Zum Hauptinhalt springen
Blogbeitrag

Ransomware und Angriffe auf Software-Lieferketten – eine unheilvolle Allianz

Der Begriff Ransomware steht für eine Art von Schadprogrammen, die den Zugriff auf Daten und Systeme einschränken oder unterbinden. Für die Freigabe wird dann ein Lösegeld (englisch: Ransom) verlangt. Entweder sperrt ein solches Schadprogramm den kompletten Zugriff auf das System oder es verschlüsselt bestimmte Nutzerdaten. Besonders verbreitet ist Ransomware, die sich gegen Windows-Rechner richtet. Prinzipiell aber können alle Systeme von Ransomware befallen werden.

Die Bedrohung durch Ransomware hat in der letzten Zeit deutlich zugenommen. Ransomware ist für Cyber-Kriminelle mittlerweile ein etabliertes Geschäftsmodell. Zunehmend werden wichtige Daten nicht nur verschlüsselt, sondern es wird auch mit der Veröffentlichung vertraulicher Daten gedroht.

Bei dem jüngsten Ransomware-Angriff auf den amerikanischen IT-Dienstleister Kaseya haben Cyber-Kriminelle hunderte Kundinnen und Kunden von Kaseya angegriffen. Die Hacker der Ransomware-Gruppe „REvil“, die in den letzten Wochen bereits mit dem Angriff auf den Fleischverarbeiter JBS für Aufsehen sorgten, nutzten eine Schwachstelle aus, um die Kundinnen und Kunden von Kaseya mit einem Verschlüsselungstrojaner lahmzulegen. Sie sperrten Zugriffe auf Systeme, um damit hohe Summen Lösegeld zu erpressen. Eine Art Domino-Effekt entstand, da zu den Kunden des IT-Dienstleisters zahlreiche weitere IT-Unternehmen in der ganzen Welt gehörten, die ebenfalls ein großes Kundschaft-Netzwerk haben. Dies hatte unter anderem große Auswirkungen auf Kassensysteme einer schwedischen Supermarktkette, aber auch deutsche Unternehmen wurden getroffen.

Das Phänomen dieser Form der digitalen Erpressung ist nicht neu. Unter dem Namen CryptoLocker trat bereits 2005 erstmals eine Ransomware mit Verschlüsselungsfunktion großflächig in Erscheinung. Das Schadprogramm chiffrierte Nutzerdaten eines bestimmten Typs mit kryptografischen Verfahren – und zwar nicht nur auf lokalen Festplatten, sondern auch auf angebundenen Netzlaufwerken. Eine der größten bislang beobachteten Ransomware-Wellen beherrschte im Mai 2017 die Schlagzeilen: Innerhalb von nur drei Tagen verschlüsselte das Schadprogramm WannaCry in über 150 Ländern Daten auf mehr als 200.000 Windows-Rechnern. Insgesamt befiel das Programm vermutlich mehrere Millionen Computer.

Handelte es sich bei früheren Ransomware-Angriffen zumeist um nicht zielgerichtete Infektionen der Windows-Systeme von Privatleuten und Firmen, ist die Qualität der Angriffe auf den Hersteller der Buchhaltungssoftware M.E.Doc (Trojaner NotPetya) im Juni 2017 und Kaseya-Kundinnen und -Kunden Anfang Juli dieses Jahres eine ganz andere: Die Angriffe sind sehr viel professioneller, aufwändiger und nehmen zielgerichtet vermeintlich lohnende Ziele ins Visier (bsi.bund.de).

Ganz besonders beunruhigend ist der Weg der Verbreitung von Schadcode über die regulären Update-Mechanismen der Sicherheitssoftware eines global operierenden IT-Dienstleisters (heise), also über die Software-Lieferkette („Supply-Chain“) eines Sicherheits-Dienstleisters zu seiner Kundschaft. Durch die Manipulation von Sicherheits-Updates, die dort eingespielt werden, sind Angriffe auf sehr gut geschützte IT-Systeme möglich. Solche Angriffe sind äußerst schwer zu erkennen, da der Quellcode üblicherweise von den Kundinnen und Kunden nicht eingesehen werden kann (security-insider.de).

BSI-Präsident Arne Schönbohm erklärte hierzu (bsi.bund.de): „Der Vorfall zeigt, wie intensiv die globale Vernetzung in der Digitalisierung voranschreitet und welche Abhängigkeiten dabei entstehen. Bei dem aktuellen Angriff wurde Ransomware über jedes Glied einer Software-Lieferkette ausgerollt. Das zeigt deutlich: Lieferketten müssen auch unter dem Aspekt der IT-Sicherheit in den Fokus rücken. Ransomware ist derzeit als eine der größten Bedrohungen für die IT von Unternehmen und Organisationen einzuschätzen. Bei erfolgreichen Angriffen werden Dienstleistungen und Produktion häufig zum Stillstand gebracht. Die Schäden für Betroffene sind daher oftmals enorm.“

Die aktuellen Vorfälle mit potenziell sehr großem volkswirtschaftlichen Schaden (bitkom.org) rücken die Sicherheit und den Schutz der Lieferketten gegen Cyberangriffe (dke.de) in den Fokus. In die Betrachtung müssen nicht nur die eingesetzte Software externer Dienstleister, sondern auch die in der Softwareentwicklung verwendeten Code-Bibliotheken kommerzieller Drittanbieter, aus Open-Source-Quellen und von Cloud-API-Diensten einbezogen werden (it-daily.net). Durch den weiter stark zunehmenden Einsatz vernetzter IoT-Geräte werden die Möglichkeiten für gezielte Angriffe auf staatliche Unternehmen und den privaten Sektor vervielfacht.

Der Gefahr durch Angriffe auf die Lieferkette kann nur durch gute Kenntnis und detaillierte Dokumentation der Lieferbeziehungen in der eigenen Lieferkette sowie im besten Fall auch der von Geschäftspartnerinnen und -partnern und Drittparteien begegnet werden (com-magazin.de). Auf dieser Grundlage können Lieferanten sorgfältig ausgewählt und unsichere Software-Konfigurationen durch sichere ersetzt und durch externe Schutzmaßnahmen ergänzt werden (industry-of-things.de).

Kritische Infrastrukturen (KRITIS) sind besonders schützenswert, da bei ihrer Beeinträchtigung oder Ausfall nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

Der Umsetzungsplan „UP KRITIS“, eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen und den zuständigen staatlichen Stellen (kritis.bund.de), hat verschiedene Publikationen erarbeitet, die Hinweise zur Absicherung von Lieferketten geben: erstens Best-Practice-Empfehlungen für Anforderungen an Lieferanten zur Gewährleistung der Informationssicherheit in Kritischen Infrastrukturen (kritis.bund.de), zweitens Empfehlungen zur Nutzung von Cloud-Dienstleistungen in Kritischen Infrastrukturen (kritis.bund.de) und drittens Empfehlungen zu Entwicklung und Einsatz von in Kritischen Infrastrukturen eingesetzten Produkten (kritis.bund.de).

Die Informationssicherheit für Lieferantenbeziehungen ist Gegenstand des ISO/IEC-Standards 27036:2013 (als Teil der ISO/IEC 27001-Serie, die die Implementierung eines Informationssicherheits-Managementsystems (ISMS) beschreibt). Die hier beschriebenen Best Practices sollten beim Aufbau eines Cyber Supply Chain Risk Management (C-SCRM, nist.gov) beachtet werden, für das vor dem Hintergrund der eingangs beschriebenen Vorfälle ein dringender Bedarf bei Staat und Wirtschaft besteht.

Diesen Beitrag hat Isabel Münch beigesteuert. Sie ist Leiterin des Fachbereichs Kritische Infrastrukturen beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Vielen Dank!

© solarseven - Shutterstock