Hafnium-Cyber-Angriffe: Aus dem Desaster Erkenntnisse gewinnen

Dirk Arendt erörtert in seiner Stellungnahme, welche Erkenntnisse aus den jüngsten Vorfällen mit Microsoft Exchange resultieren

[datensicherheit.de, 23.03.2021] Im Kontext der „Hafnium“-Cyber-Angriffe auf Schwachstellen in „Microsoft Exchange“ hat sich der öffentliche Fokus auf die desaströse Lage der IT-Sicherheit gerichtet: Viele Behörden und Unternehmen stehen offensichtlich vor der Herausforderung, Schäden zu begrenzen und sich in Zukunft möglichst erfolgreich gegen Angriffe zu wappnen. Doch um jetzt notwendige Schritte einleiten zu können, so Dirk Arendt, „Head of Government & Public“ bei Trend Micro, in seiner Stellungnahme, lautet jetzt die grundlegende Frage: „Welche Lehren können wir aus dieser Angriffswelle ziehen?“

Foto: Trend Micro

Dirk Arendt: IT-Sicherheit kein Zustand – sondern ein Prozess, welcher ständiges Lernen erfordert

Es ist an der Zeit, Erkenntnisse aus der Angriffswelle zu gewinnen

Unternehmen und Behörden müssten jederzeit darauf vorbereitet sein, dass es zu erfolgreichen Angriffen kommt, und in der Lage sein, entsprechende Gegenmaßnahmen einzuleiten, so Arendt. „Auch die beste Security-Lösung und das effizienteste Patch-Management können leider keine 100-prozentige Sicherheit gewährleisten“, so seine Warnung.
Die jüngsten „Hafnium“-Cyber-Angriffe auf Schwachstellen in „Microsoft Exchange“ hätten die IT-Sicherheitslage in Deutschland weiter verschärft. Die Situation sei so gravierend, dass sie der Informatik-Professor Hartmut Pohl gegenüber dem ZDF als „desaströs“ eingestuft habe. Laut BSI seien auch mehrere Bundesbehörden Opfer der Attacke geworden.
„Während die Schwachstellen jetzt langsam geschlossen werden und sich Sicherheitsexperten daran machen, auch die von Cyber-Kriminellen installierten ,Backdoors‘ zu entfernen, ist es an der Zeit, Lehren aus der Angriffswelle zu ziehen“

1. Erkenntnis: „Nur weil man nicht ,in der Cloud‘ ist, ist man noch lange nicht sicher.

Gerade in Behörden, aber auch in vielen Unternehmen, herrsche noch immer eine große Skepsis gegenüber cloud-basierten oder hybriden Infrastrukturen vor. Diese resultiere nicht selten in einer pauschalen Ablehnung aller Cloud-Lösungen aufgrund ihrer vermeintlich schlechteren Sicherheit.
„Was vielleicht grundsätzlich verständlich sein mag, führt leider im Gegenzug oft zu einem trügerischen Gefühl von Sicherheit bei On-Premise-Systemen. Getreu dem Motto ,im eigenen Rechenzentrum gehören meine Daten mir‘ werden dann grundlegende Sicherheitsmaßnahmen wie regelmäßiges und schnelles Patchen von Schwachstellen vernachlässigt.“
Die Folgen könnten fatal sein. Dies gelte umso mehr für besonders beliebte und weit verbreitete Systeme wie „Microsoft Exchange“. Diese „de-facto-Monokulturen“ stellten ein besonders beliebtes Ziel für Angreifer dar und bedürften deshalb auch besonderer Aufmerksamkeit seitens der Security-Verantwortlichen.

2. Erkenntnis: „Entlastet die Admins!“

Viele IT-Administratoren seien chronisch überlastet – nicht nur aber gerade auch im Öffentlichen Dienst. Ihnen bleibe neben vielfältigen Verwaltungs- und Support-Aufgaben, welche durch die „Corona-Pandemie“ und sogenanntes Home-Office noch deutlich zugenommen hätten, oftmals nur wenig Zeit für die Security.
„So kommt zum Beispiel das Patchen regelmäßig zu kurz, selbst wenn technische Lösungen teilweise Abhilfe schaffen können.“
Das Grundproblem bleibe: IT-Sicherheit sei vielen Organisationen anscheinend nicht wichtig genug. „Das müssen wir ändern und den Administratoren mehr Zeit und Kapazitäten zur Verfügung stellen, um die Sicherheit zu verbessern.“

3. Erkenntnis: „Es kann keine vollständige Sicherheit geben.“

Unternehmen und Behörden müssten jederzeit darauf vorbereitet sein, dass es zu erfolgreichen Angriffen kommt und in der Lage zu sein, entsprechende Gegenmaßnahmen einzuleiten.
Auch die beste Security-Lösung und das effizienteste Patch-Management könnten leider keine 100-prozentige Sicherheit gewährleisten. Kommen beispielsweise bei einem Angriff bisher unbekannte Schwachstellen („Zero Days“) zum Einsatz, gerieten auch sie an ihre Grenzen. Zudem würden auch anspruchsvolle Angriffe, zum Beispiel mittels Ransomware, für Kriminelle immer einfacher durchzuführen. Teilweise könnten sie sogar als Service im Untergrund eingekauft werden.
„Umso wichtiger ist es, dass Unternehmen und Behörden auch nach einer erfolgten Attacke handlungsfähig bleiben. Dazu gehören neben der Fähigkeit, Angriffe schnell zu erkennen, zu bekämpfen und entstandene Schäden zu beheben auch sichere Backups und erprobte Krisenreaktionspläne.“

4. Erkenntnis: „Wir brauchen einen anderen Umgang mit Schwachstellen.“

Die aktuellen Cyber-Angriffe würden einer Hacker-Truppe mit Verbindungen zum chinesischen Staat zugeschrieben, deren Taktik dann von (anderen) Cyber-Kriminellen übernommen worden sei. „Dies ist bei weitem nicht die erste Situation, in der vermutlich staatliche Akteure (seien sie nun chinesisch, russisch oder US-amerikanisch) massive Schäden verursachen, indem sie Sicherheitslücken geheim halten und für ihre Zwecke nutzen.“
Schließlich hindere niemand Cyber-Kriminelle daran, diese Schwachstellen auch selbst zu entdecken und zu missbrauchen. Zudem seien die Cyber-Waffen der Geheimdienste keinesfalls sicher vor Diebstahl, wie frühere Fälle zeigten, in denen diese selbst zum Opfer von Cyber-Angriffen geworden seien.
„Der einzig richtige Weg ist es deshalb, Sicherheitslücken konsequent den betroffenen Herstellern zu melden und schnellstmöglich zu schließen.“ Nur so könnten weitere Schäden verhindert werden. In diesem Zusammenhang sei auch der Entwurf für das IT-Sicherheitsgesetz 2.0 dringend zu überarbeiten, welcher in der aktuellen Form dem BSI unter Verweis auf „überwiegende Sicherheitsinteressen“ eben diese Geheimhaltung von Schwachstellen gestatte.

Grundsätzliche Erkenntnis, dass vermeintlich sichere Systeme schnell zum Ziel von Angreifern werden können

Die Angriffe auf „Exchange“-Server zeigten wieder einmal, wie schnell vermeintlich sichere Systeme zum Ziel von Angreifern werden könnten. Gleichzeitig gehe das Thema „IT-Sicherheit“ aber weit über einzelne E-Mail-Server hinaus:
„Immer mehr Funktionen unseres täglichen Lebens werden digitalisiert und mit unseren Smartphones tragen wir leistungsfähige kleine Computer stets mit uns herum. Security geht uns deshalb alle an und es ist höchste Zeit, ihr endlich einen angemessenen Stellenwert einzuräumen.“
Vor allem sei IT-Sicherheit kein Zustand, der einmal erreicht und dann für immer beibehalten werden könne. Vielmehr sei sie ein Prozess, welcher ständiges Lernen erfordere. „Diesem Anspruch sollten wir jetzt gerecht werden“, schließt Arendt.

Weitere Informationen zum Thema:

datensicherheit.de, 15.03.2021
Microsoft Exchange Server: Gefährdete Server und Patching-Tempo ermittelt

datensicherheit.de, 11.03.2021
Microsoft Exchange: Vermehrt Datenpannen-Meldungen in Rheinland-Pfalz