Die Bedrohungslage durch Cyber-Angriffe ist sehr hoch und eine sehr reale Gefahr für jede Organisation. Da muss man gar nicht den Angriff auf Boeing oder den Einbruch bei einem Dienstleister für Okta anführen, es reicht ein Blick in die Nachbarschaft. Die in Siegen ansässige Südwestfalen-IT (SIT-NRW) ist Opfer eines Ransomware Angriffs geworden, mit all den Folgen für die Kommunen, die das Angebot des zentralen Rechenzentrums nutzen. Diese sind aber nicht alleine, sondern in Schwaben hat ein anderer Angriff ebenfalls zwölf Kommunen betroffen.
Es gibt nicht wenige, die eine solche Zentralisierung wie in Siegen kritisieren, aber ist das wirklich das Problem? Die Frage, die man sich hier stellen muss, macht es die IT der einzelnen Kommunen sicherer, wenn jede Kommune diese selbst mit dem KnowHow und den eigenen Ressourcen betreibt? Die Antwort darauf ist doch eher ein Nein, wird es bestimmt nicht. Ohne jetzt auch nur einer einzelnen Kommune zu nahe treten zu wollen, werden vielerorts gar nicht die Kompetenzen oder auch die personellen Ressourcen vorhanden sein, um alles in Eigenregie zu betreiben und das dann auf einem Niveau, welches ein ausreichend hohes Maß an grundsätzlicher Sicherheit bietet und dies physisch und digital. Ganz zu schweigen von den Kosten für den Betrieb, die dann für die einzelne Kommune entstehen, weil eben keine Synergieeffekte genutzt werden können. Es ist daher vollkommen legitim und auch sinnvoll, auf lokale Anbieter und somit auf zentrale Dienste zu setzen. Aber das soll hier gar nicht das Thema sein und schon gar kein Fingerpointing in die Richtung des Anbieters, denn dazu gibt es weder ausreichend öffentlich zugängliche Information noch ausreichende Details über den Angriff selbst, was so etwas von außen erlauben würde. Es ist aber davon auszugehen, dass sich die Angreifer schon vor längerer Zeit Zugang verschafft haben und der offensichtliche Angriff nur der finale Akt der Cyberattacke war. Dies ist auch das übliche oder bekannte Vorgehen solcher Gruppen, mit dem Ziel der Monetarisierung. Da passt auch das lange Wochenende gut ins Bild, die Angreifer hatten für die finale Aktion das ganze Wochenende von Freitag Mittag an viel Zeit. Damit ist aber SIT-NRW nicht alleine, es gibt genügend andere Beispiele dafür, bei dem die Angreifer genau gewusst haben, wann der geeignete Zeitpunkt ist und auf diesen Termin hin alle Vorbereitungen getroffen haben. Diese Erkenntnis ist also nicht neu, sie sollte aber dennoch zum Anlass genommen werden, die passenden Fragen zu stellen, um sich in Zukunft deutlich resilienter aufzustellen. Dies gilt vor allem für diejenigen, die sich noch nicht ausreichend mit dem Thema IT-Sicherheit und der neuen Art der Cyber-Angriffe auseinandergesetzt haben.
Ein sehr wichtiger Punkt den man aus dem Angriff ableiten kann: Es braucht einen effektiven Schutz und zwar rund um die Uhr und vor allem braucht es eine Fachkompetenz außerhalb der Arbeitszeiten bzw. an den Zeiten, an denen die IT nicht da ist. Mit anderen Worten, es braucht ein 24×7 SOC-Team, welches aktiv gegen die Angreifer im Fall der Fälle vorgeht. Das ist aber nur der Teil an Verbesserungen, wenn es schon zu spät ist, dann sind die Angreifer schon tiefer in den Systemen und konnten schon Dinge tun. Die eigene IT-Sicherheit nur auf diesen Teil aufzubauen greift deutlich zu kurz, die Abwehr solcher Angriffe muss schon viel früher beginnen und nicht erst dann, wenn die Angreifer schon Fuß gefasst und schon sozusagen einen Brückenkopf etabliert haben. Nicht selten gelingt es Angreifern, durch wie auch immer erbeutete Zugangsdaten sich den notwendigen Zugriff zu verschaffen und danach ihre Rechte auszuweiten, um administrativ tätig zu werden. Genau hier setzt ein weiterer Baustein der IT-Sicherheit an, sicherzustellen, dass es auch derjenige ist, der sich anmeldet und nicht irgendein Dritter. Ebenfalls ist es wichtig zu wissen, ob denn die Accounts der eigenen Organisation auf den einschlägigen Plattformen gehandelt werden. Oder die Frage, welche technischen Schulden gibt es in der eigenen Infrastruktur und vor allem, welche “Leichen” gibt es in der AD, die es einem Angreifer leicht machen? Sich hier die richtigen Fragen zu stellen und aus solchen Vorfällen zu lernen, ist wichtig und sinnvoll, weil man damit den eigenen Schutz und somit die eigene Resilienz verbessern kann. Das gilt auch für alle anderen Maßnahmen, die man treffen kann, denn IT-Sicherheit ist kein statischer Zustand, sondern ein stetiger Prozess, sich immer wieder an die geänderten Rahmenbedingungen anzupassen und die für die eigene Organisation beste Lösung der aktuellen Anforderung umzusetzen. Dazu gehört auch den Mut zu haben, Dinge auf den Prüfstand zu stellen und diese nochmal gänzlich neu zu bewerten oder einfach auch mal neue Wege zu gehen und sich neu aufzustellen.
Wie organisatorische Dinge gehören auch technische Maßnahmen zum Gesamtpaket IT-Sicherheit. Wer hier nicht weiß, wo er anfangen muss, kann sich sehr gut am IT-Grundschutzkompendium vom BSI orientieren oder sich inspirieren lassen, darauf basierend eigene Ideen und Lösungen zu entwickeln. Aber ohne einen noch konkreten Vorschlag zur deutlichen Verbesserung der eigenen Resilienz und somit der eigenen IT-Sicherheit möchte dieser Beitrag nicht verzichten. Ganz konkret geht es hier um die Empfehlung des Einsatzes von Crowdstrike als Sicherheitslösung für die gesamte Umgebung zum Schutz der Endpoints, vom Client bis zu den Servern, zum Schutz der AD und der Identitäten. Schutz und Visibilität gehören zusammen und eine Endpoint Lösung ist eben kein einfacher AV-Schutz mehr, wie es früher der Fall war und heute nicht mehr sein sollte. Dieses Plazebo, welches immer noch käuflich zu erwerben ist, bietet schon seit weit mehr als 10 Jahren keinen wirklichen Schutz mehr, aber dennoch ist es im Einsatz und suggeriert einen Sicherheit, die nicht vorhanden ist. Mit anderen Worten, man bezahlt Lizenzen für ein Produkt, welches keine Wirkung und somit keine Daseinsberechtigung mehr hat. Wenn es immer so wäre, dann gäbe es keine Nachrichten über erfolgreiche Cyberangriffe. Es ist auch schwer zu glauben, dass alle angegriffenen Organisationen keinen herkömmlichen AV-Schutz hatten. Aber das ist auch Teil des Problems, moderne Angriffe funktionieren eben nicht mehr wie noch vor 20 Jahren, die IT ist eine gänzlich andere und das ist auch der Grund, warum es einen gänzlich anderen Schutz der IT braucht, mit all den Maßnahmen, die dazu gehören und für uns ist ein wichtiger Eckpfeiler im IT-Sicherheitskonzept Crowdstrike mit all den jeweils passenden Modulen um einen wirklichen Schutz rund um die Uhr zu haben. Kombiniert man dies jetzt noch mit einem passend abgesicherten und reglementierten Zugriff auf das Internet, geht die Entwicklung in Sachen IT-Sicherheit in die richtige Richtung. Wenn es noch etwas aus dem Vorfall der SIT-NRW zu lernen gibt, dann ist es, dass selbst kleine Kommunen eigentlich kritische Infrastrukturen sind und sich so gut es geht wie KRITIS Betreiber aufstellen sollten. Die Zeit drängt, SIT-NRW oder Schwaben sind nur der Anfang, es wird schlimmer werden, vor allem dann, wenn jetzt nicht gehandelt wird, abwarten ist eher keine Option, egal wie groß oder klein sich eine Organisation einschätzt.
Wie immer, bei Fragen zum Thema IT-Sicherheit und insbesondere Crowdstrike sprechen Sie uns an.