Ja – nun – also, wenn ich die Nachrichten des Tages lese, so wird man bei Coop in Schweden das wohl mit anderen Augen sehen.
Am Freitagabend, 2. Juli, kam es bei Coop zu größeren IT-Störungen, die unsere Kassen in den Filialen beeinträchtigten. Dies ist Teil eines größeren globalen Vorfalls, der auf das US-Softwareunternehmen Kaseya abzielt. Mehrere andere schwedische und internationale Unternehmen sind von demselben Ereignis betroffen. (Quelle: Coop, Übersetzung: deepl)
Und wieder ist es eine „Supply Chain“-Attacke, also ein Angriff auf ein Unternehmen, mit dem man in „Lieferbeziehungen“ steht.
Ein Supply-Chain-Angriff ist ein Cyber-Angriff, der versucht, einem Unternehmen Schaden zuzufügen, indem weniger sichere Elemente in der Supply-Chain angegriffen werden.(Quelle: wikipedia)
Aus Sicht der ISO2700x zeigt das, wie wichtig die Einbeziehung von Lieferanten ist (Kapitel 15: Lieferantenbeziehungen). Wobei dort der Fokus nicht direkt auf Angriffe der obigen Art gelegt wird.
Vermutlich wird dieses Kapitel in zukünftigeren Versionen erweitert werden.
Aber was ist nun geschehen?
… Über die VSA-Software können Unternehmen all ihre Computer und Drucker von einem einzigen Arbeitsplatz aus steuern. … Die Software von Kaseya sei durch eine Erpressungs-Software manipuliert worden, „um mehr als tausend Unternehmen zu verschlüsseln“, … Wie Kaseya in der Nacht zum Samstag mitteilte, sind nach bisherigen Erkenntnissen weniger als 40 Kunden betroffen. Der Schaden hätte weit größer sein können: Kaseya hat insgesamt mehr als 36 000 Kunden. Mit Hilfe des Kaseya-Programms VSA verwalten Unternehmen Software-Updates in Computer-Systemen. Ein Eindringen in die VSA-Software kann den Angreifern also viele Türen auf einmal öffnen. (Quellen: faz, channelobserver)
Ein wenig versteckt im Text der Hinweis, dass hier Managed Services Provider (MSP) (Quelle: wikipedia) betroffen sind, welche die Software von kaseya weiter vetrieben haben.
Anders als bei Solarwinds wurden durch diesen Angriff auf einen Schlag eine Menge Dienstleister mit in’s Boot geholt.
In der Regel sind die Verträge und Vereinbarungen mit diesen abgeschlossen und nicht mit kaseya, dem Hersteller des Produktes.
Auch ein wichtiger Aspekt, auf den man im Rahmen einer Informations-Sicherheits-Richtlinie achten sollte.
Wie ich es schon in vorherigen Beiträgen vermutet habe, stehen wir noch am Anfang von großen Angriffswellen.
Diese können Unternehmen in allen Größenordnungen erreichen und riesigen Schaden anrichten.
Wieviel Geld verliert man wohl, wenn 800 Ladengeschäfte geschlossen bleiben müssen – pro Tag?
Es würde mich auch nicht wundern, wenn für den Angriff die gerade vor wenigen Tagen „aus Versehen“ veröffentlichte Schwachstelle bei Druckern ausgenutzt worden wäre. (Quelle: heise)
Das passt doch prima zum Zweck der kaseya Software.
Eigentlich wollte ich schon einen Beitrag schreiben, weil diese Schwachstelle in der Regel nur aus dem internen Netz angegriffen werden kann.
Also ein überschaubares Risiko.
Dachte ich – und habe wieder etwas gelernt.
In der Informationssicherheit sind es nicht nur „geradlinige“ Angriffe sondern meist Kombinationen aus verschiedenen Angriffsvektoren.
Und gerade diese Eigenschaft macht die Angriffe schwer vorhersehbar.
Oder rechnen Sie damit, dass ein Dienstleister durch einen vielleicht zur Fernwartung eingerichteten Zugang (netmeeting u.a.) zum Einfallstor für einen erfolgreichen Angriff werden kann?
Wenn es so wäre, dann dürften derartige Zugänge schon lange nicht mehr existieren.