Gestern hatte ich einen „IS-Vorfall“ bei einem Kunden zu bearbeiten.
Zunächst wurde bemerkt, dass von einem Mail Konto eine Menge an Mails – wahrscheinlich Phishing – abgesetzt wurde.
Zufällig war ein Supporter gerade im Gespräch mit dem Mitarbeiter, als die Kollegen sich beschwerten.
Ein Klassiker – wahrscheinlich ein kompromittiertes M365 Konto.
Kurze Zeit später dann der Hinweis auf einen zweiten Mitarbeiter mit dem gleichen Problem.
Spätestens jetzt wird es kritisch und der CISO macht seinen Job…
Zwar ist der Kunde selbst gar nicht zertifiziert, aber es kann ja nicht schaden, die vorhandene Richtlinie für den „Umgang mit Informationssicherheitsvorfällen“ anzuwenden.
Nach einem Anruf beim Kunden wurde eine „schlagkräftige“ Truppe zusammengerufen.
Geschäftsleitung, IT und Datenschützer. Damit kann man arbeiten.
Es wurden die nächsten Schritte abgestimmt, die Konten-Kennwörter zurückgesetzt und nun ging es in die Aufbereitung des Vorgangs.
Was war hier geschehen?
Leider verbot sich der Zugang zu den Mails um eventuell nach einem Auslöser suchen zu können also konzentrierte ich mich auf die „Historie“.
Das Ergebnis – kurz und bündig:
- Es hat schon drei Tage zuvor begonnen
- Es wurden wahrscheinlich Mails und Kontakte abgegriffen
- Es waren mindestens zwei weitere Angreifer beteiligt
- Es besteht der begründete Verdacht, dass ein Backdoor eingerichtet wurde.
Das ist großer Mist.
Der Abfluss von Mails wird wohl zu einer Meldung bei der zuständigen Datenschutzbehörde führen.
Wegen des möglichen Backdoors muss weiter gesucht werden, um es eventuell zu finden. Das wird nicht wenig Zeit in Anspruch nehmen.
Diese Form der Angriffe auf Cloud-Dienste gehört zwischenzeitlich zum Standard meiner Arbeit.
Es wird den Angreifern aber wirklich oft auch zu einfach gemacht.
Aber wie kannst du es besser machen?
Na, auf jeden Fall mit Aktivierung der MFA.
Microsoft kennt genau die Geräte, die im Spiel sind und wenn ein neues/anderes Gerät sich anmeldet, muss eine MFA-Abfrage entstehen.
So wird der Zugangsversuch blockiert und er fällt auf.
Eine andere Lösung ist mir eingefallen, als ich die Herkunft der Angreifer analysiert habe.
Indien und Afrika waren beim Angriff aktiv.
Hmhhhh – der Kunde muss ja nicht unbedingt in diesen Ländern auch Mitarbeiter haben, oder?
Warum nicht die Tatsache nutzen, dass zumindest IPV4 Adressen den Ländern zugeordnet werden können?
Und siehe da – es gibt an mehreren Stellen die Möglichkeit mit „GeoBlocking“ oder „Conditional Access“ die Zugangsländer einzugrenzen.
Es kann zumindest nicht schaden.
Tja – was weniger schön ist – Geräte mit IPV6 sind nicht einem Land zuordenbar.
Man sieht das deutlich in den Protokollen, weil dort das Land nicht ausgefüllt ist.
Des Datenschützers Freud‘ ist des CISO’s Leid!
Darüber hinaus gibt es eine Menge weitere Möglichkeiten, um die Cloud abzusichern.
Leider denken aber immer noch viel zu viele Kunden, dass man die „Cloud“ von der Stange kaufen kann.
Meine Erfahrung dazu ist eine andere.
Wer keine eigenen Fachkräfte hat, die sich sehr gut mit den vorhandenen Tools auskennen, der sollte sich an ein spezialisiertes Unternehmen wenden.
Ich kenne da eines, will es aber hier nicht nennen, weil dieser Blog keine Werbung machen soll.
Auf jeden Fall kann ich dir nur sagen, dass es sich lohnt mit dem richtigen Partner zu arbeiten.
Und es reicht übrigens auch nicht aus, eine „E5“ Variante von M365 zu lizenzieren um „DSGVO-konform“ zu sein.
Die zusätzlichen Maßnahmen die gefordert werden, ergeben sich nur, wenn man die darin enthaltenen, zusätzlichen Funktionen auch aktiviert.
Die Cloud ist nur dann sicher, wenn sie auch sicher betrieben wird.