Supply Chain Attacks: Cyberangriffe auf unerwarteten Wegen

veröffentlicht am 21. Juli 2021​

von Martin Gärthöffner

Ein maßgeblicher Teil der Anstrengungen, um sich gegen Angriffe aus dem Cyberraum zu schützen, richtet sich auf die für alle offen angebotenen Kommunikationswege. Es werden Schnittstellen, (Web-)Inhalte und Informationen nach außen angeboten. Die Hauptschlagkraft der zur Verfügung stehenden Sicherheitsmaßnahmen wird fokussiert. Andere Schnittstellen werden auch bedacht, jedoch ist eine Kommunikation nach einer bekannten und wohldefinierten Form gewünscht und etabliert, sie gilt in diesem Rahmen dann als vertrauenswürdig und sicher.

Damit bilden sich Lieferketten, Dienstleistungen werden externalisiert, Angebote von außen in die eigenen Prozesse für Wartung, Pflege und Wertschöpfung eingebunden. Der Schutz dieser inhärent gesicherten Strecken stützt sich dann im Weiteren auf die Prüfung auf Auffälligkeiten, auf Abweichungen von Norm und Erwartung.

Das Unternehmen Kaseya Limited hat sich auf das Angebot von IT-Management und Überwachungslösungen spezialisiert. Eine dieser Lösungen ist das Produkt Kaseya Virtual System Administrator (VSA), eine Software für Fernwartung. Ein Einsatzzweck ist das Einspielen von Softwareaktualisierungen, welches auch als Cloudservice angeboten wird. Zu den Kunden von Kaseya Limited und VSA gehören jedoch nicht nur Endkunden, sondern auch sogenannte MSP – Managed Service Provider – IT-Dienstleister, welche wiederum ihrerseits als Anbieter von Wartungsaufgaben auftreten.

Über diesen Service wurden Aktualisierungen an die Geräte von Kunden ausgeliefert. Leider handelte es sich bei der zum Anfang Juli 2021 ausgelieferten Softwareaktualisierung um eine Ransom-Ware der Gruppe „REvil", welche dannDaten von schätzungsweise 800 bis 1500 Unternehmen verschlüsselte. So waren z. B. die Kassensysteme der schwedischen Lebensmittelkette „Coop“ betroffen, es mussten ca. 800 Filialen für mehrere Tage schießen. Ausgenutzt wurde hierzu eine Sicherheitslücke in der Software VSA. Es wurde bisher nicht veröffentlicht, wie viel früher auch Kaseya von dieser Sicherheitslücke wusste, jedoch wurde diese und weitere Sicherheitslücken schon 3 Monate vor den Angriffen gefunden. Versuche, diese zu schließen wurden auch teilweise erfolgreich unternommen.

REvil, die Hackergruppe hinter den Angriffen, forderte von den betroffenen Unternehmen hohe Summen an Lösegeldern für den Schlüssel zur Entschlüsselung der betroffenen Daten. So richteten sich die Lösegeldforderungen nach der Anzahl der verschlüsselten Dateitypen. Ein Generalschlüssel für alle wurde gleichzeitig für 70 Millionen Dollar angeboten.

Neu in dieser ganzen Attacke ist, dass Angriffe und Bedrohungen auch über etablierte, als sicher geltende Wege zum Unternehmen kommen können. Diese sollte nicht nur nach außen, sondern auch innerhalb des eigenen Netzes beachtet werden. Die Koppelung der Systeme, Informations- und Datenwege müssen bewusst auch vor dem Hintergrund der Cybersicherheit gedacht werden.

Eine kritische Nachschau über die Kommunikations- und Netzstrukturen im eigene Unternehmen, aber auch den Sachstand für Cybersicherheit bei den wichtigen Dienstleistern und Partnern über ein Cybersecurity-Rating zu analysieren, sind geeignete Instrumente, um die Gefahr eines Angriffs und die potenziellen Auswirkungen zu reduzieren.

Rödl & Partner kann Sie hier unterstützen. Kontaktieren Sie uns gerne über das folgende Kontaktformular. Wir setzen uns unverzüglich mit Ihnen in Verbindung.