Sunburst verdeutlicht, dass die Bedrohung überall stecken kann – ein Kommentar von Michael Scheffler, Country Manager DACH von Varonis.
Kein Zweifel: Der Sunburst-Angriff wird die Cybersecurity auf ähnliche Weise dauerhaft verändern wie Wannacry oder die NSA-Leaks. „Gehen Sie davon aus, gehackt zu sein, da dies wahrscheinlich tatsächlich der Fall ist“ ist eine alte Cybersecurity-Weisheit, deren Wahrheit sich in aller Deutlichkeit durch den Sunburst-Vorfall zeigt. Sicherheitsexperten haben immer wieder darauf hingewiesen, dass auch die (Software-)Lieferkette ein Einfallstor für Angriffe ist. Der Beweis ist nun endgültig erbracht. Aber was können wir daraus lernen? Was ist das wirklich Neue und Alarmierende aus diesem Angriff?
Dreierlei: Erstens müssen wir unsere Wachsamkeit weiter erhöhen. Einer der „Erfolge“ der Angreifer war die Erbeutung von Angriffstools, die Fireeye im Rahmen seiner Red-Teaming-Projekte einsetzt. Diese stehen nun Cyberkriminellen zur Verfügung, ganz ähnlich wie vor einigen Jahren im Rahmen der NSA-Leaks. Die Bedrohung nimmt also weiter zu.
Zweitens hat es mit Solarwinds ein Unternehmen getroffen, deren Lösungen sehr weit verbreitet sind. Allein in Deutschland nutzten oder nutzen 15 Ministerien und Bundesämter die Software. Weltweit geht man von 18.000 infizierten Systemen aus, darunter auch prominente Organisationen wie das US-amerikanische Finanzministerium, Handelsministerium, Heimatschutzministerium, Außenministerium, Teile des Pentagons und das US-Energieministerium inklusive seiner untergeordneten National Nuclear Security Administration (NNSA), die das Atomwaffenarsenal der USA verwaltet. Bei der schieren Menge an Opfern werden die Cyberkriminellen sich zunächst den lukrativsten zuwenden. Gleichwohl ist es natürlich denkbar, dass sie ihre Zugänge auch an andere Banden weiterverkaufen.
Und drittens müssen wir unsere Abwehr-Strategien hinterfragen: Da sich der Perimeter, also die äußeren Grenzen von Unternehmensnetzwerken, immer stärker auflöst, und Angreifer alle denkbaren Wege in die Unternehmensinfrastrukturen nutzen, müssen wir unser Augenmerk auf das richten, was schützenswert ist. Dies kann sich von Unternehmen zu Unternehmen deutlich unterscheiden. Im Falle von Fireeye waren es die Tools, bei Microsoft ebenfalls die Software mit der Zielsetzung, andere Unternehmen anzugreifen. Unternehmen müssen also herausfinden, was ihre wertvollsten Assets sind und diese gezielt überwachen und schützen. In aller Regel sind es Dateien und Daten: Bei Journalisten die Artikel, an denen sie gerade schreiben, bei Pharmakonzernen Forschungsergebnisse, bei Finanzdienstleistern interne Analysen usw. Diese Daten stellen Vermögenswerte dar, die identifiziert und gesichert werden müssen.
Hier helfen aber keine Schlösser: Wenn man (zurecht) davon ausgeht, dass sich die Angreifer bereits innerhalb der eigenen Systeme befinden, bleibt nur die Überwachung auf auffälliges Verhalten im Zusammenhang mit diesen wertvollen Assets. Sicherheitsverantwortliche müssen schnell erkennen können, wenn diese plötzlich von Personen geöffnet und kopiert werden, die sie normalerweise nicht nutzen. Oder wenn auf sie von unüblichen Orten oder zu unüblichen Zeiten zugegriffen wird. Sämtliches abnormales Verhalten muss erkannt und entsprechend unterbunden werden. Nur so lassen sich die wertvollsten Inhalte (seien es Daten, Software oder andere digitale Güter) schützen – ganz gleich, auf welchem Weg es die Angreifer ins Innere geschafft haben.
#Varonis