Kein Zweifel: Der Sunburst-Angriff wird die Cybersecurity auf ähnliche Weise dauerhaft verändern wie WannaCry oder die NSA-Leaks. „Gehen Sie davon aus, gehackt zu sein, da dies wahrscheinlich tatsächlich der Fall ist“ ist eine alte Cybersecurity-Weisheit, deren Wahrheit sich in aller Deutlichkeit durch den Sunburst-Vorfall zeigt.
Was können wir daraus lernen? Was ist das wirklich Neue und Alarmierende an diesem Angriff? Michael Scheffler, Country Manager DACH bei Varonis kommentiert diesen Vorfall.
1. Wir müssen unsere Wachsamkeit weiter erhöhen
Einer der „Erfolge“ der Angreifer war die Erbeutung von Angriffstools, die FireEye im Rahmen seiner Red Teaming-Projekte einsetzt. Diese stehen jetzt Cyberkriminellen zur Verfügung, ganz ähnlich wie vor einigen Jahren im Rahmen der NSA-Leaks. Die Bedrohung nimmt also weiter zu.
2. Mit Solarwinds hat es ein Unternehmen getroffen, deren Lösungen sehr weit verbreitet sind
Allein in Deutschland nutzten oder nutzen 15 Ministerien und Bundesämter die Software. Weltweit geht man von 18.000 infizierten Systemen aus, darunter auch das US-Finanzministerium, -Handelsministerium, -Heimatschutzministerium, -Außenministerium, Teile des Pentagons und das US-Energieministerium inklusive seiner untergeordneten National Nuclear Security Administration (NNSA), die das Atomwaffenarsenal der USA verwaltet.
Bei der schieren Menge an Opfern werden die Cyberkriminellen sich zunächst den lukrativsten zuwenden. Gleichwohl ist es natürlich denkbar, dass sie ihre Zugänge auch an andere Banden weiterverkaufen.
3. Abwehr-Strategien müssen hinterfragt werden
Da sich der Perimeter, also die äußeren Grenzen von Unternehmensnetzwerken, immer stärker auflöst, und Angreifer alle denkbaren Wege in die Unternehmensinfrastrukturen nutzen, müssen wir unser Augenmerk auf das richten, was schützenswert ist. Dies kann sich von Unternehmen zu Unternehmen deutlich unterscheiden. Im Falle von FireEye waren es die Tools, bei Microsoft die Software mit der Zielsetzung, andere Unternehmen anzugreifen.
Unternehmen müssen also herausfinden, was ihre wertvollsten Assets sind und diese gezielt überwachen und schützen. In aller Regel sind es Dateien und Daten: Bei Journalisten die Artikel, an denen sie gerade schreiben, bei Pharmakonzernen Forschungsergebnisse, bei Finanzdienstleistern interne Analysen usw. Diese Daten stellen Vermögenswerte dar, die identifiziert und gesichert werden müssen.
4. Hier helfen keine Schlösser
Wenn man (zurecht) davon ausgeht, dass sich die Angreifer bereits innerhalb der eigenen Systeme befinden, bleibt nur die Überwachung auf auffälliges Verhalten im Zusammenhang mit diesen wertvollen Assets. Sicherheitsverantwortliche müssen schnell erkennen können, wenn diese plötzlich von Personen geöffnet und kopiert werden, die sie normalerweise nicht nutzen.
Oder wenn auf sie von unüblichen Orten oder zu unüblichen Zeiten zugegriffen wird. Sämtliches abnormales Verhalten muss erkannt und entsprechend unterbunden werden. Nur so lassen sich die wertvollsten Inhalte (seien es Daten, Software oder andere digitale Güter) schützen – ganz gleich, auf welchem Weg es die Angreifer ins Innere geschafft haben.