Wenn es eine Sache gibt, die uns bei Open Systems eint, dann ist es unsere Verpflichtung zum Schutz unserer Kunden. Wie Ihnen jeder erfahrene Sicherheitsexperte bestätigen kann, ist die hundertprozentige Verhinderung von Sicherheitsvorfällen einfach nicht möglich. Das bedeutet, dass wir uns auf den Umgang mit Vorfällen vorbereiten müssen, wenn sie auftreten, um so die Auswirkungen effektiv zu begrenzen. In anderen Fällen kann es sein, dass wir erst spät Kenntnis von einem Vorfall erhalten, z. B. wenn wir mit dem Onboarding für unseren MDR-Service (Managed Detection and Response) beginnen und einen aktiven Cyberkriminellen in der Umgebung eines Kunden entdecken.

Unternehmen sind aus einer Vielzahl komplexer und unterschiedlicher Gründe von Cybersicherheitsvorfällen betroffen. Im Rahmen dieses Beitrags möchten wir jedoch einige Themen exemplarisch erläutern.

Fusionen und Übernahmen (M&A)

Unternehmen, die durch Fusionen und Übernahmen wachsen, erhöhen damit auch ihr Cybersicherheitsrisiko. Meist sind die Verhandlungen über eine Übernahme ein langwieriger und komplexer Prozess. In einer idealen Welt könnten Sicherheitsexperten davon ausgehen, dass die notwendige Due-Diligence-Prüfung im Sicherheitsbereich bereits vor Abschluss eines Deals erledigt wurde. Dies ist jedoch oft nicht der Fall. So erging es einem unserer SASE-Kunden (Secure Access Service Edge), der uns einen Ransomware-Vorfall in einer neu akquirierten Geschäftseinheit im Fernen Osten meldete.

Im Rahmen einer kurzen Untersuchung stellten wir fest, dass der Kunde das Remote-Desktop-Protokoll (RDP) durch seine Firewall aus dem Internet auf einen seiner Server zugelassen hatte. Mithilfe eines Brute-Force-Angriffs war es dem Angreifer gelungen, das Passwort eines Kontos zu ermitteln und sich Zugang zur Infrastruktur zu verschaffen. In der Vergangenheit war dies eine der häufigsten Methoden, mit denen sich Cyberkriminelle einen ersten Zugang verschafften. Inzwischen ist diese Methode aufgrund der strikteren Gestaltung von Richtlinien und Infrastrukturen seitens der Unternehmen jedoch rückläufig.

In diesem Fall ergaben unsere Nachforschungen, dass niemand wirklich auf die Logs achtete, da es mehrere Möglichkeiten zur Erkennung und Eindämmung des Vorfalls gab. Zum Glück für alle war der Umfang der Sicherheitsverletzung auf eine einzelne Geschäftseinheit beschränkt, da der Angreifer sich nicht seitwärts im globalen WAN ausgebreitet hatte. Es hätte aber auch ganz anders kommen können.

Sicherung des Remote-Zugriffs

Eine der Stärken unseres MDR+ Service ist, dass wir relevante und ausführliche Telemetriedaten aus der Kundenumgebung sammeln und diese dann analysieren können. Für gewöhnlich haben neue Kunden einfach nicht die Fähigkeit oder die Ressourcen zur Erfassung und Verarbeitung dieser detaillierten Informationen. Zudem fehlt oft das Know-how, um zu wissen, wonach sie suchen müssen. Während der anfänglichen Einführung von MDR+ gab es mehrere Fälle, in denen wir nach der Identifizierung von kompromittierten Konten und Geräten eine Übung zur Reaktion auf Vorfälle und deren Eindämmung organisiert haben.

Es gibt ein weiteres häufiges Phänomen, das wir bei derartigen Fällen feststellen: Die Kunden haben es versäumt, Systeme, die einen Remote-Zugriff auf ihre IT-Umgebung ermöglichen, angemessen zu schützen. Hierbei kristallisieren sich zwei Teilaspekte heraus.

Zunächst einmal warten Unternehmen ihre Plattform für den Remote-Zugriff oft nicht ordnungsgemäss. Auch für Sicherheitsgeräte gibt es Sicherheitsanforderungen, wobei die Regeln für das Patchen auch hier konsequent gelten. Leider wird die Bedeutung von Patches in kleinen und mittleren Unternehmen häufig unterschätzt. Diese Art der Wartung kann von Managed Firewall Services übernommen werden. Allerdings ist den Unternehmen oft nicht bewusst, dass sie diese Aufgabe wahrnehmen müssen. In anderen Fällen ist die Verantwortlichkeit für diese Wartung nicht klar definiert. All dies kann zu kompromittierten Perimeter-Firewalls und Systemen für den Remote-Zugriff führen, die ihrerseits zu einem Angriffsziel werden können.

Das zweite von uns erkannte Phänomen ist die fehlende Multi-Faktor-Authentifizierung. Selbst Unternehmen mit gut ausgebildeten Mitarbeitenden berichten von Phishing-Klickraten von fünf Prozent. Angreifer, die es auf ein Unternehmen abgesehen haben, müssen oftmals keinen grossen Aufwand betreiben, um an die Zugangsdaten eines Benutzers zu gelangen. Zudem wissen wir alle, dass gültige Zugangsdaten in Untergrundforen gegen Bezahlung erworben werden können. Wenn eine einfache Kombination aus Benutzername und Kennwort die einzige Barriere ist, die den Fernzugriff auf ein Unternehmen verhindert, ist das eine Katastrophe. Im Idealfall würden wir unseren Kunden empfehlen, unsere sicheren Dienste für den Remote-Zugriff zu nutzen, die eine Multi-Faktor-Authentifizierung beinhalten. Aber es wird immer Unternehmen geben, die dieses Thema lieber in Eigenregie angehen.

Die Rückkehr der Bedrohung durch Wechseldatenträger

Das Jahr 2022 brachte die Rückkehr eines alten Bekannten mit sich: Malware, die sich über Wechseldatenträger verbreitet. Obwohl diese Art von Angriffen ein alter Hut ist, war es bemerkenswert zu sehen, wie eine neuere Bedrohung namens „Raspberry Robin“ sich auf Unternehmen auswirkte. Microsoft meldete eine weit verbreitete Entdeckung, was deutlich zeigt, warum Wechselmedien immer noch ein sehr erfolgreicher Angriffspunkt sind. Oftmals kommt es zu Infektionen, weil die Mitarbeitenden eines Kunden Wechseldatenträger auf privaten Geräten, Geräten von Drittanbietern oder Firmengeräten verwenden. Diese Quellgeräte können leicht mit Malware infiziert werden, da sie nicht über angemessene Sicherheitskontrollen verfügen. Einmal mit Malware infiziert, können dieses Wechselmedien anschliessend jedes verbundene Gerät infizieren.

Mehrere Aspekte machen den Fall Raspberry Robin besonders interessant. Die Entdeckungsrate dieser Bedrohung war zu Beginn ausserordentlich niedrig. Der Urheber der Bedrohung hielt sich zudem ungewöhnlich bedeckt und zögerte die Folgeaktionen über einen beachtlichen Zeitraum hinaus. Schliesslich wurde Raspberry Robin dank der Ermittlungsarbeit des Microsoft Threat Intelligence Center (MSTIC) der Ransomware-Gruppe „Evil Corp“ zugeordnet.

Die gute Nachricht ist, dass Open Systems diese Bedrohung für unsere Kunden aktiv aufgespürt und entschärft hat, in einigen Fällen sogar, bevor sie als Bedrohung bekannt wurde. Durch das frühzeitige Stoppen des Angriffs blieben unsere Kunden von der Ransomware verschont.