie ein ideales Ziel für Angreifer. Nachdem nun ein „Proof of ConCept“ gezeigt hat, wie effizient diese Methode ist, werden Nachahmer nicht ausbleiben.
Was ist zu tun
In der ganzen Debatte um Cybersicherheit wird leicht vergessen, dass E-Mail nur einer von vielen möglichen Eintrittspunkten in die Unternehmensstruktur ist. Immer wieder zeigt es sich, dass Software, von der selbst IT-Cracks nicht wissen, dass sie im eigenen Unternehmen eingesetzt wird, ebenfalls zu den Schwachpunkten zählen kann. Es gilt deshalb, die eigene Angriffsfläche im Blick zu haben und mit neuen Informationen aus der IT-Security-Gemeinde zu korrelieren. Das dadurch entstehende „Bild“ zeigt die Risikopunkte im Unternehmen und erlaubt so die Priorisierung von Gegenmaßnahmen.
Im Fachjargon heißt eine solche Technologie Attack Surface Risk Management (ASRM). ASRM ist dabei eng verwandt mit so genannter „Extended Detection & Response“ (XDR) und setzt häufig auf dieselben Sensoren. So können neben den eigentlichen Risiken auch Faktoren kalkuliert werden, die bereits eine Ausnutzung durch Angreifer anzeigen. Ein ASRM ist dafür gedacht, das unternehmerische Risiko von Cyberangriffen zu bestimmen und abzumildern. Es kommt deshalb nicht punktuell zum Einsatz, sondern dient einer beständigen Überwachung möglicher Gefahrenherde. Dadurch können proaktiv Gegenmaßnahmen koordiniert, sowie deren Umsetzung beobachtet und dokumentiert werden. Neue Risikofaktoren wie ein gerade entdeckter Angriff auf ein kleines Unternehmen in der Lieferkette können so sehr schnell entdeckt und mit geeigneten Maßnahmen bekämpft werden.