[datensicherheit.de, 14.05.2024] „In einer Zeit, in der Cyber-Bedrohungen größer und raffinierter denn je sind, hat die Europäische Union (EU) mit der Einführung der Richtlinie zur Netz- und Informationssicherheit (NIS-2) einen wichtigen Schritt zur Stärkung ihrer digitalen Verteidigung getan“, so Andy Fourie, „VP of Sales EMEA“ bei BlueVoyant, in seiner aktuellen Stellungnahme. Die NIS-2-Richtlinie baue auf der Grundlage der Vorgängerrichtlinie aus dem Jahr 2016 auf und sei eine Reaktion auf die zunehmenden Angriffe auf Lieferketten und den Bedarf an robusteren Meldeverfahren in ganz Europa. Diese Richtlinie betreffe mehr als 160.000 in der EU tätige Unternehmen – „insbesondere diejenigen, die in 15 Schlüsselsektoren als ,wesentliche’ und ,wichtige’ Unternehmen eingestuft sind“.

Foto: BlueVoyant

Andy Fourie zu NIS-2-Konsequenzen: Unternehmen müssen diese Veränderungen mit Sorgfalt und Weitsicht angehen!

NIS-2 schreibt KRITIS-Unternehmen umfassende Überarbeitung ihrer Cyber-Sicherheitspraktiken vor

NIS-2 schreibe solchen Unternehmen eine umfassende Überarbeitung ihrer Cyber-Sicherheitspraktiken vor und zwinge sie, ihre Schutzmaßnahmen in der Lieferkette und ihre Meldepflichten neu zu bewerten und zu verbessern. „Da die Frist für die Einhaltung der Vorschriften im Oktober 2024 abläuft, beginnt für die Unternehmen ein Wettlauf mit der Zeit, um die strengen Anforderungen von NIS-2 zu erfüllen.“

Fourie empfiehlt einen genaueren Blick auf die neuen Anforderungen: „NIS-2 führt vier Hauptbereiche ein, die jeweils spezifische Mandate umfassen, die darauf abzielen, die Cyber-Sicherheitsstandards in allen Bereichen zu erhöhen:“

1. Risikomanagement
Die Unternehmen müssten einen vielschichtigen Ansatz zur Minimierung von Cyber-Risiken umsetzen. Dazu gehörten die Einführung fortschrittlicher Protokolle für das Management von Vorfällen, die Stärkung der Sicherheit der Lieferkette, die Verbesserung der Sicherheit von Netzwerken, die Verbesserung der Zugangskontrolle und der Einsatz von Verschlüsselungstechnologien.

2. Verantwortlichkeit der Unternehmen
Die Richtlinie unterstreiche die Notwendigkeit der Überwachung und Schulung von Maßnahmen zur Cyber-Sicherheit durch die Unternehmensleitung. Sie führe Sanktionen, auch finanzieller Art, für Verstöße ein, „die auf fahrlässiges Verhalten von Führungskräften zurückzuführen sind“.

3. Berichtspflichten
Organisationen müssten Verfahren für die unverzügliche Meldung von derartigen Cyber-Vorfällen einrichten, welche die Bereitstellung von Diensten oder Datenempfängern erheblich beeinträchtigen, und dabei die festgelegten Meldefristen einhalten.

4. Geschäftskontinuität
Die Unternehmen müssten solide Pläne entwickeln, um die Betriebskontinuität nach größeren Cyber-Vorfällen zu gewährleisten. Dazu gehörten Strategien zur Systemwiederherstellung, Notfallverfahren und die Bildung von Krisenreaktionsteams.

10 NIS-2-Mindestanforderungen

NIS-2 definiere neben den allgemeinen Verpflichtungen zehn grundlegende Anforderungen, die das Fundament der Cyber-Sicherheit in der EU bilden sollen:

1. Risikobewertungen und Formulierung von Sicherheitsrichtlinien für Informationssysteme
2. Evaluierung der Wirksamkeit von Sicherheitsmaßnahmen durch festgelegte Richtlinien und Verfahren
3. Anwendung von Kryptographie und Verschlüsselung
4. Effiziente Bewältigung von Sicherheitsvorfällen
5. Sichere Systembeschaffung, -entwicklung und sicherer Systembetrieb, einschließlich Protokollen zur Meldung von Sicherheitslücken
6. Durchführung von Schulungen zur Cyber-Sicherheit und Einhaltung grundlegender Praktiken der Cyber-Hygiene
7. Sicherheitsverfahren für Mitarbeiter, die auf sensible Daten zugreifen
8. Notfallpläne zur Aufrechterhaltung des Geschäftsbetriebs während und nach Cyber-Vorfällen
9. Multi-Faktor-Authentifizierung (MFA) und Verschlüsselung für Sprach-, Video- und Textkommunikation
10. Stärkung der Sicherheit in der Lieferkette – Anpassung der Sicherheitsmaßnahmen an die Schwachstellen der einzelnen direkten Zulieferer

Die Nichteinhaltung dieser umfassenden Anforderungen könnte erhebliche Geldbußen nach sich ziehen, die sich für „wesentliche Unternehmen“ auf 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes und für „wichtige Unternehmen“ auf sieben Millionen Euro oder 1,4 Prozent beliefen.

NIS-2-Vorbereitung als strategischer Imperativ

Für in der EU tätige Unternehmen bedeute die Vorbereitung auf NIS-2 eine Reihe strategischer Schritte, darunter die Feststellung der Anwendbarkeit, die Bewertung bestehender Sicherheitsmaßnahmen, die Überarbeitung der Sicherheitsrichtlinien und die Einbeziehung neuer Sicherheits- und Meldemaßnahmen in ihr Lieferkettenmanagement.

Glücklicherweise könnten aktuelle Cyber-Sicherheitsrahmenwerke, wie das „NIST Cyber Security Framework“ (CSF) oder ISO27001 eine solide Grundlage bilden, welche den Übergang für Unternehmen erleichtern könnten. Da die Frist im Oktober 2024 immer näher rücke, sei die Botschaft klar: „Die Zeit zum Handeln ist jetzt gekommen!“ Die NIS-2-Richtlinie der EU lege nicht nur die Messlatte für die Cyber-Sicherheit höher, sondern unterstreiche auch die Bedeutung eines einheitlichen und proaktiven Ansatzes zum Schutz der Digitalen Landschaft vor neuen Bedrohungen. „Unternehmen müssen diese Veränderungen mit Sorgfalt und Weitsicht angehen“, legt Fourie abschließend nahe.

Weitere Informationen zum Thema:

Europäische Kommission
Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2-Richtlinie)

OpenKRITIS
NIS2 in EU Countries

NIS2 DIRECTIVE
NIS2 Requirements / Understand and prepare for the upcoming NIS2 requirements

OpenKRITIS
Sanktionen in NIS2 (ab 2024) / Situation ab 2024

datensicherheit.de, 11.05.2024
NIS-2 sollte als Chance für starke Cyber-Sicherheit angenommen werden / Strenge Cyber-Sicherheitsanforderungen für Betreiber Kritischer Infrastrukturen als Herausforderung und Booster

datensicherheit.de, 02.05.2024
NIS-2: Verpasste Chance oder Wegweiser für mehr IT-Sicherheit / Ari Albertini sieht Umsetzung der NIS-2-Richtlinie als notwendige, aber derzeit noch nicht hinreichende Maßnahme an

datensicherheit.de, 19.04.2024
NIS-2: Die Bedeutung der Richtlinie für die Lieferkette / ESET-Podcast „WeTalkSecurity“ widmet sich der Rolle der Lieferkette im Kontext der NIS2-Richtlinie

[datensicherheit.de, 18.10.2022] Trend Micro hat nach eigenen Angaben eine neue Studie veröffentlicht, aus der demnach hervorgeht, dass weltweit 86 Prozent der Unternehmen und Einrichtungen im Gesundheitswesen, die von Ransomware betroffen waren, Betriebsausfälle erlitten.

Foto: Trend Micro

Richard Werner warnt vor häufig zu geringen IT-Security-Budgets, die nicht in Relation zur Wichtigkeit der Systeme stehen…

57% der Healthcare-Unternehmen in den letzten drei Jahren durch Ransomware kompromittiert

Laut dieser Studie räumten weit mehr als die Hälfte (57%) der befragten Healthcare-Unternehmen ein, in den letzten drei Jahren durch Ransomware kompromittiert worden zu sein. „25 Prozent der Opfer gaben außerdem an, dass ihr Betrieb vollständig zum Erliegen gekommen sei. Weitere 60 Prozent erlebten eine Beeinträchtigung ihrer Geschäftsprozesse.“

Im Durchschnitt habe es bei den meisten Unternehmen Tage (56%) oder Wochen (24%) gedauert, bis der Betrieb wieder vollständig hergestellt war. Ransomware verursache nicht nur im Gesundheitssektor erhebliche betriebliche Probleme, sondern gelte auch in anderen Branchen als eines der größten Cyber-Risiken.

Bei 60% der Befragten sensible Daten durch Ransomware-Angriff in falsche Hände geraten

Bei drei Fünftel (60%) der Befragten seien sensible Daten durch den Angriff in falsche Hände geraten. Dies stelle ein erhöhtes Compliance-Risiko dar und könne der Unternehmensreputation schaden. Außerdem erhöhten sich die Kosten für Nachforschungen, Eindämmungsmaßnahmen und die Bereinigung des Vorfalls.

Die Teilnehmer der Studie nannten laut Trend Micro Schwachstellen in der Lieferkette als eine der größten Herausforderungen. Relevant seien vor allem folgende Bereiche:

• „43 Prozent sind der Überzeugung, ihre Partner hätten sie zu einem attraktiveren Angriffsziel gemacht.
• 43 Prozent geben außerdem an, ein Mangel an Transparenz in der gesamten Ransomware-Angriffskette habe sie anfälliger gemacht.
• 36 Prozent nennen einen mangelnden Überblick über ihre Angriffsoberfläche als weiteren Grund, der sie verstärkt zu einem Ziel für Attacken gemacht habe.“

Malware- und Ransomware-Schutz: regelmäßig Patches aktualisieren

Die gute Nachricht sei, dass ein Großteil der Gesundheitseinrichtungen (95%) bei vor allem nach außen sichtbaren Systemen regelmäßig Patches aktualisiere, während ein fast ebenso großer Anteil (91%) E-Mail-Anhänge einschränke und so das Malware-Risiko verringere. „Viele befragte Unternehmen nutzen darüber hinaus Tools für Network (NDR), Endpoint (EDR) oder Extended Detection and Response (XDR).“

Die Studie zeige jedoch auch potenzielle Schwachstellen auf, darunter:

• „Ein Fünftel (17%) verfügt über keinerlei Kontrollen des Remote-Desktop-Protokolls (RDP).
• Viele Unternehmen tauschen keine Bedrohungsdaten mit Partnern (30%), Lieferanten (46%) oder ihrem breiteren Ökosystem (46%) aus.
• Ein Drittel (33%) tauscht keine Informationen mit den Strafverfolgungsbehörden aus.
• Nur die Hälfte oder weniger befragte Unternehmen verwenden derzeit NDR (51%), EDR (50%) oder XDR (43%).
• Besorgniserregend wenige Healthcare-Unternehmen sind in der Lage, ,Lateral Movement’ (32%), Erstzugriffe (42%) oder die Verwendung von Tools wie ,Mimikatz’ und ,PsExec’ (46%) zu erkennen.“

Gesundheitswesen noch immer zu leichtes Opfern von Ransomware-Angriffen

„Cyber-Kriminelle suchen sich ganz gezielt Einrichtungen des Gesundheitswesens heraus, die ein vermeintlich schwaches Glied in ihrer Verteidigungskette aufweisen. Der große Druck, der derzeit auf Unternehmen und Einrichtungen in der Branche lastet, sowie häufig geringe IT-Security-Budgets, die nicht in Relation zur Wichtigkeit der Systeme stehen, machen sie zu leichten Opfern von Angriffen“, erläutert Richard Werner, „Business Consultant“ bei Trend Micro.

Er betont: „Damit zählt die Healthcare-Branche zu den Top 3 der am meisten angegriffenen Branchen weltweit.“ Abschließend weist er auch darauf hin, dass die Bundesregierung im Rahmen des Krankenhauszukunftsgesetz (KHZG) seit Januar 2021 auch Investitionen in die IT-Security unterstützt.

Weitere Informationen zum Thema:

TREND MICRO
A global study / EVERYTHING IS CONNECTED: Uncovering the ransomware threat from global supply chains

[datensicherheit.de, 16.12.2021] „Die aktuellen, alarmierenden Meldungen in Sachen Cyber-Sicherheit sowie bisher unbekannter Sicherheitslücken und Schwachstellen werfen nicht nur ein Schlaglicht auf das Thema IT-Sicherheit – sondern werfen auch Fragen auf, wie Unternehmen nach einem Angriff schnell wieder auf die Beine kommen.“ In den vergangenen Monaten seien zahlreiche Fälle bekanntgeworden, „in denen Unternehmen mehrere Wochen benötigten, um ihrer Daten wirklich wieder Herr zu werden“. Markus Grau, „Principal Technology Strategist“ im „EMEA CTO Office“ bei Pure Storage, warnt in seinem aktuellen Kommentar, dass Cyber-Angriffe auf Unternehmen und sich Störungen der Lieferketten fortsetzen werden.

Foto: Pure Storage

Markus Grau: Wir erwarten weitere Störungen der Supply Chains durch Cyber-Kriminelle!

Zuverlässige, robuste Datensicherheitsstrategie für Unternehmen!

„Angesichts von geforderten Lösegeldern, die oft in die Millionen gehen, ist es kaum verwunderlich, dass die Ransomware-Angriffe weiter zunehmen“, so Grau. Den meisten Unternehmen sei klar, „dass Angriffe unvermeidlich sind“.
Bei der Vorbereitung auf diese Angriffe sollte es jedoch nicht nur um Prävention gehen. Unternehmen sollten sicherstellen, dass sie über eine zuverlässige, robuste Datensicherheitsstrategie verfügen. Im Jahr 2022 werde sich der Fokus der Unternehmensführungen auf die Wiederherstellung von Daten und Anwendungen nach Ransomware-Angriffen richten.

Angriffe auf die Datensicherheit der Unternehmen aus allen möglichen Richtungen

Wir lebten heute in einer Welt, in der Cyber-Kriminelle Unternehmen aus allen möglichen Richtungen angriffen und infiltrierten. Sie setzten dabei eine erschreckend breite Palette von Techniken ein. Die Angreifer würden immer kreativer und richteten mit ihren Angriffen immer größeren Schaden an.
Grau: „Für das nächste Jahr erwarten wir, dass Hacker es auf die Daten mit dem größten Wert für das jeweilige Unternehmen abgesehen haben. Natürlich sind nicht alle Daten gleichwertig – das wissen die Kriminellen.“

Warnung vor strategischen Angriffen auf das gesamte Unternehmen und dessen Datensicherheit

Die Störungen der Lieferketten werden sich laut Grau zudem fortsetzen: „Wir erwarten weitere Störungen der ,Supply Chains‘ durch Cyber-Kriminelle.“ Dies werde sowohl durch Angriffe auf Software als auch durch strategische Angriffe auf das gesamte Unternehmen – und nicht nur auf Daten – geschehen.
Abschließend warnt Grau: „Ziel ist es, die gesamte IT-Management-Umgebung zu kompromittieren oder ein Unternehmen zu zwingen, den Geschäftsbetrieb einzustellen, um somit erheblichen Schaden zu verursachen.“

Weitere Informationen zum Thema:

datensicherheit.de, 11.11.2021
Aus aktuellem Anlass: 7 Tipps zu Ransomware-Angriffen für Unternehmen / Michael Scheffler gibt Betrieben Tipps, wie ein Ransomware-Angriff abgewehrt bzw. dessen Auswirkungen reduziert werden können

datensicherheit.de, 28.09.2021
Ransomware: 5 Tipps für Unternehmen, um sich zu schützen / Tanja Hofmann gibt fünf aktuelle Tipps, wie Organisationen ihre IT-Sicherheit verbessern können

[datensicherheit.de, 26.10.2021] Kaspersky-Forscher haben nach eigenen Angaben bei der Hacker-Gruppe „Lazarus“ – „einem äußerst produktiven ,Advanced Threat-Akteur‘“ – verstärkte Angriffsfähigkeiten auf Lieferketten identifiziert. Des Weiteren setze diese „Advanced-Persistent-Threat“-Gruppe nun das plattformübergreifende „MATA-Framework“ für Cyber-Spionageziele ein, so eine aktuelle Kaspersky-Untersuchung.

Lazarus einer der weltweit aktivsten Bedrohungsakteure

Cyber-Kriminelle entwickelten sich ständig weiter. Während einige APT-Akteure (Advanced Persistent Threat) ihre Strategie beibehielten, wendeten andere neue Techniken, Taktiken und Verfahren an, um neue Ziele noch erfolgreicher anzugehen. „Lazarus“ sei einer der weltweit aktivsten Bedrohungsakteure und mindestens seit dem Jahr 2009 aktiv. Diese APT-Gruppe stecke hinter groß angelegten Cyber-Spionage- und Ransomware-Kampagnen und sei bei Angriffen auf die Verteidigungsindustrie und den Kryptowährungsmarkt gesichtet worden. „Sie verfügen über eine Vielzahl fortschrittlicher Tools, die sie nun offenbar gegen neue Ziele einsetzen.“
Im Juni 2021 hätten Kaspersky-Forscher beobachtet, wie die „Lazarus“-Gruppe die Verteidigungsindustrie mit dem „MATA-Malware-Framework“, welches auf drei Betriebssysteme – „Windows“, „Linux“ und „macOS“ – abziele, angegriffen habe. In der Vergangenheit habe „Lazarus“ MATA genutzt, um verschiedene Branchen anzugreifen, etwa um Kundendatenbanken zu stehlen oder Ransomware zu verbreiten. „Nun verwendet ,Lazarus‘ MATA jedoch auch für Cyber-Spionagezwecke. Der Akteur nutzte eine Trojaner-Version einer Anwendung, von der bekannt ist, dass sie vom adressierten Opfer verwendet wird – ein typisches ,Lazarus‘-Merkmal.“ Es sei nicht das erste Mal, dass die „Lazarus“-Gruppe die Verteidigungsindustrie angreift: „Ihre vorherige ,ThreatNeedle‘-Kampagne wurde Mitte 2020 auf ähnliche Weise durchgeführt.“

Lazarus-Angriffe auf Lieferkette ausgeweitet

„Lazarus“ sei auch hinsichtlich Angriffe auf Lieferketten mit einem aktualisierten „DeathNote“-Cluster identifiziert worden, der aus einer leicht aktualisierten Variante von „BLINDINGCAN“ bestehe. Dabei handele es sich um eine Malware, die zuvor von der US Cybersecurity and Infrastructure Security Agency (CISA) gemeldet worden sei. „Kaspersky-Forscher entdeckten Kampagnen, die auf einen südkoreanischen Think-Tank und einen Anbieter von IT-Überwachungslösungen abzielten. Im ersten Fall, den Kaspersky-Forscher entdeckten, entwickelte ,Lazarus‘ eine Infektionskette, die von einer legitimen südkoreanischen Sicherheitssoftware ausging, indem eine schädliche ,Payload‘ bereitgestellt wurde. Im zweiten Fall war das Ziel ein Unternehmen, das Asset-Monitoring-Lösungen in Lettland entwickelt, ein untypisches Opfer für ,Lazarus‘.“ Als Teil der Infektionskette habe „Lazarus“ einen Downloader namens „Racket“ verwendet, welcher mit einem gestohlenen Zertifikat versehen gewesen sei. Hierbei seien anfällige Webserver kompromittiert und mehrere Skripte hochgeladen worden, um schädliche Dateien auf den erfolgreich angegriffenen Rechnern zu filtern und steuern.
„Die jüngsten Entwicklungen machen zwei Dinge deutlich: ,Lazarus‘ ist nach wie vor an der Verteidigungsindustrie interessiert und versucht außerdem, seine Fähigkeiten mit Angriffen auf die Lieferkette zu erweitern“, berichtet Ariel Jungheit, „Senior Security Researcher im Global Research and Analysis Team“ bei Kaspersky. Diese APT-Gruppe sei nicht die Einzige, die Supply-Chain-Angriffe durchführe. Jungheit führt aus: „Im vergangenen Quartal haben wir auch Attacken beobachtet, die von ,SmudgeX‘ und ,BountyGlad‘ durchgeführt wurden. Bei einem erfolgreichen Vorgehen, können Kompromittierungen der Lieferkette verheerende Folgen haben und weit mehr als nur ein Unternehmen in Mitleidenschaft ziehen, wie der Angriff auf SolarWinds im vergangenen Jahr deutlich gezeigt hat.“ Da Bedrohungsakteure in solche Fähigkeiten investierten, müssten wir wachsam bleiben und unsere Verteidigungsbemühungen darauf verstärkt konzentrieren.

Lazarus-Attacken als Warnung: Kaspersky-Empfehlungen zum Schutz vor zielgerichteten Angriffen

Das SOC-Team einer Organisation sollte stets Zugang zu den neuesten Bedrohungsdaten haben
„Das ,Kaspersky Threat Intelligence Portal‘ ist ein zentraler Zugangspunkt für die ,Threat Intelligence‘ des Unternehmens und bietet Cyber-Aangriffsdaten und Erkenntnisse, die von Kaspersky in über 20 Jahren gesammelt wurden.“ Es sei ein kostenloser Zugang zu den kuratierten Funktionen verfügbar, „mit denen Nutzer Dateien, URLs und IP-Adressen überprüft werden können“.

Cybersecurity-Teams sollten immer auf dem neuesten Stand hinsichtlich der aktuellen Bedrohungslage sein
Z.B. mithilfe der von GReAT-Experten entwickelten Kaspersky-Online-Schulungen.

EDR-Lösungen helfen bei der Erkennung, Untersuchung und Behebung von Vorfällen
Z.B. „Kaspersky Endpoint Detection and Response“

Zusätzlich zum grundlegenden Endpunktschutz sollte eine Sicherheitslösung auf Unternehmensebene, die fortgeschrittene Bedrohungen auf Netzwerkebene frühzeitig erkennt implementiert werden
Etwa „Kaspersky Anti Targeted Attack Platform“

Schulungen der Belegschaft zum Umgang mit Cyber-Bedrohungen
„Da viele zielgerichtete Angriffe mit Phishing oder anderen Social-Engineering-Techniken beginnen, sollten Schulungen zum Sicherheitsbewusstsein innerhalb der Organisation eingeführt werden, in denen der Belegschaft praktische Fähigkeit im Umgang mit Cyber-Bedrohungen erlernt“ – zum Beispiel mit der „Kaspersky Automated Security Awareness Platform“.

Weitere Informationen zum Thema:

Kaspersky Threat Intelligence Portal
Analyze Files / Browse

SECURELIST by Kaspersky, 26.10.2021
APT trends report Q3 2021

SECURELIST by Kaspersky, 25.02.2021
Lazarus targets defense industry with ThreatNeedle

SECURELIST by Kaspersky, 28.07.2020
Lazarus on the hunt for big game

SECURELIST by Kaspersky, 22.07.2020
MATA: Multi-platform targeted malware framework

SECURELIST by Kaspersky, 23.08.2018
Operation AppleJeus: Lazarus hits cryptocurrency exchange with fake installer and macOS malware

datensicherheit.de, 23.07.2020
MATA-Framework: Lazarus auch in Deutschland aktiv / APT-Gruppe setzt jetzt auf Multi-Plattform-Malware-Framework

datensicherheit.de, 24.02.2016
Cyberspionage und -sabotage: Lazarus-Gruppe in Asien verortet / Für zahlreiche verheerende Angriffe verantwortlich

[datensicherheit.de, 26.10.2021] Laut einer Stellungnahme von Eric Milam, „VP Research & Intelligence“ bei BlackBerry, werden mit großem Interesse die aktuellen Berichterstattungen zu den jüngsten Aktivitäten der Hacker-Gruppe „Nobelium“ verfolgt. Deren Attacken fokussieren sich demnach derzeit auf IT-Firmen – der jüngste Angriff sei ein Versuch dieser Hacker-Gruppe, „sich systematisch Zugang auf weltweite Technologie-Lieferketten zu verschaffen“. Dabei nähmen die Hacker vorrangig Cloud-Service-Provider, Managed-Service-Provider und weitere IT-Unternehmen ins Visier, um Zugang zu Daten weltweiter Lieferketten zu erhalten und diese lahmzulegen.

Jüngster Nobelium-Angriff verdeutlicht anhaltendes Cyber-Risiko für Unternehmen

„Der jüngste Angriff der Hacker-Gruppe ,Nobelium‘ auf globale IT-Lieferketten verdeutlicht das anhaltende Cyber-Risiko für Unternehmen, die für die reibungslosen Abläufe in unserer Gesellschaft essenziell sind“, so Milam. Die globale Lieferkette sei in ihrer derzeitigen Form auf Lieferzuverlässigkeit und Schnelligkeit ausgelegt, nicht jedoch ausreichend gegen Ausfallsicherheit geschützt.
So könne eine kleine Lücke in der Sicherheitsinfrastruktur einer Lieferkette, unabhängig vom Standort oder Endpunkt, massive Auswirkungen auf die weltweite Wirtschaft haben. Milam warnt: „Dies könnte insbesondere in Anbetracht der kommenden Weihnachtszeit ein großes Problem darstellen. Eine Lieferkette ist nur so stark wie ihr schwächstes Glied, deshalb müssen Unternehmen eine mehrschichtige Verteidigungsstrategie einsetzen, um Angriffe zu stoppen, noch bevor sie ausgeführt werden.“

Nobelium-Attacke mahnt Unternehmen, für den Einsatz intelligenter Cyber-Sicherheitslösungen zu sorgen

Es gehe ferner darum, die IT-Lieferkette richtig abzusichern – nicht nur für Kunden, sondern auch für „Reseller“ und Technologiedienstleister. Wenn es der Lieferkette an einer sicheren internen Infrastruktur mangele, sei es schwer vermeidlich, dass sich Bedrohungsakteure Zugang zu wichtigen Ressourcen verschafften.
Milam führt aus: „Ganz gleich, ob es sich um Technologie, Treibstoff oder Lebensmittel handelt – Unternehmen auf der ganzen Welt sollten für den Einsatz intelligenter Cyber-Sicherheitslösungen sorgen, die diese Angriffe verhindern, erkennen und darauf reagieren können. Jetzt und in Zukunft.“

Weitere Informationen zum Thema:

FAZ.NET, 25.10.2021
Cyberangriffe : Solarwinds-Hacker nehmen Dutzende Tech-Firmen ins Visier

datensicherheit.de, 22.01.2021
Lessons learned – Lehren aus dem Solarwinds-Hack / Ein Kommentar von Christoph Volkmer, VP DACH bei Tanium

datensicherheit.de, 21.12.2020
Sicherheitsverletzung bei SolarWinds zeigt Notwendigkeit eines sicheren Passworts auf / Ian Pitt empfiehlt Unternehmen jeder Größe Einführung einer unternehmensweiten Passwort-Managementlösung

[datensicherheit.de, 09.06.2021] Die jüngste Cyber-Attacke auf den weltgrößten Fleischkonzern JBS habe verdeutlicht, dass ein Hacker-Angriff für Unternehmen und die globalen Lieferketten „verheerende Auswirkungen“ haben könnte, kommentiert Eric Milam, „Vice President Research and Intelligence“ bei BlackBerry, und unterstreicht daher, dass gerade kritische Lieferketten gesichert werden müssten.

Foto: Blackberry

Eric Milam: Jüngster Angriff auf JBS Foods verdeutlicht anhaltendes Cyber-Risiko für globale Lieferketten

Sicherung kritischer Lieferketten für Cyber-Sicherheit komplexe Herausforderung

Milam: „Der jüngste Angriff auf JBS Foods verdeutlicht das anhaltende Cyber-Risiko für globale Lieferketten und Organisationen, die für wichtige Abläufe in unserer Gesellschaft entscheidend sind. Wir sind uns über die technischen Details dieses Angriffs zwar noch nicht vollkommen im Klaren, aber die Attacke folgt dem Muster des verheerenden Ransomware-Angriffs auf die Colonial Pipeline in den Vereinigten Staaten.“
Gleich, ob es sich um Logistik, Treibstoff oder Lebensmittel handele – die Sicherung der kritischen Lieferketten stellten für die Cyber-Sicherheit „einzigartige und komplexe Herausforderungen“ dar. „Unsere Kunden sollten nicht unter den Auswirkungen von Cyber-Angriffen leiden“, erläutert Milam den Anspruch seines Unternehmens. Mit ihrem auf Prävention ausgerichteten und KI-gesteuerten Ansatz seien sie bei BlackBerry der festen Überzeugung, „dass Malware gestoppt werden kann“.

Prävention auch als Strategie für Lieferketten

Auf „Endpoint Detection and Response“ (EDR) fokussierte Lösungen griffen zu spät ein und beugten Sicherheitsverletzungen nicht vor. „Prävention ist unsere Strategie“, so Milam. Eine Sicherheitsposition, die auf Prävention setzt, beginnt demnach mit der Neutralisierung von Malware vor der Exploitation-Phase der „Kill Chain“.
Indem sie Malware in der Exploitation-Phase stoppten, würden BlackBerry-Lösungen Unternehmen helfen, ihre eigene Widerstandsfähigkeit zu erhöhen sowie „die Komplexität der eigenen Infrastruktur zu reduzieren und das Sicherheitsmanagement zu optimieren“.

Weitere Informationen zum Thema:

datensicherheit.de, 03.06.2021
JBS: Schwerer Ransomware-Angriff auf weltweit größten Fleischlieferanten / Vectra AI und Tenable kommentieren weitreichenden Cyber-Angriff

[datensicherheit.de, 21.02.2021] Laut einer aktuellen Meldung von Imperva werden Angriffe auf Software-Lieferketten „zunehmend komplexer“. Diese beträfen Unternehmen aller Branchen und stellten ein ernstzunehmendes Geschäftsrisiko dar – gerade im Kontext des Verlustes hochsensibler Daten. Mit der Umstellung auf „DevOps“, dem Einsatz von Open-Source-Software in Unternehmensanwendungen und der Notwendigkeit, Open-Source-Code schnell zu implementieren, hätten sich Cyber-Kriminellen zahlreiche Eintrittspunkte geöffnet, um ihre Schadsoftware einzuschleusen. Zudem lasse die „pandemiebedingte Blitzdigitalisierung von geschäftlichen Prozessen und Arbeitsroutinen“ fortlaufend weitere Schwachstellen entstehen.

Unternehmen in Zukunft verstärkt auf Software-Lieferketten angewiesen

Eigene Untersuchungen haben demnach gezeigt, „dass 2020 mit mehr als 30 Millionen registrierten Vorfällen von ,Remote File Inclusion‘ (RFI) und ,Remote Code Execution‘ (RCE) zwei führende Angriffsvektoren vorlagen“. Darüber hinaus hätten über 16 Millionen „Cross Site Scripting“-Attacken (XSS) und mehr als zehn Millionen „SQL Infection“-Angriffe (SQLi) vermerkt werden können.
Unternehmen seien also gut beraten, mögliche Einfallstore zu schließen „und Gefahren zu beseitigen, die in ihren Codezeilen lauern“. Denn in Zukunft seien sie – verstärkt – auf Software-Lieferketten angewiesen, sowohl für selbst entwickelte als auch für Anwendungen von Drittanbietern.

Risiko-Eindämmung: Spezialisten-Tippd von Imperva:

• Unternehmen müssten Bedrohungsmodelle entwickeln, um der wachsenden Zahl automatisierter Angriffe über alle Teile der Lieferkette hinweg vorzubeugen. In diesem Modell sollten auch etwaige Schwachstellen von Software im Drittanbieter-Code berücksichtigt werden.
• „Runtime Application Self-Protection“ (RASP) erlaube Sicherheit von innen heraus zu gewährleisten und auf Ebene der Anwendung vor Angriffen wie „SQL Injection“ zu schützen.
• „Client-Side Protection“ (CSP) verhindere Online-Betrug durch „Supply Chain“-Angriffe wie „Formjacking“, „Digital Skimming“ und „Magecart“.

Weitere Informationen zum Thema:

datensicherheit.de, 28.10.2020
Software: 76% der Anwendungen mit mindestens einer Sicherheitslücke / Sicherheitslücken auch 6 Monate nach Entdeckung noch offen

datensicherheit.de, 08.10.2019
Digitale Transformation: Hardware, Software und Orgware abstimmen / CI4-Gründungspartner Carsten J. Pinnow warnt vor Aktionismus auf technischem Gebiet und Vernachlässigung des ganzheitlichen Vorgehens

datensicherheit.de, 26.07.2019
Code Signing: Überprüfung der Integrität von Software / Venafi stellt Lösung zum Schutz von Maschinenidentitäten vor

[datensicherheit.de, 24.03.2019] Viele Fertigungs- oder Logistikbetriebe verwenden mittlerweile vernetzte Technologie, um Prozesse zu beschleunigen und flexibler zu gestalten. Dabei befinden sich ganze Lieferketten im Netzwerk, die zur Zielscheibe von Cyberkriminellen werden. Einige Systeme und Prozesse unterliegen enormen Abhängigkeiten und müssen perfekt funktionieren, wie beispielsweise in der Automobilindustrie. Störungen und Ausfälle der Supply Chain, die durch Cyberkriminelle verursacht werden, können aufgrund dessen verheerende Auswirkungen haben.

Ross Brewer, Vice President & Managing Director EMEA bei LogRhythm äußert sich folgendermaßen:

„Cyberkriminelle sind immer auf eine Sache aus – Daten. Die umfangreichsten und lukrativsten Datenbestände befinden sich in den größten Unternehmen. Aufgrund der Komplexität der Führung eines großen Unternehmens verfügen diese Unternehmen über die umfassendsten und komplexesten Lieferketten.

Von Drittanbietern bis zu White-Label-Kunden ist jede Verbindung mit einem anderen Unternehmen ein potenzieller Schwachpunkt, und Cyberkriminelle sind mehr als gewillt sie auszunutzen. Die Verstöße gegen Best Buy, Sears, Kmart und Delta des vergangenen Jahres wurden beispielsweise durch Schwachstellen in einer Chat-App eines Drittanbieters konstruiert.

Es gibt kein Allheilmittel, um Ihr Netzwerk zu sichern. Die Netzwerke Ihrer Lieferanten bleiben auf unbestimmte Zeit sicher. Es ist eine Frage ständiger Sorgfalt und sorgfältiger Prozesse. Unternehmen müssen sicherstellen, dass sie ihren Lieferanten vertrauen und die von ihnen verwendeten Anwendungen überprüfen. Organisationen können Anwendungs-Whitelists erstellen, die sicherstellen, dass Systeme neuer Lieferanten während des Beschaffungsprozesses in begründeten Zweifeln als sicher betrachtet werden können.

Dies sind Vorsichtsmaßnahmen, aber in der heutigen Bedrohungslandschaft ist es fast unvermeidlich, dass ein Verstoß auftritt. Es ist ein schwieriger Brocken, der zu schlucken ist, aber wenn Unternehmen sich damit abfinden können, können sie dennoch den Schaden durch einen Verstoß mindern. Der Fokus auf die Mean time to detect (MTTD) und die Mean time to respond (MTTR) als wichtige Sicherheitsmetriken ist ein guter erster Schritt. Das heißt, eine Bedrohung erkennen und anschließend früher im Cyberattack-Lebenszyklus herunterfahren. Technologien wie Security Information and Event Management (SIEM) oder User and Entity Behavior Analytics (UEBA) automatisieren diese Prozesse zunehmend.“

Weitere Informationen zum Thema:

datensicherheit.de, 11.09.2018
Schutz vor psychologischen Tricks von Cyberkriminellen

datensicherheit.de, 24.06.2018
Überlebensfrage: Abwehr von Cyber-Attacken auf kritische Infrastruktur