[datensicherheit.de, 13.11.2023] Vor knapp zwei Jahre wurde SolarWinds Opfer eines Cyber-Angriffs – „insbesondere einer Attacke auf die Lieferkette, bei dem Endkunden das Ziel waren“, ruft Christian Have, CTO bei Logpoint, in seiner aktuellen Stellungnahme in Erinnerung und berichtet: „Nun sieht sich der ,Chief Information Security Officer’ (CISO) von SolarWinds mit Betrugsvorwürfen der U.S. Securities and Exchange Commission (SEC) konfrontiert, weil er irreführende Informationen über die Cyber-Sicherheitssituation von SolarWinds an den Markt weitergegeben hat.“ Dieser CISO hatte demnach eine robuste Cyber-Sicherheitseinrichtung dargestellt, aber als der Cyber-Angriff stattfand, sei der Aktienkurs stärker abgestürzt als vernünftigerweise zu erwarten war.

Foto: Logpoint

Christian Have: Anklage gegen SolarWinds-CISO zeigt Wirksamkeit rechtlicher Maßnahmen auf…

Anschuldigungen gegen SolarWinds sollten auch CISOs in Europa zu denken geben

Have betont: „Die Anschuldigungen gegen den CISO von SolarWinds sollten den CISOs in Europa zu denken geben. Die Behörden nehmen sie jetzt aktiv unter die Lupe. Wenn ein europäisches Unternehmen von einem Cyber-Angriff betroffen ist, der zu einem Rückgang des Aktienkurses führt, obwohl zuvor berichtet wurde, dass man sich intensiv um die Cyber-Sicherheit bemüht, warum sollte das gleiche Szenario nicht auch hier gelten?“

Die Cyber-Sicherheitsbranche setze sich seit Langem für eine herausgehobene Position innerhalb von Unternehmen ein, welche in der Tat unerlässlich sei. Dieser Fall stelle jedoch den ersten seiner Art dar, „in dem ein CISO in die oberen Ebenen des Unternehmens integriert wurde, wenn auch mit einer Abkopplung vom technischen Aspekt“. Er unterstreiche die kritische Bedeutung der technischen Realität und die gewaltige Herausforderung, die Kluft zwischen „oben“ und „unten“ zu überbrücken. Die Vorwürfe deuteten eindeutig darauf hin, dass die Mitarbeiter der Sicherheitsabteilung von SolarWinds sich der Probleme bewusst gewesen seien, was eine erhebliche Diskrepanz aufzeige.

Rolle eines CISO darf nicht zum Papiertiger degradiert werden

Diese Vorwürfe dürften Führungskräften und Vorstandsmitgliedern schlaflose Nächte bereiten, „da die SolarWinds-Führung davon ausging, dass sie ein Unternehmen mit robuster Cyber-Sicherheit betreibt“. Dies sei ein überzeugendes Beispiel dafür, warum sich die Rolle eines CISO nicht in einen „Papiertiger“ verwandeln dürfe, „der sich ausschließlich auf Notfallpläne, Managementberichte, Compliance und zielgerichtete Maßnahmen verlässt“. Es bestehe die Gefahr, dem Top-Management ungerechtfertigtes Vertrauen einzuflößen, während der Fokus von den technischen Grundlagen abgelenkt werde.

Have unterstreicht abschließend: „Es ist zwingend erforderlich, auf Sicherheitsteams zu hören, die die technische Landschaft genau kennen, und ihre Bedenken ernst zu nehmen.“ Diese Anklage gegen den CISO von SolarWinds zeige, dass rechtliche Maßnahmen in solchen Fällen wirksam seien. Sie werfen laut Have „ein Schlaglicht auf die Probleme und Herausforderungen, mit denen Sicherheitschefs, Führungskräfte, Vorstände und Sicherheitsteams konfrontiert sind“. Dieser Fall sollte in der gesamten Branche Besorgnis und Stirnrunzeln auslösen.

Weitere Informationen zum Thema:

datensicherheit.de, 22.01.2021]
Lessons learned – Lehren aus dem Solarwinds-Hack / Ein Kommentar von Christoph Volkmer, VP DACH bei Tanium

datensicherheit.de, 21.12.2020
Sicherheitsverletzung bei SolarWinds zeigt Notwendigkeit eines sicheren Passworts auf / Ian Pitt empfiehlt Unternehmen jeder Größe Einführung einer unternehmensweiten Passwort-Managementlösung

[datensicherheit.de, 11.02.2021] Thorsten Krüger, „VP Sales DACH“, „CEE“ und „CIS“ bei Thales, geht in seiner aktuellen Stellungnahme auf den sich abzeichnenden IT-Security-Trend 2021 ein – „Supply Chain“-Angriffe. Es gebe anlässlich des „SolarWinds“/„Sunburst“-Vorfalls eine ganze Menge „Lessons Learned“ für die IT-Security-Community.

Foto: Thales

Thorsten Krüger: Starke Verschlüsselung und Zugriffskontrolle sowie Sensibilisierung der Mitarbeiter von besonderer Bedeutung

SolarWinds / Sunburst und EMA: Vorfälle lassen Zunahme der Angriffe auf Supply Chain befürchten

Krüger führt aus: „Es gibt anlässlich des ,SolarWinds‘/,Sunburst‘-Vorfalls eine ganze Menge ,Lessons Learned‘ für die Security-Community – nicht nur, dass in Deutschland und außerhalb zahlreiche Behörden betroffen sind. Ohne in die bislang bekannten Details gehen zu wollen, lässt sich auch mit Blick auf die bekanntgewordenen Angriffe auf die mit der Zertifizierung des Impfstoffs des Herstellers Pfizer/Biontech beauftragte EU-Behörde EMA feststellen, dass ,Supply Chain‘-Angriffe zunehmen werden.“

Dass wie in diesem Fall sogar die gestohlenen Daten veröffentlicht worden seien, sei einer neuen Qualität der Ransomware-Angriffe geschuldet, bei der zum einen die Daten verschlüsselt und kopiert, zum anderen aber als sogenannte „Double Extortion“ ins Netz gestellt würden. Angreifer hätten es letztendlich auf Daten abgesehen und verfolgten den Weg der Daten von einem Unternehmen zum anderen, um sich das schwächste und am einfachsten zu knackende Glied in der Kette herauszusuchen. Diese Strategie komme immer dann zum Tragen, „wenn professionelle Angreifer hinter den Attacken stehen, die viel Zeit und Aufwand in die Erkundung ihres Ziels gesteckt haben“. Dies mache sie so gefährlich und den Schutz vor ihnen so aufwändig.

Supply Chain: Angriffe über Kompromittierung eines Softwarecodes oder einer Anwendung

Krüger erläutert kurz einen „Supply Chain“-Angriff: „Klassisch meint der Begriff die Kompromittierung eines Softwarecodes oder aber einer Anwendung, die von einem Drittanbieter entwickelt wird und dann in anderer weitverbreiteter Software oder Systemen eingesetzt wird.“ Beispiele gebe es seit „Target 2014“ genug – das Phänomen sei daher bekannt, aber das Ausmaß und die Raffinesse hinter den neuerlichen Angriffen lasse aufhorchen und für die Zukunft nichts Gutes erahnen.

Angesicht des Ausmaßes der Vernetzung der heutigen Wirtschaft und der Abhängigkeit von funktionierenden Lieferketten, lasse sich der Begriff „Supply Chain“ nämlich noch weiter fassen, wenn man ihn als „Value Chain“- oder noch weiter als „Third Party“-Attacke verstehe. Angreifer sehen sich demnach die gesamte Lieferkette an, „sie haben Zeit, warten ab, suchen nach Schwachstellen, beispielsweise in Buchhaltungssoftware, die bei einigen Firmen im Einsatz ist und auch bei den Zulieferern oder Zweigstellen im Ausland“.

Schutz der Supply Chain: Komplette Lieferketten muss sicher sein

Das Einfallstor müsse nicht groß sein, bleibe es jedoch lange unbemerkt, wie bei den vielen bekanntgewordenen Fällen, könnten sich die Angreifer in Seelenruhe ausbreiten und sich nach und nach Zugriff auf die für sie interessanten Datensätze verschaffen. Die Bedrohung sei inzwischen so groß, dass in einer Studie des US-amerikanischen Security-Dienstleisters BlueVoyant mehr als 80 Prozent der Befragten bestätigt hätten, bereits Opfer eines solchen indirekten Angriffs gewesen zu sein.

Angesichts der zunehmenden Angriffe auf und über Zulieferer und Drittanbieter-Firmen sollten Unternehmen deshalb mehr denn je darauf achten, wie ihre Lieferketten, „und zwar alle, von der Softwareentwicklung bis zu den tatsächlichen Lieferprozessen selbst“, in Sachen IT-Sicherheit aufgestellt sind. Krüger betont: „Hier ist neben einer starken Verschlüsselung und Zugriffskontrolle die Sensibilisierung der Mitarbeiter von besonderer Bedeutung. Nur wer seine Lieferketten im Blick hat, kann sich vor Cyber-Attacken schützen, auch wenn es keinen vollumfänglichen Schutz geben kann.“

Weitere Informationen zum Thema:

Deutschlandfunk, Peter Welchering, 09.01.2021
IT-SicherheitSolarwind-Attacke betrifft auch deutsche Ministerien und Firmen

datensicherheit.de, 11.12.2020
EMA-Hack: Gezielter Cyber-Angriff auf das Herz unserer KRITIS / Beispiel EMA zeigt, dass Cyber-Angriffe auf Pharmaunternehmen in aktueller Situation keine Überraschung sind

BlueVoyant
DOWNLOAD REPORT: Global Insights: Supply Chain Cyber Risk / Managing Cyber Risk Across the Extended Vendor Ecosystem

[datensicherheit.de, 22.01.2021] Den Ermittlungsergebnissen von NSA und FBI zufolge lässt sich der gezielte Angriff auf den texanischen IT-Dienstleister Solarwinds auf russische Urheber zurückverfolgen. Diese haben ein Update einer Netzwerk-Management-Software von SolarWinds manipuliert, welches weltweit von vielen staatlichen Behörden und Betreibern kritischer Infrastruktur genutzt wird. Auch deutsche Behörden, darunter 16 Ministerien und Bundesämter, sind einer Untersuchung zufolge davon betroffen. Der Digitalexperte der FDP Manuel Höferlin, der die Anfrage an die Bundesregierung stellte, die zur erwähnten Untersuchung geführt hatte, spricht daher auch vom „massivsten Angriff auf die westliche Welt seit Jahrzehnten“.

Lessons learned für Unternehmen und Behörden aus dem Solarwinds-Hack

Die Ermittlungen sind derzeit noch in vollem Gange. Es ist jedoch davon auszugehen, dass es sich bei dem Hack um eine Spionageaktion handelt, die nicht auf Manipulation oder Vernichtung von Daten abzielte. Vielmehr sollte ein Zugang zu Geheiminformationen erlangt werden, möglichst unentdeckt und lange beständig. Bei einer solchen Vorgehensweise ist es besonders schwierig, die Eindringlinge zu entdecken, da sie sich äußerst vorsichtig und unauffällig im System bewegen und darauf bedacht sind, keinen Alarm auszulösen. Auf diese Weise kann die Hintertür einer Schwachstelle lange Zeit verschleiert werden, was einen längeren Zugriff auf interne Daten der Opfer verspricht. Ist die Sicherheitslücke nämlich erst einmal entdeckt worden, kann sich der Softwarehersteller umgehend um die Behebung kümmern und einen Hotfix an alle Kunden ausspielen, um somit die Datenspione wieder vor die Tür zu setzen.

Christoph Volkmer, VP DACH bei Tanium, © Tanium

Für Firmen ist es von existenzieller Bedeutung, alle im Unternehmen genutzten Applikationen und digitalen Dienstleistungen im Blick zu behalten und stets zu wissen, auf welchen Endgeräten möglicherweise veraltete Versionen oder Sicherheitsupdates installiert sind. Veraltete Endgeräte sind das Haupteinfallstor für Cyberkriminelle, um sich einen nachhaltigen Zugang zur IT-Infrastruktur zu sichern.

Ist das Ziel der Hacker, wie im Fall von Solarwinds, sich unbemerkt und langfristig im Netzwerk von Behörden und Unternehmen einzunisten, so ist es ohne lückenlose Sichtbarkeit aller IT-Assets nahezu unmöglich den Eindringling zu entdecken.

Denn es reicht schon ein einzelner Firmenlaptop mit veralteten Softwareversionen, um die Integrität der IT-Sicherheit in der gesamten Organisation zu kompromittieren.

Lückenloses Update-Management ist die beste Waffe im Kampf gegen Schwachstellen

Um Lückenlosigkeit in der firmeninternen IT-Sicherheitsstrategie zu gewährleisten, ist es von äußerster Wichtigkeit, alle Endpunkte und deren Update-Status jederzeit überblicken zu können. Eine agentenbasierte Lösung ist hierbei die beste Wahl, da sie zum einen jeden Endpunkt in Echtzeit kontrollieren kann und zum anderen eine signifikante Steigerung der Reaktionsgeschwindigkeit und Agilität im Vergleich zu zentralisierten Update-Strategien bietet. Nur ein Rechner, der sichtbar ist, kann auch auf veraltete Software hin kontrolliert werden. Nur ein Laptop, der wenige Minuten nach Launch eines Sicherheitsupdates gepatcht wird, verhindert eine unbemerkt klaffende Sicherheitslücke, die im schlimmsten Fall existenzbedrohende Ausmaße annehmen kann – für die eigene Organisation sowie auch deren Kunden und Partner gleichermaßen.

Besonders wenn öffentliche Einrichtungen und Unternehmen der kritischen Infrastruktur eines Landes betroffen sind, dürfen bei der IT-Sicherheit keine Kompromisse eingegangen und keine notwendigen Kosten gescheut werden. Bei der Reaktion auf solche Cyberangriffe ist Entschlossenheit und Geschwindigkeit oberstes Gebot. Man spielt kein Russisch Roulette, wenn es möglicherweise um die Sicherheit eines ganzen Landes und die Gesundheit seiner Bevölkerung geht.

Weitere Informationen zum Thema:

datensicherheit.de, 10.12.2020
EMA: Europäische Arzneimittelagentur gehackt

[datensicherheit.de, 22.12.2020] Auch wenn der E-Mail-Verkehr immer noch als „kritischstes Einfalltor“ für Cyber-Angriffe gilt, nehmen inzwischen SaaS-basierte Angriffe offensichtlich zu – Sicherheitsverantwortliche nehmen nach Meinung von Vectra AI dieses Risiko bislang jedoch kaum war.

SaaS-Anwendungen als kritischen Bedrohungsvektor wahrnehmen!

Vectra AI weist nach eigenen Angaben im Kontext der jüngsten Sicherheitsvorfälle in Zusammenhang mit SaaS-Anwendungen erneut darauf hin, „wie kritisch dieser Bedrohungsvektor ist“.
Im Zuge der Digitalen Transformation und der beschleunigten Migration in die Cloud benötigten Sicherheitsexperten die nötige Weitsicht und Unterstützung, um Bedrohungen zu erkennen und Datendiebstahl zu verhindern. Benutzerkonten und digitale Identitäten seien der neue Perimeter, den es zu schützen gelte.
Laut einer Studie der 451 Group sähen Unternehmen E-Mails als „kritischsten Angriffsvektor“, wie 44,3 Prozent der Befragten angegeben hätten. Nur 3,5 Prozent der Unternehmen hingegen würden in SaaS-Anwendungen das größte Risiko erkennen.

SolarWinds-Vorfall als Warnung: SaaS-basierte IT-Administrationstool zur Malware-Einschleusung

SaaS-Anwendungen werden demnach nur von sehr wenigen Sicherheitsfachleuten als großes Problem erkannt – die jüngsten Vorfälle zeigten indes, dass dieser Angriffsvektor durchaus kritisch sei.
Zuletzt habe die „Washington Post“ am 13. Dezember 2020 berichtet, dass die russische Gruppe „APT29“ oder „Cozy Bear“ in das Netzwerk des US-Finanz- und Handelsministeriums eingedrungen sei. Der Ursprung dieses Vorfalls sei ein Supply-Chain-Angriff über das SaaS-basierte IT-Administrationstool „SolarWinds Orion“ gewesen, um die Malware namens „SUNBURST“ in das fremde Netzwerk zu schleusen.
Dies sei ein signifikantes Beispiel für einen gut ausgeführten Supply-Chain-Angriff, „bei dem ein SaaS-basiertes Tool für kriminelle Zwecke kompromittiert wurde“. Die anschließende Ausnutzung der Authentifizierungskontrollen habe es den Akteuren ermöglicht, sich in die Cloud zu vorzuarbeiten und für längere Zeit unentdeckt in „Microsoft 365“ zu operieren, um Informationen zu sammeln.

Cyber-Angreifer konzentrieren sich nun verstärkt auf privilegierten Zugriff und SaaS-Tools

„Da Unternehmensnetzwerke zunehmend zu Hybrid-Cloud-Umgebungen werden, konzentrieren sich Cyber-Angreifer nun verstärkt auf den privilegierten Zugriff und SaaS-Tools für ihre Zwecke“, so die Warnung.
In seinem jüngsten „Spotlight Report on Office 365“ habe Vectra dargestellt, wie Cyber-Kriminelle bei ihren Angriffen „Office 365“-Dienste nutzten. Derartige Angriffe unterstrichen die Notwendigkeit eines neuen Sicherheitsansatzes:
Sicherheitsteams müssten in der Lage sein, alle Host- und Account-Interaktionen beim Wechsel zwischen Cloud- und On-Premises-Umgebungen in einer konsolidierten Ansicht zusammenzufassen. „Sie müssen das Angriffsrisiko drastisch reduzieren, indem sie einen Einblick bekommen, welche Nutzer und Geräte auf Daten zugreifen oder Konfigurationen ändern, unabhängig davon, wie und von wo aus dies geschieht“, betont Vectra.

Weitere Informationen zum Thema:

VECTRA
O365 Security Spotlight Report – Report & Stats | Vectra AI

datensicherheit.de, 21.12.2020
Sicherheitsverletzung bei SolarWinds zeigt Notwendigkeit eines sicheren Passworts auf / Ian Pitt empfiehlt Unternehmen jeder Größe Einführung einer unternehmensweiten Passwort-Managementlösung

[datensicherheit.de, 21.12.2020] In den letzte Jahren habe es vor allem um die Jahreswende immer wieder Datenleaks gegeben – aktuell sei SolarWinds in aller Munde und einige Tech-Medien hätten darüber berichtet. Ian Pitt, der „CIO“ von LogMeIn kommentiert diese jüngste Sicherheitsverletzung bei SolarWinds und möchte aufzeigen, wie wichtig es ist, sichere LogIns in Unternehmen einzuführen – sei es wie im Fall von SolarWinds – ein sicheres Passwort für die Server, aber auch für jeden Mitarbeiter.

Foto: LogMeIn

Ian Pitt rät, Passwort-Verhalten im gesamten Unternehmen zu überwachen

Jüngste Sicherheitsverletzung zeigt Risiko schlechter Passwort-Sicherheit auf

„Die jüngste Sicherheitsverletzung bei SolarWinds ist ein weiterer Beweis für den langfristigen Schaden und das Risiko, das mit schlechter Passwort-Sicherheit verbunden ist. Der beste Weg, um passwort-bezogene Datenschutzverletzungen zu verhindern, ist für Unternehmen jeder Größe, insbesondere für KMUs, die Einführung einer unternehmensweiten Passwort-Managementlösung, zusammen mit anderen Cyber-Sicherheitsprozessen im Unternehmen“, betont Pitt.

Angemessene Passwort-Hygiene einhalten!

Mehr denn je müssten IT-Teams sicherstellen, „dass sie eine angemessene Passwort-Hygiene einhalten, d.h. keine Passwörter in Quellcode-Repositories oder in zentral gespeicherten, gemeinsam genutzten Dateien fest codieren oder speichern“. Pitt warnt: Menschlicher Instinkt und Gedächtnis könnten dies bei der großen Anzahl von Konten und Systemen, die in einer Organisation verwendet werden, schwierig machen.

Verwendung eines Managers ermöglicht starke, zufällig generierte Passwörter

Die Verwendung eines Passwort-Managers ermögliche eine nahtlose Anmeldung mit eindeutigen, sicher gespeicherten, zufällig generierten Passwörtern und stelle sicher, „dass die Passwörter selbst stark sind“. Darüber hinaus böten die Verwaltungsfunktionen eines Passwort-Managers den IT-Teams die Möglichkeit, das Passwort-Verhalten im gesamten Unternehmen zu überwachen.

Reduzierung der Anzahl von Passwörtern, welche sich Mitarbeiter merken müssen

Die Verbesserung der Online-Sicherheitslage in Unternehmen beginne mit der Aufklärung. Das Sicherheitsbewusstsein der gesamten Belegschaft müsse schließlich zur Priorität werden. Pitt führt abschließend aus: „Die Reduzierung der Anzahl von Passwörtern, die sich die Mitarbeiter merken müssen, und der Einsatz von Technologien wie Passwort-Managern, Single-Sign-On und Multifaktor-Authentifizierung werden einen großen Beitrag dazu leisten, dass Informationen nicht in die falschen Hände fallen.“

Weitere Informationen zum Thema:

datensicherheit.de, 11.07.2020
Home-Office: Bewusstsein für IT-Sicherheit dauerhaft stärken