Am vergangenen Freitag wurde die bekannte Lernplattform Canvas zum Ziel eines Angriffs der Hackergruppe „ShinyHunters“, die bereits mit ihrer Attacke auf den bekannten Spieleentwickler Rockstar Games auf sich aufmerksam machten.
Zwei Sicherheitsexperten von Veeam Software ordnen diesen Vorfall ein und zeigen auf, wie Unternehmen SaaS-Tools wie Canvas absichern können und sollten.
Dave Russell, SVP and Head of Strategy bei Veeam Software: „Der Umstieg auf Software-as-a-Service (SaaS) beseitigt Risiken nicht, er verändert sie lediglich. Selbst wenn der Anbieter die Plattform absichert, verbleibt die Pflicht, die eigenen Daten zu sichern, aufzubewahren und ihre Wiederherstellbarkeit zu garantieren, bei den Unternehmen, die sie nutzen. SaaS stellt immer eine Angriffsfläche dar. Wer Cyberresilienz gewährleisten will, muss das Szenario einplanen, dass kritische Dienste ohne große Vorwarnung ausfallen oder plötzlich nicht mehr vertrauenswürdig sind. Unternehmen müssen pragmatisch vorgehen und die konsequente Datenhygiene vor Ort, in der Cloud und bei SaaS durchsetzen und die Pflege unabhängiger, wiederherstellbarer Kopien geschäftskritischer Daten garantieren. Auf diese Weise verläuft die Wiederherstellung nach dem selbst definierten Zeitplan und nicht nach dem des Angreifers.“
Rick Vanover, VP of Product Strategy bei Veeam Software: „SaaS-Lösungen verleiten nach der erstmaligen Einrichtung zu einer Sorglosigkeit, die sich leider schnell rächen kann. Das Shared-Responsibility-Modell ist dann vergleichbar mit dem Kleingedruckten, das niemand liest, bis ein Sicherheitsvorfall es dann übergroß sichtbar macht: Der Anbieter betreibt den Dienst, aber für das Ergebnis ist der Nutzer und somit das Unternehmen verantwortlich – einschließlich der Wiederherstellung der eigenen Daten und der Aufrechterhaltung des Geschäftsbetriebs. Unternehmen sollten SaaS wie jedes andere Produktionssystem behandeln: Sie müssen Identitäten absichern, wissen, wo sich ihre Daten befinden, sie sauber halten und zuletzt gewährleisten, dass sie einen Wiederherstellungsplan haben, der nicht von derselben Plattform abhängt, die gerade womöglich einen schlechten Tag hat. Ransomware braucht den Single-Point of Failure. Unternehmen dürfen ihr keinen geben.“
#Veeam
