Auch vier Tage nach dem schweren Hackerangriff auf die Systeme des amerikanischen IT-Dienstleisters Kaseya rätseln Fachleute noch immer, wie groß der Schaden tatsächlich ist, den die Cyberkriminellen verursacht haben. Kaseya selbst betont, es sei bisher nur eine mittlere zweistellige Zahl von Kunden betroffen. Allerdings sind darunter auch weitere Dienstleister. Sie nutzen Kaseyas Fernwartungs-Software VSA, um wiederum die IT-Systeme ihrer – vielfach mittelständischen – Kunden zu managen und damit dort unter anderem Software-Updates einzuspielen.
Damit droht eine Art Domino-Effekt, sodass der initiale Angriff sich auf weit mehr als die bisher bestätigten Betroffenen ausgeweitet haben könnte. Die Hackergruppe REvil, die den Angriff nach eigenen Angaben durchgeführt hat, behauptet deshalb, mehr als eine Million Computer mit der Verschlüsselungssoftware Sodinobiki infiziert zu haben. Mithilfe dieses Erpressungstrojaners hatte REvil Anfang Juni bereits den weltgrößten Fleischkonzern JBS aus Brasilien attackiert und kurzfristig lahmgelegt.
Für die Freigabe der Kaseya-Systeme fordert REvil 70 Millionen Dollar Lösegeld vom US-Unternehmen, zahlbar in der Digitalwährung Bitcoin. Es wäre nicht nur eine der größten Cyberattacken bisher, es wäre auch die bislang höchste Erpressungssumme; noch vor der 50-Millionen-Dollar-Forderung gegen den taiwanischen Computer-Konzern Acer vom März dieses Jahres.
Die angebliche Million betroffener Computer ist nach Einschätzung von Sicherheitsexperten eher Drohkulisse der Erpresser, denn Realität. Bisher zumindest erreicht die Zahl der bekanntgewordenen Fälle eher einen fünf- als siebenstelligen Bereich. Weltweit berichtet etwa der IT-Dienstleister Huntress von gut 1000 Unternehmen, bei denen Rechner verschlüsselt wurden.
Nach Analysen des IT-Sicherheitsunternehmens ESET liegt der Schwerpunkt der bisher entdeckten Angriffsversuche in den USA, Kanada, Großbritannien, Südafrika, Kolumbien und Deutschland; insgesamt sollen Unternehmen in 17 Ländern betroffen sein. Hierzulande meldet das Bundesamt für Sicherheit in der Informationstechnik (BSI) – Stand Montagnachmittag – „mehrere Tausend IT-Geräte“, die verschlüsselt wurden. Kritische Infrastrukturen oder die Bundesverwaltung seien nach derzeitiger Kenntnis des BSI nicht betroffen. Das Lagebild entwickele sich allerdings dynamisch.
Ebenso wirksam wie hinterhältig
Viel wichtiger aber als die absolute Zahl der am Ende tatsächlich verschlüsselten Systeme sind ohnehin die Lehren, die Unternehmen aus der Art der Attacke und der dabei genutzten Strategie der Hacker ziehen müssen, um sich künftig gegen ähnlich gelagerte Angriffe abzusichern. Denn was das Vorgehen so perfide wie wirksam zugleich macht ist, dass die Hacker nicht die Zielunternehmen direkt attackieren. Stattdessen spielen sie sozusagen über Bande und nehmen zunächst einmal ein externes Opfer ins Visier.
Im konkreten Fall ist es das Unternehmen Kaseya, mit dessen VSA-Software wiederum tausende IT-Dienstleister weltweit ihre Kunden betreuen. Dabei ist es nebensächlich, ob es den Hackern dabei gelungen ist, über eine mangelhaft gesicherte Anmeldung in den VSA-Dienst einzudringen, wie die IT-Experten von Huntress melden, oder ob die Angreifer doch eine bis dato unbekannte Schwachstelle der Software ausnutzten, wie Spezialisten des niederländischen IT-Sicherheitsinstituts DIVD am Sonntag berichteten.
Entscheidend und deshalb so gefährlich ist, dass sowohl Kaseya als auch die Dienstleister, die VSA nutzen, bei ihren Kunden als vertrauenswürdig gelten. Gelingt es Hackern also, in die Systeme eines dieser externen Partner einzudringen, können sie deshalb bei deren Kunden zumeist ohne große Hürden in die IT einbrechen – und dort beispielsweise Schadprogramme wie Sodinobiki installieren.
„Diese sogenannten ‚Supply-Chain‘-Angriffe, die in der digitalen ‚Lieferkette‘ von Unternehmen ansetzen, haben in den vergangenen Jahren dramatisch zugenommen“, sagt Thomas Uhlemann, IT-Spezialist bei ESET in Jena. „Allein zwischen November 2020 und Februar 2021 haben wir weltweit vier große Angriffswellen diesen Typs dokumentiert.“
Auch im Fall des schweren Cyberangriffs auf zehn US-Regierungsbehörden sowie tausende weitere Unternehmen im Herbst 2020 waren Hacker in die elektronische „Lieferkette“ ihrer Opfer eingedrungen. Sie hatten eine Sicherheitslücke in der Fernwartungssoftware des Dienstleisters SolarWinds ausgenutzt, um Schadsoftware zu verbreiten.
Traditionelle Abwehrstrategien laufen ins Leere
„Attacken dieses Ausmaßes werden genauso Alltag werden, wie die sommerlichen Wetterkapriolen“, prognostiziert Rüdiger Trost, Spezialist für Cybersicherheitslösungen beim Dienstleister F-Secure. Dass es sich bei dem verwundbaren System um eine Fernwartungssoftware gehandelt habe, mache die Attacke besonders kritisch.
Denn weil solche Programme explizit dafür gedacht sind, externen Dienstleistern Zugriff auf die Firmen-IT zu ermöglichen, greifen traditionelle Sicherheitskonzepte nicht, die Zugriffe Dritter von außen unterbinden sollen.
Statt darauf zu vertrauen, dass Schutzprogramme und Firewalls die IT schützten, sollten „Unternehmen deshalb permanent davon ausgehen, angegriffen zu werden“, so Trost. Das aber erfordert eine grundlegende Abkehr von traditionellen Schutzstrategien in der Cybersicherheit.
„In der Vergangenheit galt es als ausreichend, die Schnittstellen zwischen der Firmen-IT und dem Internet zu sichern, dann blieben Hacker draußen und die Rechner im Inneren geschützt“, so ESET-Spezialist Uhlemann. Fälle wie die SolarWinds-Attacke oder nun der Angriff auf Kaseya aber belegten, dass der sogenannte „Perimeter-Schutz“ der digitalen Außengrenzen nicht mehr reiche. „Das Modell ‚sichere Burg‘ hat ausgedient, die Zukunft gehört dem Paranoiker, der seine IT nach dem Konzept ‚Trau Keinem‘ sichert.“
Tatsächlich gilt dieses sogenannte „Zero-Trust“-Prinzip inzwischen als wichtigster Trend in der IT-Szene. Dabei gehen die Sicherheits-Architekten grundsätzlich davon aus, dass zunächst einmal gar kein Software- oder Hardwaremodul vertrauenswürdig ist. Datenaustausch, Schreib-, Lese- oder Managementrechte werden in der Firmen-IT daher zunächst prinzipiell untersagt, einzelne Netzwerkteile strikt separiert. Nur, was an Programm- oder Anwenderzugriffen unbedingt notwendig und zuvor intensiv auf Sicherheitslücken getestet ist, wird dann noch freigegeben.
Und das, betont etwa F-Secure-Experte Trost, gelte natürlich auch für externe Zugriffe, wie sie sich jetzt bei Kaseya als so verletzlich erwiesen haben: „Fernwartung, egal von wem, müsse möglichst abgeschottet werden“, fordert Trost. Sein Rat an IT-Verantwortliche in Unternehmen zum Schutz ihrer Systeme ist denn auch so schlicht wie fatalistisch: „Gehen sie vom Schlimmsten aus, dann werden sie im Zweifel auch nicht von Hackern überrascht.“
Mehr dazu: Zwei Angriffe mit Erpressungssoftware in den USA scheitern so grandios, wie sie begannen. Viele vermuten Gegenattacken staatlicher US-Hacker. Mit welchen Methoden arbeiten sie? Und eignen sie sich als Vorbild? Das Werkzeug der staatlichen Hackerjäger
