In Schweden waren die meisten der 800 Filialen der Lebensmittelkette Coop tagelang geschlossen, nachdem die Kassensysteme ausgefallen waren - ein besonders drastisches Resultat eines globalen Cyber-Erpressungsangriffs mit Domino-Effekt. Denn die Hacker hatten nicht einzelne Firmen angegriffen, die Erpressersoftware kam aus einer eigentlich vertrauenswürdigen Quelle auf die Rechner der Opfer - von den Servern des Dienstleisters Kaseya.
- Wie hilflos sind die Kaseya-Kunden den Attacken ausgeliefert?
- Wie ist es der Hackergruppe REvil gelungen, ihren Schadcode auf die Server von Kaseya einzuschleusen?
- Warum haben anscheinend die meisten Kaseya-Kunden auf eine Sicherheitsüberprüfung der Kaseya-Updates verzichtet?
- Müsste ein IT-Dienstleister wie Kaseya nicht die Sicherheit seiner Software garantieren können?
Nicht ganz so hilflos, wie es auf den ersten Blick scheint. Sowohl Erpressungstrojaner als auch Spionagesoftware sind mit Updates bzw. Software-Neuinstallationen auf die Rechner von Kaseya-Kunden gelangt. Es gibt allerdings einige wenige Kaseya-Kunden, die die Wartungsarbeiten des IT-Dienstleisters noch überwachen und deshalb für Softwareinstallationen, die von Kaseya kommen, nicht automatisch die Firewall und andere Sicherheitssoftware abschalten. Bei diesen Kaseya-Kunden konnte die Schadsoftware nicht installiert werden.
Zweiter Punkt: Der Fall Kaseya hat noch einmal bestätigt, was ähnlich gelagerte Fälle bereits ans Tageslicht gebracht haben: Diese Angriffe sind möglich und erfolgreich durch ein weitgehendes Staatsversagen in Sachen IT-Sicherheit - siehe die Diskussion über IT-Sicherheitslücken. Sie sind möglich, weil IT-Dienstleister wie Kaseya ihre Management-Software nicht ausreichend sicher gemacht haben. Außerdem sie sind möglich, weil die Kaseya-Kunden ihrem IT-Dienstleister nahezu blind vertrauen und deshalb Sicherheitsmaßnahmen für ihn abschalten.
Wie ist es der Hackergruppe REvil gelungen, ihren Schadcode auf die Server von Kaseya einzuschleusen?
Das gelang offenbar mit der sogenannten "SQL-Injection" - einer nicht gerade neuen Angriffsmethode. Viele Attacken werden erfolgreich auf diese Weise durchgeführt. Dabei werden, wie auch in diesem Fall, oft zwei Schwachpunkte nacheinander ausgenutzt: Zunächst gelangen Angreifer über eine mangelhaft gesicherte Schnittstelle überhaupt ins System. In einem zweiten Schritt werden die erwarteten Daten oder SQL-Statements durchgereicht und nicht auf etwaige Schadfunktionalität geprüft.
Das hat bei Kaseya nach den bisherigen Erkenntnissen dazu geführt, dass die Kriminellen der REvil-Gruppe Befehl für Befehl ihre kleinen Schadsoftwarepäckchen auf die Kaseya-Server schmuggeln konnten. Das wies wiederum den Server an, Spionagesoftware und einen Erpressungstrojaner bei der nächsten Auslieferung mit an die Kunden zu schicken. Der Spähtrojaner lieferte REvil sensible Unternehmensdaten, der Erpressungstrojaner verschlüsselte die Festplatten.
Verschont geblieben sind ausschließlich Kunden, die ihre Sicherheitssoftware für Kaseya-Auslieferungen nicht deaktiviert hatten, sondern alle an das System gelieferten Daten, auch Update-Daten, erst einmal prüfen.
Ransomware: Gehackt, bestohlen, erpresst
Auch in kriminellen Kreisen gibt es Trends. Einer davon heißt Ransomware. Dabei werden Daten geklaut und die Opfer dann erpresst. Auch deutsche Unternehmen sind betroffen, ein Ende der Angriffe ist nicht abzusehen – im Gegenteil.
Auch in kriminellen Kreisen gibt es Trends. Einer davon heißt Ransomware. Dabei werden Daten geklaut und die Opfer dann erpresst. Auch deutsche Unternehmen sind betroffen, ein Ende der Angriffe ist nicht abzusehen – im Gegenteil.
Hier zeigt sich ein großes Problem: Solche Sicherheitsmaßnahmen kosten Zeit und Personal. Genau das wurde mit der Beauftragung von Dienstleistern wie Kaseya abgebaut. Mittlere Unternehmen sparen auf diese Weise einige Stellen für Systemadministratoren ein. Früher beschäftigten sie vier bis zehn Mitarbeiter, die neue Software oder Updates installierten. Nachdem dieses Installationsgeschäft an einen Dienstleister ausgelagert wurde, wurden sie nicht mehr benötigt. Denn nur ein vollständig automatisiertes Softwaremanagement spart wirklich Geld.
Die Sicherheitsüberprüfung kann zwar teilautomatisiert werden, doch ohne Systemadministratoren geht es nicht. Die Update-Pakete werden zunächst in einem Sicherheitsbereich gespeichert und von entsprechender Prüfsoftware analysiert. Anschließend wird an den Systemadministrator gemeldet: Nichts gefunden, kannst Du freigeben - oder entsprechend, dass Verhaltensauffälligkeiten an bestimmten Stellen beobachtet wurden. Bei mittleren Unternehmen funktioniert das. Bei kleinen Firmen fehlt dafür schlicht das Personal.
Ein Teil der Sicherheitslücken war gerade bei Kaseya bekannt geworden, aber noch nicht beseitigt. Die Kriminellen waren schneller als das bislang zu langsame Sicherheitslücken-Management. Es braucht hier so etwas wie Meldepflichten für Sicherheitslücken, klare Vorgaben, wie und in welchem Zeitraum welche Sicherheitsmaßnahmen veranlasst werden müssen. Doch die Politik weigert sich hartnäckig, hier tätig zu werden. Im IT-Sicherheitsgesetz 2.0 fehlt so eine Meldepflicht.
Die immer wieder verlangte internationale Zusammenarbeit in diesem Bereich funktioniert überhaupt nicht, denn die meisten Staaten halten Sicherheitslücken für ihre Militärs, Geheimdienste und Sicherheitsbehörden geheim. Sie wollen gerade nicht, dass sie bekannt werden, sondern die Behörden sollen damit arbeiten. Das nutzt organisierte Kriminalität wie die REvil-Gruppe aus.
