René Floitgraf info@rene-floitgraf.de +49 2402 385700

Vertrauen Sie Ihrem IT-Dienstleister (blind)?

… Managed Services, Lieferkettenangriffe und Schutzmaßnahmen

Die Lieferkettenangriffe auf die IT verschiedenster Unternehmen über Kaseya und SolarWinds lassen einigen von Ihnen keine Ruhe. Bereits in unserer Information vom 25.08.2021 hatten wir auf die Lieferkettenangriffe hingewiesen. Wir wollten damit keine Verbannung von so genannten Managed Services aus Ihren Netzwerken provozieren, trotzdem erhielten wir die eine oder andere Frage in dieser Hinsicht.

Daher möchten wir das Thema Lieferkettenangriffe im IT-Service hier nochmals aufgreifen!

IT-Service früher

Früher reichte es, wenn der IT-Dienstleister vor Ort parat stand, wenn es eine Störung gab und diese behoben werden sollte. Einen “IT-TÜV” gab es in der Regel nicht oder später nur in regelmäßigen Abständen nach Vereinbarung. Neben der steigenden Unzufriedenheit der Mitarbeiter mit der Unternehmens-IT waren Produktionsausfälle und Betriebsunterbrechungen die kostspieligere Folge der entstehenden Ausfälle. Und doch wurde lange Zeit die IT als Kostenstelle und Hilfsmittel betrachtet, ein (kurzfristiger) Ausfall war aus Sicht der Geschäftsleitung häufig unschön, aber zu verschmerzen.

IT-Service heute

Mittlerweile hat sich der Blick auf die IT geändert. Viele Geschäftsleitungen haben heute eingesehen, dass die IT nicht nur eine Kostenstelle ist, sondern zu den Kernprozessen des Unternehmens gehört und damit auch an der Wertschöpfung beteiligt ist. Dies liegt nicht zuletzt auch daran, dass die IT heute auch mit der Produktion verzahnt ist und eine manuelle Planung und Durchführung der Aufträge, wenn überhaupt, nur mit hohem Aufwand zu bewerkstelligen ist. Durch diesen geänderten Blick stieg auch die Wahrnehmung dafür, wie wichtig eine funktionierende IT ist und dass die Erhaltung der Funktionsfähigkeit kontinuierlicher Pflege bedarf. Heute nennt man diese Dienstleistungen, die der kontinuierlichen Überwachung und Sicherstellung der IT-Prozesse dienen, auch Managed Services.

Notwendige Hilfsmittel

Die Überwachungsaufgaben, die ein IT-Dienstleister im Rahmen seiner “Managed Services” erfüllen muss, sind so vielfältig, dass diese nicht ohne entsprechende Lösungen realisiert werden können, die ein permanentes Ohr an der Kunden-IT haben. Dies gilt aber auch für die interne IT-Abteilung größerer Unternehmen. Auf Grund eines hohen Entwicklungsaufwandes ist es zudem üblich, dass die Software zur Überwachung und Steuerung der IT bei spezialisierten Softwareherstellern eingekauft wird, teilweise auch hier wieder als Managed-Service oder Software as a Service.

Aus Sicht der IT-Sicherheit wird damit ein Loch in die bestehende Verteidigung gerissen. Denn natürlich versprechen die Softwarehersteller, dass die eingesetzte Software geprüft und analysiert wurde und keine Sicherheitslücken bekannt sind. Aber Sicherheitslücken sind keine Absicht. Nur weil die Sicherheitslücken noch nicht gefunden wurden, bedeutet es nicht, dass diese nicht trotzdem vorhanden sind. Es werden daher immer wieder in den Produkten verschiedenster Hersteller neue Sicherheitslücken gefunden.

Die oben genannten Softwareprodukte sind dabei ein besonders interessantes Ziel! Kontrolliert man die Software des Herstellers, kontrolliert man im Zweifel auch die Daten der IT-Dienstleister und IT-Abteilungen. Und wenn man diese Daten kontrolliert, dann hat man auch Zugriff auf die jeweils überwachten Systeme.

Risiko: Lieferkettenangriffe

Einen bekanntgewordenen Lieferkettenangriff gab es zuletzt im Juli 2021, bei dem der Lösungsanbieter Kaseya, einer der im Markt bekanntesten Anbieter für Lösungen zur Unterstützung von Managed-Service-Dienstleister, gehackt wurde. Aber auch im Jahr davor wurde mit Solarwinds ein Hersteller entsprechender Lösungen angegriffen. Auch wenn die Cloud-Systeme nur zur Vorsicht heruntergefahren worden seien und der Hack selbstgehostete Kaseya-Instanzen bei Kunden betroffen haben soll, es zeigt sich doch welche Gefahren von entsprechenden Lieferkettenangriffen ausgehen können. Nochmal zur Erinnerung: Man darf auch nicht davon ausgehen, dass eine Software frei von Sicherheitslücken ist; die Sicherheitslücke wurde nur noch nicht gefunden.

Wie lassen sich solche Lieferkettenangriffe verhindern?

Einfach gesprochen: Gar nicht. Natürlich kann man wieder alles aus den Rechenzentren in lokale Netzwerke zurückziehen und alle Verbindungen nach außen trennen. In vielen Fällen fallen wir damit aber wieder in den Zustand zurück, den ich zuvor als Vergangenheit beschrieben habe. Für die IT-Dienstleister und den Zustand der in den Unternehmen eingesetzten IT wäre dies ein Rückschritt.

Kein großer Unterschied zur klassischen IT-Sicherheit?

Der einzige Unterschied zu klassischen Angriffen, die direkt die im Unternehmen eingesetzte IT betreffen: Bei einem Lieferkettenangriff muss nicht nur die eigene IT abgesichert werden, das Unternehmen muss sich darauf verlassen, dass auch der IT-Dienstleister und auch der Softwarehersteller entsprechende Maßnahmen umsetzen, die einen erfolgreichen Angriff verhindern. Das Unternehmen muss also Vertrauen in die IT-Sicherheit seiner Lieferkette haben.

Trau, schau, wem!

Unternehmen sollten sich Ihre Dienstleister daher genau ansehen. Welche Werkzeuge werden eingesetzt und wie vertrauenswürdig ist der Dienstleister?

Besitzt der Dienstleister eine Zertifizierung?
Wurde er auditiert, z.B. mittels “Audit 28” des BISG e.V. oder durch einen unabhängigen externen Datenschutzbeauftragten oder Informationssicherheitsbeauftragten, wie die CompliPro GmbH?
Oder liegen andere langjährige Referenzen vor, die für den Dienstleister sprechen?
Kommt der Dienstleister unaufgefordert seinen Verpflichtungen gem. DSGVO nach und ist der Vertrag zur Auftragsverarbeitung inhaltlich überzeugend?

Diese Argumente sind keine Garantie dafür, dass es nie zu einem Sicherheitsvorfall bei dem Dienstleister kommen kann, die Wahrscheinlichkeit wird jedoch reduziert.

Da wir selbst über langjährige Erfahrungen im IT-Bereich verfügen, fragen Sie uns gerne nach unserer Meinung, die AV-Verträge sollten Sie ohnehin durch uns prüfen lassen.

Eigene Schutzmaßnahmen etablieren!

Unabhängig von der Nutzung von Managed-Services gibt es in der modernen IT eine Reihe von Basismaßnahmen, die die IT-Sicherheit des Unternehmens unterstützen. Angefangen bei organisatorischen Maßnahmen, wie getrennten Administratoren für AD, Server und Clients, gehören dazu auch Lösungen zum Schutz vor Schadsoftware, aber auch Maßnahmen zur Sicherstellung der Wiederherstellbarkeit der Daten. Unabhängig davon, ob die Schadsoftware also über einen Lieferkettenangriff oder klassisch durch einen falschen Klick eines Benutzers in Verbindung mit einer Phishing-Mail ins Unternehmen gelangt, Ziel ist es die Ausführung und Verbreitung der Schadsoftware zu verhindern. Und wenn sich die Ausbreitung durch die Ausnutzung weiterer Sicherheitslücken, z.B. in Microsoft Windows, nicht verhindern lässt, muss eine Wiederherstellbarkeit der Daten durch ein funktionierendes abgesichertes und überwachtes Backup erfolgen.

Hohe Schäden durch fehlende IT-Sicherheit?

Ob der Angriff direkt auf die eigene IT, oder über einen Lieferkettenangriff erfolgt ist und ob die Haftung für einen entsprechende Zwischenfall vertraglich auf einen Externen übertragen werden kann: Für das Unternehmen kann ein erfolgreicher Ransomware-Angriff tiefgreifende Folgen haben. Denn durch einen Stillstand der IT könnte der digitale Lieferkettenangriff beispielsweise zu einen physikalischen Lieferkettenangriff werden, in dem das Unternehmen beispielsweise als Zulieferer eines ebenfalls produzierenden Unternehmens die Produkte nicht mehr fristgerecht abliefern kann. Auch bei personenbezogenen Daten bleibt das Unternehmen der Verantwortliche für die Datenverarbeitung, entsprechende Bußgelder werden gegen das Unternehmen verhängt. Von weiteren Reputationsschäden beispielsweise durch negative Presseveröffentlichungen mal abgesehen, welche mit Sicherheit deutlich höhere Schäden auslösen können.

Nach einer Veröffentlichung von Arcserve erleidet ein Unternehmen durchschnittlich eine Ausfallzeit von 15 Tagen! 15 Tage ohne Wertschöpfung, ohne Einhaltung von Lieferzusagen, zuzüglich weiterer Kosten für die Wiederherstellung der IT und drohender Bußgelder durch unzureichende technische und organisatorische Maßnahmen gem. Art. 32 DSGVO.

Fazit

Managed-Services sind heute aus dem Dienstleistungskatalog der IT-Dienstleister nicht mehr wegzudenken. Auch interne IT-Abteilungen nutzen häufig ähnliche Lösungen, um die eigene IT im Blick zu behalten. Die Gefahr, die von Lieferkettenangriffen ausgeht, kann man nur durch die Absicherung der EIGENEN Systeme reduzieren. Dazu gibt es eine Reihe von Basismaßnahmen, die die IT-Sicherheit deutlich erhöhen und dem Angreifer “das Leben schwer machen”.

Für IT-Dienstleister und IT-Abteilungen haben wir eine Schulung vorbereitet, die verschiedene Aspekte eines üblichen Ransomware-Angriffs beleuchtet und in der wir entsprechende Gegenmaßnahmen vorschlagen.

Noch einmal zur Erinnerung: Da wir selbst über langjährige Erfahrungen im IT-Bereich verfügen, fragen Sie uns gerne nach unserer Meinung, wir überprüfen Ihnen IT-Dienstleister für Sie, die AV-Verträge sollten Sie ohnehin durch uns prüfen lassen.

Der Beitrag Vertrauen Sie Ihrem IT-Dienstleister (blind)? erschien zuerst auf CompliPro GmbH.