Sicherheitsexperten haben immer wieder darauf hingewiesen, dass auch die (Software-)Lieferkette ein Einfallstor für Angriffe ist. Der Beweis ist durch Sunburst nun endgültig erbracht. Aber was können wir daraus lernen? Was ist das wirklich Neue und Alarmierende aus diesem Angriff? Michael Scheffler, Country Manager DACH des Datensicherheitsspezialisten Varonis, erklärt die aus seiner Sicht drei wichtigsten Punkte:
Erstens: Wir müssen unsere Wachsamkeit weiter erhöhen
Einer der „Erfolge“ der Angreifer war die Erbeutung von Angriffstools, die FireEye im Rahmen seiner Red Teaming-Projekte einsetzt. Diese stehen nun Cyberkriminellen zur Verfügung, ganz ähnlich wie vor einigen Jahren im Rahmen der NSA-Leaks. Die Bedrohung nimmt also weiter zu.
Zweitens: Mit Solarwinds hat es ein Unternehmen getroffen, dessen Lösungen sehr weit verbreitet sind
Allein in Deutschland nutzten oder nutzen 15 Ministerien und Bundesämter die Software. Weltweit geht man von 18.000 infizierten Systemen aus, darunter auch prominente Organisationen wie das US-amerikanische Finanzministerium, Handelsministerium, Heimatschutzministerium, Außenministerium, Teile des Pentagons und das US-Energieministerium inklusive seiner untergeordneten National Nuclear Security Administration (NNSA), die das Atomwaffenarsenal der USA verwaltet. Bei der schieren Menge an Opfern werden die Cyberkriminellen sich zunächst den lukrativsten zuwenden. Gleichwohl ist es natürlich denkbar, dass sie ihre Zugänge auch an andere Banden weiterverkaufen.
Drittens: Wir müssen unsere Abwehr-Strategien hinterfragen
Da sich der Perimeter, also die äußeren Grenzen von Unternehmensnetzwerken, immer stärker auflöst, und Angreifer alle denkbaren Wege in die Unternehmensinfrastrukturen nutzen, müssen wir unser Augenmerk auf das richten, was schützenswert ist. Dies kann sich von Unternehmen zu Unternehmen deutlich unterscheiden. Im Falle von FireEye waren es die Tools, bei Microsoft ebenfalls die Software mit der Zielsetzung, andere Unternehmen anzugreifen. Unternehmen müssen also herausfinden, was ihre wertvollsten Assets sind und diese gezielt überwachen und schützen. In aller Regel sind es Dateien und Daten: Bei Journalisten die Artikel, an denen sie gerade schreiben, bei Pharmakonzernen Forschungsergebnisse, bei Finanzdienstleistern interne Analysen usw. Diese Daten stellen Vermögenswerte dar, die identifiziert und gesichert werden müssen.
Hier helfen aber keine Schlösser: Wenn man (zurecht) davon ausgeht, dass sich die Angreifer bereits innerhalb der eigenen Systeme befinden, bleibt nur die Überwachung auf auffälliges Verhalten im Zusammenhang mit diesen wertvollen Assets. Sicherheitsverantwortliche müssen schnell erkennen können, wenn diese plötzlich von Personen geöffnet und kopiert werden, die sie normalerweise nicht nutzen. Oder wenn auf sie von unüblichen Orten oder zu unüblichen Zeiten zugegriffen wird. Sämtliches abnormales Verhalten muss erkannt und entsprechend unterbunden werden. Nur so lassen sich die wertvollsten Inhalte (seien es Daten, Software oder andere digitale Güter) schützen – ganz gleich, auf welchem Weg es die Angreifer ins Innere geschafft haben.
