Cyber-Kriminalität
Supply Chain-Risiko aus Sicht des Incident Response
„Ach diese Maschine gehört unserem Service Provider, die ist sicher!“ Im Incident Response-Fall, also der nachträglichen Untersuchung eines erfolgreichen Angriffs, kommt diese Aussage überraschend oft. Leider irrt sich das Unternehmen dabei meistens.
Save to Folio
In der Cybersecurity gilt Phishing als das Einfallstor Nummer Eins für Cyberangriffe, und das ist zweifellos richtig. Aber ein erfolgreicher Phishing-Angriff bedeutet noch lange nicht, dass daraus zwangsläufig auch Schaden entstehen muss. Die Sicherheitstechnologie hat sich schon längst darauf eingestellt, dass irgendwann jeder Mitarbeiter auf einen Angriffs-Link klicken kann. Methoden wie Multifaktor-Authentifizierung und Strategien wie Extended Detection & Response (XDR) sowie Konzepte wie Zero Trust gibt es, um die Folgen dieses Problems frühzeitig zu handlen.
Die Idee dahinter ist einfach: Selbst wenn ein Täter Zugriff auf ein System im Netzwerk erhält, gilt es, ihn darauf zu beschränken und ihn beim Versuch der Ausbreitung so früh zu entdecken, dass weiterer Schaden verhindert wird. Phishing bedeutet nur den Start des Angriffs, was ihn erfolgreich macht, sind die Probleme innerhalb eines Netzwerks. Und dabei nimmt der Faktor „unbekanntes/nicht gemanagtes System“ mit über 50% der untersuchten Angriffe den ersten Platz ein.
Was ist ein „nicht gemanagtes“ System?
Der Sammelbegriff wird für Geräte unterschiedlicher Kategorien verwendet, Drucker, Smartphones oder veraltete Betriebssysteme, die keinen Agenten mehr vertragen -- all das kann dazu gehören. Im Angriffsfall handelt es sich aber meist um die von anderen ins Unternehmen eingebrachten Systeme.
Dabei geraten oft eigene Mitarbeiter in Verdacht. Denn denen traut man es zu, ungeschützte Geräte mitzubringen. Viele Angriffe passieren aber über Systeme, die das Security-Team sicher wähnte, weil sie von einem Managed Service Dienstleister implementiert wurden. Nicht nur dass man diesem Anbieter vertraut, oft sind sie sogar aktiv in die Sicherheitsbemühungen des Unternehmens eingebunden.
Aus Sicht der eigenen IT sind sie „nicht gemanagt“, weil sich die IT-Abteilung nicht selbst für zuständig hält oder weil das sogar in entsprechenden Verträgen auch klar so benannt wurde. Dabei sind auf diesen Geräten oft Fernwartungszugriffe verfügbar, und sie sind sogar mit dem Firmennetz verbunden. Obwohl oder gerade weil man keine eigene Kontrolle über die Sicherheit des Systems hat, sieht man es als geringes Risiko.
Herausforderung Supply Chain
Gesetzlich werden Unternehmen mit NIS 2 aufgefordert, die IT-Sicherheit ihrer Lieferkette in die Risikokalkulation zu übernehmen. Dazu müsste der Gesetzgeber normalerweise niemand erst auffordern, denn wer Zugänge hat, ist ein potenzielles Risiko. Beim Managed Service Provider gehen aber die IT-Abteilungen der beauftragenden Unternehmen davon aus, dass diese ihr Handwerk verstehen, und das ist auch in der Regel so.
Nur, je nach Auftragslage und Häufigkeit der Zusammenarbeit werden diese Systeme gewartet oder auch nicht. Nicht selten „vergisst“ der Provider, dass es überhaupt existiert. Hinzu kommt, dass viele Remote-Zugriffe auf schnellen Zugang optimiert sind und nicht auf maximale Sicherheit. So findet sich in den Fernwartungsoptionen keine Multifaktor-Authentifizierung und oft sogar nicht einmal komplexe Passwörter. Sie werden deshalb schnell zum Ausgangspunkt bzw. zur „Kommandozentrale“ des Angreifenden.
Dadurch, dass die Sicherheitsinformationen an ein anderes Unternehmen fließen, (wenn sie überhaupt eingesammelt werden), können Zusammenhänge mit anderen Vorkommnissen im Netzwerk nicht korreliert werden. Zudem fallen selbst ungewöhnliche Abfragen an das Systems nur selten auf, wenn die Zusammenarbeit mit dem Dienstleister über die Geschäftsbereiche des Unternehmens koordiniert wird und nicht über die IT.
Beispiel Produktionsumgebung
In einem Gespräch mit dem Werksleiter eines großen deutschen Teileherstellers wurde Cenen Enalbes, Sr. Incident Response Analyst Europe bei Trend Micro, und mir versichert, dass die Produktionsumgebung hermetisch vor IT-Angriffen abgeschirmt sei. Man habe eine so genannte „Air-Gap“-Lösung, bei der sämtliche Verbindungen zur Office IT und dem Internet gekappt wären.
Auf die Frage, wie der Leiter das Risiko des bösartigen USB-Sticks eines Serevicetechnikers einschätze – ein Verfahren, dass beispielsweise im „Stuxnet“-Fall eingesetzt wurde – teilte man uns mit, dass kein Servicetechniker die Produktionshalle betreten würde. Man habe sich mit dem Dienstleister auf „Fernwartung“ geeinigt. Bei der von uns und unseren Kontakten im Unternehmen angestoßenen Untersuchung der dafür nötigen Infrastruktur stellte sich heraus, dass die Fernwartungstechnologie genauso alt wie die Produktionsanlage selbst war -- zu diesem Zeitpunkt mehr als 10 Jahre.
Als man den Service Provider fragte, wurde ein ebenso alter Schriftverkehr hervorgeholt, in der längst schon im Ruhestand befindliche Mitarbeiter des Kunden beim Service Provider unterschrieben hatten, sich selbst um die Wartung und den Austausch der Infrastruktur zu kümmern. Eine Dokumentation der dafür benötigten Zugangsdaten war in beiden Firmen nicht mehr vorhanden. Da das System bereits viele bekannte Schwachstellen hatte, ist diese allerdings auch nicht mehr nötig.
Fazit
Auch wenn das Beispiel in dieser Form selten in der Office IT zu finden ist, so trifft man dort häufig auf ähnliche Missverständnisse zwischen Zulieferer und Kunde. Im Regelfall sollten beide Parteien Wege suchen, um so etwas zu vermeiden, alles andere erschwert eine weitere Zusammenarbeit. Weil das aber leider oft nicht geschieht, hat der Gesetzgeber die Zuständigkeit mit NIS 2 eindeutig geregelt.
Verantwortlich im Sinne des Gesetzes ist der einsetzende Kunde. Durch die Pflicht zur Betrachtung der Lieferkette im Cyberrisiko-Management muss das Unternehmen derartige Geräte auf mögliche Risiken untersuchen und dieses abmildern. Klare Regelungen können dabei auch Pflichten des Lieferanten mit einschließen. Es muss lediglich belegt werden, welche Aufgaben, wie verteilt sind. Darüber hinaus ist der Kunde gefordert, ein ihm durch ein solches Gerät entstehendes Risiko zu überwachen. Dies kann beispielsweise durch ein Gerät der Netzwerksicherheit wie Netzwerk Detection und Response erfolgen.
Natürlich bedeutet „verantwortlich sein“ nicht gleich „Schuld sein“. Selbst mit besten Absichten lassen sich Schäden oder Fehler nicht immer vermeiden. Aber es muss dokumentiert werden, was getan wird, um die Risiken zu mindern und das ist Aufgabe des Kunden.