REvil Hack: Lieferketten-Angriffe sind neue Gefahr für Unternehmensdaten

08.07.2021

Cyberkriminelle aus dem Umfeld der REvil Gruppe haben mit der Verschlüsselung tausender Computer einen medienwirksamen Coup gelandet. Experten sprechen von einer Gefahr, die eine neue Dimension erreicht hat. Denn selbst Unternehmen, die ihre Systeme professionell absichern, können Opfer solcher Angriffe werden.

Wer ist betroffen und was sind die Konsequenzen?

Angreifern ist es gelungen, die IT Systeme zahlreicher Unternehmen zu infiltrieren und eine Ransomware der REvil Gruppe einzuspielen. So konnten sie die Daten ihrer Opfer verschlüsseln, um anschließend Lösegelder zu erpressen. Die vermutlich in Osteuropa ansässige Hackergruppe prahlt damit, dass sie voraussichtlich rund 70 Mio. US-Dollar in Bitcoin einnehmen wird.

Für die Opfer ist der entstandene Schaden gleich in mehrfacher Hinsicht gewaltig. Nicht nur, dass einige hohe Lösegelder zahlen, außerdem sind ihre Systeme in der Zwischenzeit nicht brauchbar. Eine schwedische Supermarktkette konnte aufgrund ausgefallener Kassensysteme rund 800 Filialen nicht öffnen.

So funktioniert die neue Methode der Cyberkriminellen

Das Schockierende am Hack ist der Weg, den die Angreifer eingeschlagen haben. Ihnen ist es gelungen, eine Schwachstelle im System des IT-Dienstleisters Kaseya zu finden. So konnten sie sich Zugang zum System verschaffen und in aller Ruhe einen ausgefeilten Angriff vorbereiten.

Kaseya wartet die IT-Systeme mehrerer tausend Unternehmen und ist maßgeblich für deren IT-Sicherheit verantwortlich. Der Service wird gerne von Unternehmen genutzt, die keine eigenen Spezialisten für IT-Sicherheit beschäftigen und dennoch ihre Systeme auf hohem Niveau schützen möchten. Doch genau dies wurde einigen zum Verhängnis.

Die Hacker nutzten den Wartungsdienst von Kaseya, um an deren Kundensysteme ihre Schadsoftware auszuspielen (derartige Angriffe werden als Supply-Chain-Attack bezeichnet). Kaum war dies geschehen, konnten die Systeme auch schon verschlüsselt werden.

Warum eine neue Dimension der Cyberkriminalität erreicht wurde

Gleich zwei Dinge bereiten Sicherheitsexperten große Sorgen. Da wäre zunächst das Ausmaß solcher Angriffe. Mit nur einer gezielten Attacke ist es möglich, unzählige IT-Systeme zu erreichen. Darüber hinaus die Tatsache, dass die Opfer alles richtig gemacht haben. Sie trifft keine Schuld, schließlich haben sie die Leistungen von Kaseya gebucht, um ihre Systeme professionell abzusichern. Dass ihnen genau dieser Umstand zum Verhängnis wurde, ist umso ärgerlicher.

Wie sich Unternehmen schützen können

Auf zahlreichen Websites, die sich mit dem Kaseya Lieferketten-Angriff befassen, wird eine fortlaufende IT-Wartung empfehlen. Aber genau dieser Ratschlag hilft nur bedingt weiter, schließlich führte die Wartung zum eigentlichen Problem. Streng genommen haben die Unternehmen alles richtig gemacht, indem die Wartung an einen spezialisierten Dienstleister ausgelagert wurde.

Folglich kann nur eine noch umfassendere Absicherung weiterhelfen. Entscheidend in diesem Zusammenhang ist die Frage, welche Risiken abgesichert werden sollen. Wer seine Daten vor einer ungewollten Verschlüsselung schützen möchte, kann z.B. regelmäßige Backups erzeugen und diese auf Systemen ablegen, die für Angreifer nicht so leicht zu erreichen sind. Im Ernstfall würde so ggf. ein Teil der Daten verloren gehen, der Großteil wäre aber noch verfügbar.

Zur Absicherung von Systemausfällen könnten Backupsysteme bereitgestellt werden. Diese müssten von den anderen Systemen abgekoppelt sein, um im Falle eines Angriffs unversehrt zu bleiben.

Fazit

Die Abhängigkeit von IT-Systemen und Daten ist größer denn je. Damit steigt die Notwendigkeit, beides grundlegend abzusichern. Unternehmen sollten sich mit den Risiken befassen und individuelle Strategien (z.B. basierend auf einem ISMS) zur Absicherung entwickeln. Dies mag zwar an Aufwände gekoppelt sein, wird sich im Ernstfall jedoch rasch bezahlt machen.