DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

IT Dienst­leister Kaseya angegriffen

Wenn Russen US-Ame­­ri­­kaner angreifen…stehen dann schwe­dische Kassen?

Die schwe­dische Super­markt­kette Coop hatte ein Problem mit ihren Kas­sen­sys­temen, wes­wegen nahezu alle 800 Filialen für kurze Zeit schließen mussten. Dazu kam es, weil eine kri­mi­nelle Gruppe namens REvil den US-ame­­ri­­ka­­ni­­schen IT-Dienst­­leister Kaseya ange­griffen hat. Der Sitz von REvil wird all­gemein in Russland vermutet.

Der Angriff fand am 2. Juli statt, dem Freitag vor dem 4. Juli — dem US-ame­­ri­­ka­­ni­­schen Unab­hän­gig­keitstag. Angreifer ver­suchen häufig, ihre Attacken vor Wochen­enden oder Fei­er­tagen zu lan­cieren. Bei solchen Gele­gen­heiten sind meist weniger Fach­leute in den jewei­ligen Firmen greifbar bzw. die Attacke wird erst später bemerkt.

Supply-Chain Security bzw. 3rd-Party Security hat sich in den letzten Jahren zu einem Gefah­ren­po­tential für alle Unter­nehmen ent­wi­ckelt, die nicht alleine ohne Hilfe anderer alles selbst machen wollen oder können. Es macht ja auch durchaus Sinn, sich als KMU auf die Bereiche zu kon­zen­trieren, mit denen das Geld ver­dient wird. Das Management und die Absi­cherung der IT gehören häufig nicht dazu, und des­wegen lagert man das gerne an einen MSP (Managed Service Pro­vider) oder anderen Dienst­leister aus. In der aggres­siven Umgebung des Internets werden damit leider oft genug nur alte Pro­bleme gegen neue getauscht.

Für Angreifer werden Anbieter von SaaS (Software as a service) zu einem loh­nenden Ziel, vor allem wenn MSPs die Software ver­wenden: nicht selten hat man dort Zugang zu Dut­zenden oder gar hun­derten anderen Firmen, mit unter­schied­lichem Zugriffslevel.

Aus einem erfolg­reichen Angriff werden dann in diesem Fall ca. 30 MSPs mit zusammen weit über 1000 Geschäftskunden

(Quelle: IT-Sicher­heits­­­firma Hun­tress, Link hier: https://www.huntress.com/blog/rapid-response-kaseya-vsa-mass-msp-ransomware-incident)

Das Ein­fallstor war die Software Kaseya VSA, einem Tool für “Unified Remote Moni­toring & Management”. Scheinbar war Kaseya die Lücke vor dem Angriff bekannt, und sie waren bereits im Begriff, einen Patch dafür zu ent­wi­ckeln; des­wegen konnte — für einen der­ar­tigen Angriff — relativ schnell reagiert werden und womöglich grö­ßerer Schaden ver­hindert werden.

(Quelle: https://csirt.divd.nl/2021/07/04/Kaseya-Case-Update‑2/)

​Man kann an diesem Beispiel​ zwei Dinge deutlich ableiten.

Zum Einen die Erfor­dernis, die eigene Supply Chain zykli​sch zu über­prüfen und auch hier nach Best Practice nur den Zugang und die Rechte zu gewähren, welche vom Dienst­leister für dessen Arbeit benötigt werden.

Zum Anderen die Tat­sache, dass geo­po­li­tische Grenzen für Cybercrime keine Rolle mehr spielen.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Stefan Hager, DATEV eG

Beschäftigt sich seit den späten 80ern mit Themen rund um Cyber-Security. Beruflich erfolgte die Fokus­sierung auf die Absi­cherung von Netz­werken sowie Bedro­hungen aus dem Internet in 1999, mit Arbeits­plätzen in Schottland und Deutschland. Seit 2010 tätig für die DATEV in The­men­ge­bieten rund um Netz­werk­si­cherheit und Internet-Security.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.