Mit dem Angriff auf ein Unternehmen gelang es Hackern am 2. Juli 2021, hunderte Firmen zu schädigen. Die Rede ist vom Angriff auf Kaseya, einem Anbieter von IT-Management-Lösungen für Managed Service Provider (MSP). Der IT-Spezialist bietet mit der Virtual System Administrator (VSA) Software eine RMM-Lösung (Remote Monitoring and Management) an, mit der IT-Systemhäuser auf Kundensystemen Dienstleistungen wie Fernwartung, Monitoring, Backups oder Patch-Management durchführen können.

Durch eine Zero-Day-Schwachstelle gelang es den Cyber-kriminellen, ein manipuliertes Update für Kaseya VSA On-Prem-Server zu nutzen, um nicht nur Kaseya-Kunden, sprich die Systemhäuser, sondern auch deren Kunden mit Ransomware zu attackieren. Bei diesem Muster sprechen Experten von einem Supply-Chain-Angriff. Nach der Entdeckung des Angriffs stoppte Kaseya seinen Cloud-Service und warnte seine Kunden, sofort auch lokal laufende VSA-Systeme auszuschalten. Nach wenigen Tagen waren die Services auch dank Sicherheits-Updates wieder verfügbar.

Der Schaden durch den Angriff ist dennoch enorm: Nicht nur Kaseya als Hauptangriffsziel musste seine Systeme auf Auffälligkeiten überprüfen, sondern auch betroffene Systemhäuser und deren Kunden. Die Analysen sind aufwendig und können den Geschäftsbetrieb von Unternehmen beeinträchtigen. Ein Beispiel: Das Kassensystem der schwedischen Supermarktkette Coop war durch den Kaseya-Angriff ebenfalls betroffen. Einige Geschäfte konnten deshalb nicht öffnen.

Bedrohungslage geschäftskritisch

Die Angreifer in diesem Beispiel gelangten über die IT-Infrastruktur in Unternehmen. Durch die zunehmende Vernetzung aufgrund des Internet of Things und dem stetigen Zusammenwachsen von OT und IT können solche Angriffe auch Auswirkungen auf kritische Infrastrukturen wie Produktionen, aber auch auf sensible Bereiche wie Forschung und Entwicklung haben. In der Industrie selbst gibt es ebenfalls schon Beispiele, wie Unternehmen durch Ransomware über Wochen und Monate in ihrem Betrieb eingeschränkt und zum Teil lahmgelegt wurden.

Experten warnen daher immer wieder: Es ist nicht die Frage ob, sondern wann ein Unternehmen Ziel beziehungsweise Opfer eines Angriffs wird. Und sie mahnen einen ganzheit-lichen Security-Ansatz an, der alle Unternehmensbereiche umfasst.

Angriffszahlen steigen

Die Zahl der DDoS-Attacken erreichte laut dem IT-Sicherheitsanbieter Link11 im ersten Halbjahr 2021 einen neuen Höchstwert. Die Zunahme gegenüber dem Vorjahreszeitraum mit seinem DDoS-Boom und einer Verdopplung der Angriffe betrug noch einmal 33 %. Das geht aus den neuen Netzwerk-Statistiken des Link11 Security Operations Centers (LSOC) hervor.

Laut den Statistiken haben die Anzahl und die Wucht von DDoS-Angriffen seit Anfang des Jahres noch einmal sprunghaft zugenommen: Im 2. Quartal 2021 verzeichnete das LSOC 19 % mehr Angriffe als im Quartal davor. Auch Hochvolumen-Angriffe von mehreren 100 Gbps werden laut der Netzwerk-Auswertung immer mehr zur Normalität.

Die Bedrohungslage in den ersten drei Monaten des Jahres 2021 war nach Angaben des Sicherheitsexperten durch DDoS-Angriffe auf Web-Services geprägt, die das Leben, Lernen und Arbeiten unter Pandemie-Bedingungen sicherstellten. Dazu zählten Impfplattformen, Lernportale und IT-Infrastrukturen für das mobile Arbeiten im Homeoffice. Vielfach standen Hosting Provider und ISPs, die die Express-Digitalisierung in Wirtschaft und Gesellschaft erst ermöglichten, unter Beschuss.

Seit Anfang des Jahres 2021 sorgten zudem wiederholte und sich immer weiter verstärkende Wellen von DDoS-Erpressungen für eine angespannte Gefahrenlage. Erpresser-Mails mit wechselnden Absendern wie Fancy Bear, Lazarus Group oder Fancy Lazarus gingen und gehen in immer höherer Frequenz zielgerichtet an Unternehmen. Statt wahllos vorzugehen, variieren inzwischen die Lösegeldforderungen je nach Unternehmensgröße und Branche der Opfer, so das Unternehmen. Tatsächlich sind derzeit Unternehmen aus einer Vielzahl von Branchen betroffen, darunter Finanzen, E-Commerce, Medien, Industrie und Logistik.

Schwachstelle Industrial Control System

Die Lage in der industriellen Cybersicherheit untersucht halbjährlich Claroty. Der aktuelle ICS Risk & Vulnerability Report für das erste Halbjahr 2021 zeigt, dass die Offenlegung von Schwachstellen in den industriellen Kontrollsystemen (ICS) deutlich zunimmt. Laut dem Bericht wurden in den ersten sechs Monaten 41 % mehr ICS-Schwachstellen im Vergleich zum vorangegangenen Zeitraum gemeldet. Dies sei umso bemerkenswerter, als sie im gesamten Jahr 2020 gegenüber 2019 um 25 % und gegenüber 2018 um 33 % zugenommen haben, so die Experten.

Der Bericht analysiert die im ersten Halbjahr 2021 veröffentlichten ICS-Schwachstellen, einschließlich der von Clarotys Forschungsteam Team82 aufgedeckten sowie solcher, die aus vertrauenswürdigen offenen Quellen stammen. Hierzu zählen die National Vulnerability Database (NVD), das Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), CERT@VDE, MITRE sowie die Anbieter von Industrie-automatisierung Schneider Electric und Siemens.

Ein Gefahrenpotenzial liegt in der Modernisierung industrieller Prozesse, in denen sie mit der Cloud verbunden werden. Dadurch biete sich Angreifern mehr Möglichkeiten, industrielle Abläufe durch Ransomware und Erpressungsangriffe zu kompromittieren, so die Experten. Die jüngsten Cyberangriffe auf Colonial Pipeline, JBS Foods und die Wasseraufbereitungsanlage in Oldmsar, Florida, haben nicht nur gezeigt, wie anfällig kritische Infrastrukturen und Produktionsumgebungen sind, die mit dem Internet verbunden sind, sondern haben auch mehr Sicherheitsforscher dazu veranlasst, ihre Bemühungen speziell auf ICS zu konzentrieren.

Schwachstelle in der OT-Security

So auch Claroty. Im ersten Halbjahr 2021 wurden laut dem ICS Risk & Vulnerability Report 637 ICS-Schwachstellen gemeldet, ein Anstieg von 41 % gegenüber den 449 Schwachstellen, die im zweiten Halbjahr 2020 gemeldet wurden. 81 % dieser Schwachstellen wurden von externen Spezialisten entdeckt, darunter Drittunternehmen, unabhängige Forscher, Akademiker und andere Forschungsgruppen.

71 % der Schwachstellen werden als hoch oder kritisch eingestuft. 90 % haben eine geringe Angriffskomplexität, das heißt, sie erfordern keine speziellen Bedingungen und ein Angreifer kann jedes Mal mit einem wiederholbaren Erfolg rechnen.

74 % erfordern keine Berechtigungen, das heißt, der An-greifer ist nicht autorisiert und benötigt keinen Zugriff auf Einstellungen oder Dateien. 66 % erfordern keine Benutzerinteraktion wie das Öffnen einer E-Mail, das Klicken auf Links oder Anhänge oder die Weitergabe sensibler persönlicher oder finanzieller Daten. 65 % können zu einem totalen Betriebsausfall führen, wodurch der Zugang zu Ressourcen verweigert wird. 26 % verfügen entweder über keine oder nur teilweise Abhilfemaßnahmen. Dies verdeutliche laut Claroty eine der größten Herausforderungen bei der Sicherung von OT-Umgebungen im Vergleich zu IT-Umgebungen.

61 % der gemeldeten Schwachstellen sind aus der Ferne ausnutzbar. Dies zeigt laut Bericht, dass die Sicherung von Remote-Verbindungen und Geräten des Internet der Dinge (IoT) und des industriellen IoT (IIoT) von größter Wichtigkeit ist.

Zu den wichtigsten Abhilfemaßnahmen, die in ICS-CERT-Warnungen und Herstellerempfehlungen genannt werden, zählen Netzwerk-Segmentierung (betrifft 59 % der Schwachstellen), sicherer Fernzugriff (53 %) und Schutz vor Ransomware, Phishing und Spam (33 %).