SIEM

Was wäre, wenn Unternehmen ihre eigenen Schwachstellen erkennen könnten?

, Logpoint

Was wäre, wenn Unternehmen ihre eigenen Schwachstellen erkennen könnten?

Logpoint zum MS-Office 365-Vorfall

Von Sven Bagemihl, Regional Director CEMEA bei Logpoint

Mitte Juli gelang es mutmaßlich der chinesischen Hackergruppierung Storm-0558 Microsoft E-Mailkonten in 25 Ländern zu kapern. Inzwischen wurde bekannt, dass sie dafür zwei wesentliche Schwachstellen ausnutzten. Zum einen fiel ihnen ein privater Chiffrierschlüssel (MSA-Schlüssel) in die Hände und zum anderen profitierten sie von einem fehlenden Validierungsverfahren für die Prüfung gefälschter neuer Zugangstokens. Zusammen ergab das den perfekten Moment, um in Microsoft-Umgebungen einzudringen.

Sven Bagemihl, Regional Director bei Logpoint

Welche Unternehmen von dem Hackerangriff betroffen sind und welche Daten nun in welche Hände gelangt sind, werden wir erst nach und nach erfahren. Der Report Storm Season for Microsoft des Institutes for Security and Safety (ISS) fasst die bisher bekannt gewordenen Details aus technischer Sicht zusammen. Wichtig ist aber die Erkenntnis, wie schwer es selbst für einen Konzern wie Microsoft ist, die Schwachstellen zu beheben, solche Angriffe im hauseigenem SIEM Sentinel überhaupt zu erkennen und angemessen darauf zu reagieren. Dies wirft die Frage auf, wie sinnvoll es ist, darauf zu vertrauen, dass ein Software-Anbieter seine eigenen Services im Hinblick auf Security in einem kostenfreien Produkt überprüft. Kunden vertrauen also darauf, dass Microsoft seine eigenen Schwachstellen findet, bekämpft und öffentlich dazu steht. Allein in Deutschland, so zeigen die Ergebnisse einer Bitkom-Studie von 2022, verursachten Cyberattacken Kosten von mehr als 203 Millionen Euro. Die Folgekosten einer nachträglichen Aufdeckung und die forensischen Aufräumarbeiten sind also immens. In dem vor einigen Wochen veröffentlichen Cost of a Data Breach-Bericht von IBM werden die durchschnittlichen Kosten eines Sicherheitsvorfalls mit 4,4 Millionen US-Dollar angegeben. Viel zu viele Unternehmen wissen jedoch gar nicht, dass sie nahezu täglich einen Sicherheitsvorfall haben, weil sie weder über die nötigen Fachleute noch die nötigen Erkennungstechnologien verfügen.

Besonders betroffen sind mittelständische Unternehmen. Sie sollten nach den neuen Vorgaben durch die ISO-Version 27001:22 ein SIEM-System mit einer durch maschinelles Lernen trainierten Verhaltenserkennung (UEBA) einsetzen. Dies ermöglicht Cyberangriffe schnell zu entdecken, Compliance-Regeln automatisiert zu überprüfen und auf Sicherheitsvorfälle zügig reagieren zu können. Es gibt mittlerweile auch eine gute Anzahl vom BSI zertifizierten Dienstleistern, die mit dem entsprechenden Fachpersonal und erprobten technischen Lösungen wie beispielsweise der Logpoint-Plattform einen guten rundum Schutz bieten.