Wenn das vergangene Jahr die Unternehmer etwas gelehrt hat, dann, dass die Auswirkungen von gezielten Cyber-Angriffen eine weltweit ernstzunehmende Gefahr sind. Von den Schäden des SolarWinds-Angriffs auf die Software-Lieferkette bis hin zur aufgedeckten Apache-Log4j-Schwachstelle in Java-Umgebungen – noch nie war es so wichtig, dass Unternehmen jeder Art und Größe über eine umfassende und robuste Sicherheitsinfrastruktur verfügen, obwohl sie selbst nicht unbedingt im Fadenkreuz stehen müssen. Vorsorgen ist besser als Heilen.
Viele betrachten den inzwischen berühmten SolarWinds-Angriff von Ende 2020 als einen wichtigen Katalysator für die andauernde Welle von Angriffen der fünften Generation. Solche groß angelegten Aktionen haben eine praktisch unbegrenzte Reichweite mit verheerenden Sicherheitsfolgen für Unternehmen und Behörden auf der ganzen Welt.
Ein Jahr später wurde die Apache-Log4j-Schwachstelle in Java-Umgebungen aufgedeckt, die es Hackern ermöglichte, Codes aus der Ferne auf fast jedem Computer auszuführen, um die Kontrolle zu übernehmen, Daten zu stehlen oder sogar den Rechner eines Benutzers zum Schürfen von Krypto-Währung zu kapern.
Bei dem ersten Vorfall handelte es sich um einen orchestrierten Angriff einer fortschrittlichen, hartnäckigen Bedrohungsgruppe, bei dem zweiten um eine Zero-Day-Schwachstelle, die niemand kommen sah. Eines haben beide Vorfälle jedoch gemeinsam: Sie haben das Risiko und die Anfälligkeit für Unternehmen in jedem Sektor und in jedem Winkel der Welt erhöht. Während Unternehmen ihren Kurs bis 2022 und darüber hinaus planen, war es nie offensichtlicher, dass IT-Sicherheit ein globales und kein lokales Problem geworden ist, was sich in jeder zukünftigen Strategie widerspiegeln sollte.
Der Anstieg der Gen-V-Angriffe
Gen-V-Angriffe, Angriffe der fünften Generation, sind deshalb einzigartig, weil sie breite Angriffsflächen und mehrere Angriffswege nutzen, um eine große Anzahl von Unternehmen zu infiltrieren; sie nehmen in einem noch nie dagewesenen Tempo zu. In einer Zeit, in der Unternehmen und Behörden ihre Netzwerke ausweiten und immer mehr Endpunkte und vernetzte Geräte hinzufügen, ist auch das Risiko, von einem Gen-V-Angriff getroffen zu werden, so hoch wie nie zuvor.
Wie im Check-Point-Sicherheitsbericht 2022 beschrieben, löste die Sicherheitslücke bei SolarWinds, von der mehr als 18 000 Unternehmen auf der ganzen Welt betroffen waren, eine Flut von Angriffen auf die Lieferkette aus, deren Schäden anhalten. In einem Jahr, in dem Attacken auf Unternehmensnetzwerke insgesamt um 50 Prozent zunahmen, verzeichneten Software-Anbieter wie SolarWinds mit einem Anstieg von 146 Prozent den größten Zuwachs im Vergleich zum Vorjahr.
Die Wirtschaft unserer Zeit ist aber auf einem komplizierten Netz von Software-Lieferketten aufgebaut, was bedeutet, dass mit jedem zusätzlichen Angriff auf einen Software-Anbieter die Verwundbarkeit von Unternehmen auf der ganzen Welt zunimmt.
Treibstoff für Angriffe: der Sunburst-Katalysator
Der Angriff auf die Lieferkette der SolarWinds-Software wurde durch eine Hintertür namens Sunburst ermöglicht, die dem SolarWinds-Orion-System hinzugefügt wurde, bevor sie über ein Routine-Update an Kunden in aller Welt verteilt wurde. Dadurch erhielt die APT-Gruppe (Advanced Persistent Threat) verdeckten Zugang zu Tausenden von SolarWinds-Kundennetzwerken, von Regierungsbehörden bis hin zu Fortune-500-Unternehmen.
Leider ist diese Art von konzentrierten Angriffen durch APT-Gruppen auf dem Vormarsch. Wie aus unserem Bericht hervorgeht, hat die Ransomware-Gruppe REvil im Jahr 2021 mehrere Managed Service Provider (MSP) ins Visier genommen. Im Juli gelang es ihr, ein bösartiges Software-Update in das Patch-Management- und Client-Monitoring-Tool des IT-Unternehmens Kaseya einzubetten. Tausende ahnungsloser Unternehmer waren davon betroffen und es wurden Lösegelder in Millionenhöhe gefordert.
Sunburst war wahrscheinlich auch verantwortlich für den Angriff auf die Colonial Pipeline, die fast die Hälfte des an der USA-Ostküste verbrauchten Kraftstoffs transportiert. Hinter dem Angriff soll die APT-Gruppe DarkSide stecken, die ein Ransomware-as-a-Service-Modell anwendet, was meint, dass sie sich auf Partnerprogramme von Drittanbietern im Rahmen eines Mietmodells stützt, um den Angriff zu inszenieren. Dies ist eines der bisher eindrucksvollsten Beispiele dafür, wie die zur Durchführung solcher Angriffe verwendeten Programme verbreitet werden, was wiederum den Druck auf Unternehmen erhöht.
Zwar wurden die Vermögenswerte der Ransomware-Gruppe REvil in Russland inzwischen beschlagnahmt und ihre Anführer verhaftet, aber einen Code kann man nicht verhaften. Sobald eine Bedrohungsgruppe mit einem bestimmten Angriff gute Fortschritte macht, braucht es nicht viel, damit ein angeschlossenes Mitglied diesen Schwung beibehält. Emotet, eines der gefährlichsten Bot-Netze der Geschichte, kehrte im November 2021 zurück, nachdem es ein Jahr zuvor von deutscher und europäischer Polizei abgeschaltet worden war.
Es handelt sich hier um einen ehemals reinen Banking-Trojaner, der hauptsächlich über Links, Spam-E-Mails, bösartige Skripte und Makro-aktivierte Dokumentdateien verbreitet wird, nun aber zusätzlich als Hintertür für andere Malware, wie Ransomware, fungiert. Seine Grundfähigkeit hat er daneben behalten: Sobald Emotet einen Benutzer infiziert hat, kann er sich unbemerkt wie ein Lauffeuer ausbreiten und Konto-Informationen sowie Finanzdaten von Einzelpersonen, Unternehmen und Behörden stehlen.
Angriffe durch Zero-Day-Schwachstellen
Gezielte Angriffe, wie die oben beschriebenen, stellen eine zunehmende Bedrohung für Unternehmen dar. Im Dezember des letzten Jahres wurde eine Sicherheitslücke in Apache Log4j, der weltweit beliebtesten Java-Protokollierungsbibliothek, gemeldet, welche die Ausführung von Remotecodes ermöglicht. Diese Bibliothek ist in fast alle Dienste und Anwendungen eingebettet, die wir tagtäglich nutzen, von Twitter und Amazon bis hin zu Microsoft und dem Videospiel Minecraft. Ursprünglich wurde sie von einigen Hackern missbraucht, um Ressourcen für das Mining von Krypto-Währungen auf Kosten ihrer Opfer auszunutzen.
Eine Schwachstelle wie diese kann jedoch auch für raffiniertere und ruchlosere Angriffe genutzt werden könnte. Check Point Research entdeckte nur zwei Stunden nach Bekanntwerden der Log4j-Schwachstelle etwa 40 000 Angriffsversuche und 72 Stunden nach dem Ereignis weitere 830 000 Angriffsversuche – darunter das belgische Verteidigungsministerium.
Diese Zero-Day-Schwachstellen verdanken ihren Namen der Tatsache, dass sie Unternehmen völlig überrumpeln können und ihnen praktisch keine Zeit bleibt, zu reagieren, bevor sie zu Opfern werden. Es kommt dann zu einem Wettlauf zwischen den Hackern und den Sicherheitskräften, um die Schwachstelle auszunutzen oder zu schließen.
Globale Bedrohungen erfordern globale Lösung
Das Klima der Bedrohung hat sich verändert. Die traditionelle IT-Verteidigungslinie, die Unternehmen zwischen sich und dem Rest der Cyber-Landschaft ziehen konnten, ist so unscharf geworden, dass sie so gut wie nicht mehr existiert. Anstatt eine statische Grenze zu bewachen, müssen Unternehmen ihre Sicherheitsinfrastruktur in Echtzeit als fließend betrachten.
Sicherheitsexperten müssen in der Lage sein, eine 360-Grad-Sicht auf ihr gesamtes Netzwerk zu erhalten, unabhängig davon, wie weit es verteilt ist und wie viele mobile Mitarbeiter sich darin befinden. Außerdem benötigen sie Zugang zu Echtzeit-Bedrohungsdaten auf globaler Ebene, um weitreichenden Zero-Day-Schwachstellen und gezielten Angriffen auf die Software-Lieferkette vorzubeugen.
Wenn Organisationen auf der ganzen Welt im Jahr 2022, und darüber hinaus, sicher arbeiten wollen, so müssen sie beginnen, IT-Sicherheit als globales und nicht als lokales Problem zu betrachten und ihre Sicherheitsstrategie entsprechend entwickeln. Die Hacker kennen bereits keine Grenzen mehr, sowohl physisch, als auch oft moralisch.
Aus diesem Grund muss die Idee des festen Firmenperimeters mit Sicherheitslösungen für bestimmte Zwecke aufgegeben werden und die neue Idde Einzug halten, dass eine konsolidierte IT-Sicherheitsarchitektur alle wichtigen Bereiche abdeckt und mit neuen Formen des Netzwerks, wie Cloud und Container, umgehen kann. Die Fernarbeit hat nämlich die Vorstellung vom geschlossenen Netzwerk weiter verwischt und diesen Umständen müssen Unternehmer ihre Firmen anpassen.
Lothar Geuenich ist Regional Director Central Europe/DACH bei Check Point.