Ausnutzung von Schwachstellen
Teures Lehrgeld für einen Dienstleister
Der Supply-Chain-Angriff auf die Südwestfalen-IT hätte andere Unternehmen genauso treffen können. Die gleichen Sicherheitsherausforderungen haben viele. Ein Kommentar zu möglichen Lehren, von Risikobetrachtung bis permanentem Monitoring.
Ende Oktober wurde die Südwestfalen-IT (SIT) Opfer eines Ransomware-Angriffs. Da die SIT ein Zweckverband der südwestfälischen Kommunen ist und als Dienstleister die IT für 72 Kommunen betreibt, waren neben der SIT auch all diese Kommunen betroffen. Sie konnten ihre IT nicht mehr nutzen und auch digitale Dienstleistungen für die Bürger und Bürgerinnen nicht mehr anbieten.
Es handelt sich um einen klassischen so genannten Supply-Chain-Angriff. Kriminelle nutzen diese Attacken, um möglichst viele Unternehmen auf einen Schlag zu treffen. Damit steht vor allem der Dienstleister unter dem Druck, möglichst rasch zu handeln, kann er doch im schlimmsten Fall sogar einen Großteil seiner Kunden verlieren. In vorliegendem Fall wurde Unzufriedenheit und daraus resultierender politischer Druck als wirtschaftlicher Druck an das initiale Opfer weitergegeben, welches nun seinen Bericht vorlegte, wie es zu dem Überfall kommen konnte.
Von Softwarelücken und Passwörtern
Wer sich beruflich mit Cyberangriffen beschäftigt, wird vielleicht die Augen verdrehen und denken: Softwarelücken und Passwörter, man kann es nicht mehr hören! Ja, den Angreifern der Gruppe Akira gelang es laut forensischem Bericht, Passwörter zu „erraten“ und mittels einer nicht gepatchten (obgleich Update vorhanden) Schwachstelle weiterzukommen.
Als ob es nicht immer so wäre. Dass Passwörter eine wichtige Rolle spielen und deshalb von Kriminellen ausspioniert werden, sind keine News. Das „Erraten“ mag sich als „IT-Magic“ anfühlen, ist es aber nicht. Denn Menschen verwenden häufig Muster, um sich Dinge merken zu können. Werden Accounts von mehreren Mitarbeitern genutzt, dann sind diese Muster häufig so angelegt, dass mehrere Menschen sich diese merken können – und damit manchmal einfacher zu erraten als wir es für möglich halten. Deshalb gehören Passwörter mit Multifaktor-Authentifizierung abgesichert. Dies erhöht zwar den Aufwand für normale Nutzer, aber auch für Täter.
Doch mal ehrlich: Wie viele Passwörter gibt es denn in Ihrem Unternehmen, die nicht über MFA gesichert sind?
Die gleiche Frage lässt sich auch zu Sicherheitslücken stellen. Denn dies ist der zweite Faktor, der praktisch immer eine Rolle spielt. Klar müssen alle Schwachstellen gepatcht werden, und zwar umgehend. Aber ist das realistisch? Das BSI nennt in seinem Lagebericht zur IT Sicherheit 2023 70 neu entdeckte Schwachstellen in Softwareprodukten pro Tag. Das sind etwas über 25.500 im Jahr. Natürlich sind nicht alle für jedes Unternehmen relevant. Das bedeutet, die IT-Abteilung muss erst einmal herausfinden, ob ihre Unternehmens-IT betroffen ist und dann, was es zu tun gibt. Je seltener die betroffene Software, je geringer der CVSS (Common Vulnerability Scoring System) Wert, desto höher die Wahrscheinlichkeit, dass es dauert, bis ein Patch vorhanden ist. Das sind Erfahrungswerte, nicht nur in der Security, sondern die kennen auch die Angreifer.
Die Lehren
Die SIT hat nun leider auf die harte Tour erfahren müssen, was man besser hätte machen können. Für die „hätte es“ oder „wären“ ist es nun zu spät. Natürlich will man es besser machen… nächstes Mal… wenn es denn dazu kommt. Die Herausforderungen bleiben bestehen. Doch sind solche Fehler tatsächlich vermeidbar?
Im Leben gibt es immer wieder Situationen, in denen man auch mal wider besseres Wissen ein Risiko akzeptieren muss. Das Gleiche gilt auch für die IT-Security, nur dass hier die „virtuelle Vorspultaste“ aktiviert wird und Risiken viel schneller und häufiger Realität werden, als das in der normalen Welt passiert. IT ist ein Beschleuniger – im guten wie im schlechten Sinne. Risiken, wenn sie denn eingegangen werden müssen, gehören genauestens beobachtet und verwaltet. Gibt es Anzeichen für verdächtiges Verhalten oder Bedrohungen, müssen umgehend Gegenmaßnahmen getätigt werden. All das muss möglichst automatisierbar geschehen. Denn Geschwindigkeit ist das A und O unserer Branche.
Anwender aber, die IT-Security immer noch wie früher handhaben und erst darauf warten, dass etwas passiert, bevor gehandelt wird, müssen sich nicht wundern, wenn dann das Aufräumen länger dauert.
NIS 2 und die Verantwortung
Natürlich hat jeder Dienstleister ein Eigeninteresse, das sich aus der Verantwortung für seine Kunden ergibt. Der Provider möchte solche Vorfälle weitestgehend verhindern oder die Auswirkungen minimieren. Auf der Seite der Angreifer stehen allerdings hochspezialisierte Experten, die selbst die kleinsten „Fehler“ ausnutzen können. Tatsächlich erwarten wir eine Zunahme von Supply Chain-Angriffen, weil ein Angreifer damit - wie bereits erwähnt - mit einmaligem Aufwand, viele Opfer erreichen kann.
Doch künftig wird man nicht mehr alle Schuld beim Dienstleister suchen. Der Gesetzgeber wird die Verantwortung im Rahmen der NIS 2-Direktive deshalb auch auf die Unternehmen ausdehnen, die innerhalb der Supply Chain als Kunde angreifbar sind. Das Gesetz hält dazu fest, dass Unternehmen das Cyberrisiko, welches durch die IT-Verknüpfungen mit Partnern, Kunden oder Dienstleistern entsteht, bewerten müssen.
Hier wird gefragt, wie man denn das Risiko eines solchen Vorfalles bewertet habe und welche Gegenmaßnahmen deshalb eingerichtet wurden. Der Gesetzgeber erhofft sich dabei zweierlei. Erstens, Cybersecurity soll zum Thema werden in Geschäftsbeziehungen. Alle Unternehmen haben damit den Anreiz, ihre Maßnahmen zu optimieren. Zweitens, im Besonderen für die von NIS 2 erfassten wichtigen und besonders wichtigen Unternehmen gilt, dass sie ihre eigene IT soweit segmentieren müssen, dass selbst ein solcher hoch gefährlicher Angriff maximal einen kleinen Teil der Infrastruktur betrifft.
Und schließlich: Vielleicht sollte der IT-Planungsrat die eindringliche Empfehlung des Bundesverbands IT-Sicherheit (Teletrust) ernstnehmen, die Vorgaben der NIS2-Richtlinie auch auf die Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene sowie Bildungseinrichtungen auszuweiten. Dies ist eigentlich auch in der Direktive so vorgesehen. Lediglich Einrichtungen, welche die nationale Sicherheit betreffen, sind seitens der EU nicht berücksichtigt, weil die Union per Vertrag in diese Bereiche nicht eingreifen darf, und ohnehin davon auszugehen ist, dass der Sicherheitsstandard dort höher ist, als es NIS 2 fordert.