Ransomware

Vectra AI hofft auf Lerneffekt nach Kaseya-Ransomware-Angriff

, München, Vectra AI | Autor: Herbert Wieler

Vectra AI hofft auf Lerneffekt nach Kaseya-Ransomware-Angriff

Umdenken in den Vorstands- und Geschäftsführer-Büros

Langsam zeichnen sich die Folgen der Ransomware-Attacke, bei der Kriminelle Sicherheitslücken in der Kaseya-Software geschickt ausgenutzt haben, ab.

Hitesh Sheth, CEO und Gründer Vectra AI hofft, dass dieser Vorfall nun endlich zu einem Umdenken in den Vorstands- und Geschäftsführer-Büros führt:

„Ein Teil der Aufgabe von Führungskräften in der Cybersicherheit ist es, einzelne Ereignisse zu betrachten und die Punkte zu verbinden. Es gilt Muster zu erkennen, ein größeres Bild zu entwerfen und über düstere Warnungen hinauszugehen – hin zu Strategien für eine bessere digitale Zukunft. Der Ransomware-Angriff von Kaseya, der sich am Wochenende des 4. Juli ereignete, stellt, so schrecklich er auch war, eine Gelegenheit dar, Punkte miteinander zu verbinden.

Der Kaseya-Angriff traf Tausende von Opfern, die meisten, so der Schadensbericht, waren kleinere Unternehmen oder Institutionen mit schmalerem Budget: „Zahnarztpraxen, Architekturbüros, Zentren für plastische Chirurgie, Bibliotheken und so weiter“. Dennoch war es für die Angreifer wirtschaftlich sinnvoll, denn Kaseya diente als effizienter Verteilungspunkt für ihre Giftpillen-Software. Kaseya VSA, das weit verbreitete SaaS-Angebot des Unternehmens zur IT-Automatisierung, wurde zum unwissentlichen Liefersystem – im Dienste der Black Hats.

Schockierend? Ganz und gar nicht. Es ist die gleiche Strategie, die bei dem Angriff auf SolarWinds Ende 2020 zu beobachten war. Auch hier wurde durch die Infiltration eines SaaS-Anbieters eine lange Liste von Zielen zum Opfer. Und der offensichtliche Akteur des Kaseya-Angriffs, die mit Russland verbundene Gruppe REvil, wird auch für den Ransomware-Angriff auf den internationalen Fleischverarbeitungskonzern JBS am Memorial Day verantwortlich gemacht.

Verbindet man die Punkte, ergeben sich die Schlussfolgerungen ergeben von selbst:

  • Das Hijacking von SaaS-Anbietern macht Massenangriffe auf kleine Ziele kostengünstig.
  • Das Vertrauen in traditionelle Strategien zur Angriffsabwehr hat immer wieder zu kostspieligen und demütigenden Niederlagen geführt. Malware dringt regelmäßig unbemerkt in die Perimeter von Zielen ein.
  • Die meisten Unternehmen überdenken ihre Cybervorsorge nicht mit der halben Dringlichkeit, die jetzt angebracht wäre. Die Ähnlichkeiten zwischen den Angriffen von SolarWinds, Colonial Pipeline, JBS und Kaseya sind deutlich genug. Sie geben eine klare Lernkurve vor, die es zu erklimmen gilt. Im Großen und Ganzen reagieren die potenziellen Opfer jedoch nicht.

Prokrastination hat seinen Reiz, und vielleicht liegt es in der menschlichen Natur. Es ist jedoch besser, in die Vorbereitung zu investieren als in ein Post-hoc-Krisenmanagement. Nach dem SolarWinds-Angriff befragte Vectra 1.112 Sicherheitsexperten, die in mittleren bis großen Unternehmen arbeiten.

Unter den Sicherheitsteams zeigte sich ein hohes Maß an Vertrauen in die Effektivität der Sicherheitsmaßnahmen des eigenen Unternehmens: Fast 4 von 5 gaben an, eine gute oder sehr gute Sicht auf Angriffe zu haben, die Perimeter-Verteidigungen wie Firewalls umgehen.

In Wahrheit ist aber doch bekannt, dass keine Anwendung, kein Netzwerk und kein Rechenzentrum unverwundbar ist. Wenn sich die Entscheidungsträger eines Unternehmens in falscher Sicherheit wiegen, was ihre Fähigkeit angeht, Hacker abzuwehren, sind sie wahrscheinlich nicht mit den notwendigen Tools ausgestattet, um erfolgreich zu sein.

Der Kaseya-Angriff ist eine weitere Erinnerung daran, dass Selbstgefälligkeit einen schrecklichen Preis fordern kann. Da das Risiko eines Angriffs nicht mehr auf große finanzstarke Unternehmen beschränkt ist, sollte der Vorfall neue Sicherheitsdiskussionen in mehr IT-Abteilungen auslösen. SaaS-Abonnementbeziehungen und die Sicherheitsrichtlinien von Managed-Service-Anbietern sollten neu geprüft werden. Wenn sich ein Unternehmen auf Produkte wie Kaseya VSA verlässt, ist es nur so sicher wie sein Anbieter. Je mehr sich Unternehmen auf die Datenspeicherung und in die Cloud ausgelagerte SaaS-Lösungen verlassen, desto größer können die Schwachstellen werden.

Letztes Jahr hieß es, dass es Monate dauern würde, um das volle Ausmaß des Schadens beim SolarWinds-Angriff zu ermitteln – genau wie jetzt beim Kaseya-Ransomware-Angriff. Dennoch sollten wir optimistisch sein, dass wir als digitale Gesellschaft die Punkte verbinden und das Blatt wenden werden. Seit Jahren wissen wir um die Vorzüge einer robusten Netzwerküberwachung und einer schnellen Erkennung von unvermeidlichen Sicherheitsverletzungen. Präsident Bidens Executive Order vom Mai 2021 macht die Erkennung von Angriffen – und bessere Untersuchungs- und Abhilfemöglichkeiten – zu einer Priorität für die US-Bundesregierung. Unternehmensleiter weltweit sind jetzt gefordert, auf den Kaseya Ransomware-Angriff zu reagieren, indem sie ihre Umstellung auf eine effektivere Cybersicherheitsstrategie beschleunigen.

Die Kaseya-Katastrophe könnte eines Tages als ein Wendepunkt in Erinnerung bleiben, der schließlich zu einer besseren Sicherheitslage führte. Wenn das eintritt, haben uns die Kriminellen einen unbeabsichtigten Dienst erwiesen.“