Ein Teil der Aufgabe von Führungskräften im Bereich der Cybersicherheit besteht darin, einzelne Ereignisse zu betrachten und die Punkte miteinander zu verbinden. Muster zu erkennen, ein größeres Bild zu entwerfen und über düstere Warnungen hinauszugehen - hin zu Strategien für eine hellere digitale Zukunft. Der Ransomware-Angriff von Kaseya, der sich am Wochenende des vierten Juli ereignete, stellt, so schrecklich er auch sein mag, eine Gelegenheit dar, die Punkte miteinander zu verbinden.
Der Kaseya-Angriff traf Tausende von Opfern, die meisten davon, so Kaseyas Schadensbericht, kleinere Organisationen mit dünneren Geldbörsen: "Zahnarztpraxen, Architekturbüros, Zentren für plastische Chirurgie, Bibliotheken und so weiter." Dennoch war es für die Angreifer wirtschaftlich sinnvoll, denn Kaseya diente als effizientes Vertriebszentrum für ihre Giftpillen-Software. Kaseya VSA, das weit verbreitete SaaS-Angebot des Unternehmens für die IT-Automatisierung, wurde zum unfreiwilligen Liefersystem - im Dienste der Black Hats.
Schockierend? Ganz und gar nicht. Es ist dieselbe Strategie, die beim Angriff auf SolarWinds Ende 2020 zu beobachten war. Auch hier wurde ein SaaS-Anbieter infiltriert, der eine lange Liste von Zielen angriff. Und der offensichtliche Täter des Kaseya-Angriffs, das mit Russland verbundene REvil, wird auch für den Ransomware-Angriff auf den internationalen Fleischverarbeiter JBS am Memorial Day verantwortlich gemacht.
Verbinde die Punkte. Die Schlussfolgerungen schreiben sich von selbst:
- Das Hijacking von SaaS-Anbietern macht Massenangriffe auf kleine Ziele kostengünstig.
- Das Vertrauen in herkömmliche Strategien zur Verhinderung von Angriffen hat immer wieder zu kostspieligen und erniedrigenden Niederlagen geführt. Malware dringt regelmäßig unbemerkt in die Zielperimeter ein.
- Die meisten von uns überprüfen ihre Cybervorkehrungen nicht mit der gleichen Dringlichkeit, die jetzt angebracht wäre. Die Ähnlichkeiten zwischen den Angriffen auf SolarWinds, Colonial Pipeline, JBS und Kaseya sind deutlich genug. Sie geben uns eine klare Lernkurve, die wir erklimmen müssen. Im Großen und Ganzen reagieren wir nicht.
Aufschieben hat seinen Reiz, und vielleicht liegt es in der menschlichen Natur. Aber es ist besser, in die Vorbereitung zu investieren als in ein post hoc Krisenmanagement. Nach dem SolarWinds-Angriff befragte Vectra 1.112 Sicherheitsexperten, die in mittleren bis großen Unternehmen arbeiten. Ein wichtiges Ergebnis:
"[Ein] hohes Maß an Vertrauen wurde unter den Sicherheitsteams in die Effektivität der Sicherheitsmaßnahmen ihres eigenen Unternehmens festgestellt: fast 4 von 5 geben an, einen guten oder sehr guten Einblick in Angriffe zu haben, die Perimeter-Verteidigungen wie Firewalls umgehen."
In Wahrheit wissen wir, dass keine Anwendung, kein Netzwerk und kein Rechenzentrum unverwundbar ist. Wenn sich die Entscheidungsträger eines Unternehmens in Bezug auf ihre Fähigkeit, Hacker abzuwehren, in falscher Sicherheit wiegen, sind sie wahrscheinlich nicht mit den notwendigen Tools ausgestattet, um erfolgreich zu sein.
Der Kaseya-Angriff ist eine weitere Erinnerung daran, dass Selbstzufriedenheit einen schrecklichen Preis fordern kann. Da das Risiko eines Angriffs nicht mehr auf große Unternehmen mit tiefen Taschen beschränkt ist, sollte der Vorfall in mehr IT-Abteilungen neue Sicherheitsdiskussionen auslösen. SaaS-Abonnementbeziehungen und die Sicherheitsrichtlinien von Managed-Service-Anbietern sollten neu geprüft werden. Wenn sich Ihr Unternehmen auf Produkte wie Kaseya VSA verlässt, sind Sie nur so sicher wie Ihr Anbieter. In dem Maße, in dem Unternehmen immer mehr auf die Datenspeicherung und SaaS-Lösungen angewiesen sind, die an cloud ausgelagert werden, können die Schwachstellen zunehmen.
Letztes Jahr sagten wir, dass es Monate dauern würde, um das volle Ausmaß des Schadens durch den SolarWinds-Angriff zu ermitteln; jetzt sagen wir genau dasselbe über den Kaseya-Ransomware-Angriff. Dennoch sollten wir optimistisch sein, dass wir als digitale Gesellschaft die Zusammenhänge erkennen und das Blatt wenden werden. Seit Jahren wissen wir um die Vorzüge einer robusten Netzwerküberwachung und einer schnellen Erkennung von unvermeidlichen Sicherheitsverletzungen. Präsident Bidens Durchführungsverordnung vom Mai 2021 macht die Erkennung von Angriffen - und bessere Untersuchungs- und Abhilfemöglichkeiten - zu einer Priorität für die Bundesregierung. Ich fordere Unternehmensleiter weltweit auf, auf den Kaseya-Ransomware-Angriff zu reagieren, indem sie ihre Umstellung auf eine effektivere Cybersicherheitsstrategie beschleunigen.
Die Kaseya-Katastrophe kann eines Tages als ein Wendepunkt in Erinnerung bleiben, der schließlich zu einer besseren Sicherheitslage führte. Sollte dies der Fall sein, haben uns die Cyberpiraten einen unwahrscheinlichen, unbeabsichtigten Dienst erwiesen.