Loading...
Blogs & Stories

Trustwave-Blog

Der Trustwave-Blog versetzt Fachleute für Informationssicherheit in die Lage, durch Expertenwissen, das aktuelle Themen, Trends und Herausforderungen behandelt und Best Practices definiert, ihre Möglichkeiten weiter zu verbessern.

Sieben Monate nach dem SolarWinds-Angriff: Was hat sich geändert und was ist noch zu tun?

Sie kennen die Geschichte vermutlich: Im Dezember 2020 ereignete sich der bislang wohl verheerendste Cybersicherheitsvorfall. Sicherheitsexperten stellten fest, dass die bei mehreren Bundesbehörden eingesetzte Netzwerk-Management-Lösung SolarWinds durch eine hochentwickelte Advanced Persistent Threat (APT) kompromittiert wurde. Erst jetzt, mehrere Monate nach der Entdeckung des Angriffs, werden langsam der tatsächliche Umfang und die Langzeitfolgen deutlich. Außerdem zeigt sich, was erforderlich ist, um eine weitere Attacke dieser Art in Zukunft zu verhindern.

Eine der bedeutendsten Auswirkungen des SolarWinds-Angriffs ist, dass die Cybersicherheit in den USA endlich auch in höchsten Regierungskreisen die erforderliche Aufmerksamkeit bekommt. US-Präsident Joe Biden erließ im Mai 2021 eine Executive Order. Diese beschreibt, wie die amerikanische Regierung ihre Cybersecurity-Abwehr modernisiert, den Austausch von Threat Intelligence mit privatwirtschaftlichen Partnern erleichtert und die Reaktionsfähigkeit des Landes auf Cybersicherheitsvorfälle verbessern will. Die Durchführungsverordnung sieht außerdem eine Reihe strengerer Cybersicherheitsanforderungen für alle Unternehmen vor, die mit der Regierung zusammenarbeiten möchten, darunter Standards für die Softwareentwicklung und Pläne für eine systematischere Untersuchung von Cybersicherheitsvorfällen.

Cyber Change kommt nicht allein von der Politik – es kommt auf die Einstellung an

Der SolarWinds-Angriff hat nicht nur die US-Politik verändert, sondern auch die Vorgehensweisen und Maßnahmen von Unternehmen des öffentlichen und privaten Sektors aus. Die Raffinesse des Angriffs und die Tatsache, dass er einen weit verbreiteten und vertrauenswürdigen IT-Softwareanbieter ausnutzte, veranlasste Unternehmen weltweit dazu, ihre Lieferketten und ihre eigenen Netzwerke wesentlich gründlicher unter die Lupe zu nehmen als zuvor. Viele entdeckten dabei andere Schwachstellen oder Sicherheitslücken in ihren Netzwerken, von denen sie bis dahin nichts wussten und nach denen sie nicht einmal gesucht hätten. Nachdem also alles einmal auf den Kopf gestellt wurde, haben immer mehr Unternehmen den Wert proaktiver Threat Huntings, Asset-Identifizierung sowie kontinuierlichen Monitorings und Penetrationstests erkannt.

Vor allem aber scheint der Angriff sowohl den öffentlichen als auch den privaten Sektor dazu bewegt zu haben, stärker auf vorbeugende Cybersicherheitsmaßnahmen zu setzen. Er beschleunigte zudem die Notwendigkeit von umfassenden Partnerschaften zwischen dem öffentlichen und dem privaten Sektor. Auch Regierungsbehörden überprüfen ihre Cybersecurity-Maßnahmen und -Kapazitäten, um festzustellen, wo es Lücken gibt und wo sie möglicherweise Partner aus dem Privatsektor hinzuziehen müssen, um ihre Abwehr zu stärken und die Widerstandsfähigkeit ihrer Netzwerke zu verbessern.

Es gibt noch viel zu tun

Obwohl der SolarWinds-Angriff bereits zu politischen Veränderungen und neuen Maßnahmen geführt hat, muss noch mehr getan werden, um solche Angriffe in Zukunft zu verhindern.

Fokus auf Datenbanksicherheit

Unternehmen des öffentlichen und des privaten Sektors sollten sich stärker auf die Sicherheit ihrer Datenbanken konzentrieren. Viel zu lange haben sich Unternehmen nur auf Perimeter Security konzentriert und dabei den Schutz ihrer Datenbanken vernachlässigt, obwohl dort ihre wichtigsten Assets liegen. Unternehmen sollten daher in Technologielösungen speziell für den Datenschutz und das kontinuierliche Datenbank-Monitoring investieren.

Handeln, als wären die Systeme bereits kompromittiert

Man sollte immer davon ausgehen, dass die eigenen Systeme bereits erfolgreich kompromittiert wurden. Setzen Sie voraus, dass Kriminelle bereits in Ihr Netzwerk eingedrungen sind, und ermitteln Sie, wie Sie die negativen Auswirkungen minimieren können – beispielsweise durch Air Gaps im Netzwerk oder zusätzliche Authentifizierungsebenen. Investieren Sie in proaktive (statt reaktive) Sicherheitsmaßnahmen, einschließlich proaktivem Threat Hunting und Managed Services zur Erkennung und Bekämpfung von Bedrohungen (Managed Threat Detection and Response, MDR). Setzen Sie Technologien ein, die Vulnerability Testings automatisieren und ergänzen Sie sie um manuelle Tests durch erfahrene Security-Analysten, um Schutz und Resilienz in mehreren Ebenen aufzubauen.

Zusammenarbeit zwischen dem öffentlichen und privaten Sektor fördern

Behörden und Cybersicherheitsdienstleister müssen sich gemeinsam für mehr Zusammenarbeit zwischen öffentlichem und privatwirtschaftlichem Sektor einsetzen. Die Zahl dieser Partnerschaften ist in den letzten Jahren bereits deutlich gewachsen, nachdem Behörden feststellen mussten, dass sie auf externe Hilfe angewiesen sind, doch das gegenseitige Vertrauen muss weiter ausgebaut werden. Die Executive Order von Präsident Biden macht dies möglich, indem sie Hindernisse beim Austausch von Bedrohungsdaten zwischen beiden Seiten beseitigt. Durch die gemeinsame Vertiefung ihrer Beziehungen können Behörden und ihre Managed Security Service Provider (MSSP) die Bedrohungserkennung verbessern und sicherstellen, dass die Cybersicherheitstechnologien der Regierung optimal genutzt werden.

Kontinuierliches Monitoring und regelmäßige Tests

Unternehmen sollten in kontinuierliches Monitoring und regelmäßige Tests investieren. Die modernen Advanced Persistent Threats verbreiten sich unentdeckt im Netzwerk. Gleichzeitig ändern sich die Umgebungen der Unternehmen ständig. So werden Netzwerke immer wieder um neue Geräte ergänzt. Technologien gehen von der Vorstufe in die Produktion und können dort für neue Schwachstellen sorgen; ständig müssen Zugriffsrechte geändert werden, weil sich die Rollen der Mitarbeiter ändern, usw. Daher reicht es nicht mehr aus, nur hin und wieder auf Schwachstellen zu testen oder nach Bedrohungen zu suchen. Unternehmen benötigen ein stetiges Monitoring, regelmäßiges Threat Hunting und kontinuierliche Überprüfung der Zugriffsrechte. Mithilfe von Managed Security Services lässt sich ein solches durchgehendes Monitoring für einen besseren Schutz vor verdeckten Bedrohungen ermöglichen.

Immer versierte Cybersecurity-Experten zur Verfügung haben

Sowohl der öffentliche als auch der private Sektor benötigen dringend qualifizierte Cybersecurity-Experten. Aktuell fehlen weltweit fast 4 Millionen Fachkräfte in diesem Bereich. Es bleibt zu hoffen, dass prominente Vorfälle wie der SolarWinds-Angriff oder die Attacke auf Colonial-Pipeline, die durch die verursachte Treibstoffknappheit direkte Auswirkungen auf viele Menschen hatte, viele junge Personen in die Cybersicherheitsbranche locken. In der Zwischenzeit müssen Regierungsbehörden und Privatunternehmen zusammenarbeiten und sich auf das Personal und Fachwissen von MSSP stützen, um ihre eigenen Cybersicherheitsteams zu ergänzen.

Der SolarWinds-Angriff war für US-Behörden und Unternehmen gleichermaßen ein Weckruf. Er führt zu echten Veränderungen in der Politik und im Handeln des öffentlichen sowie des privaten Sektors. Unternehmen müssen aus dieser Attacke lernen, schnellstmöglich ihre Widerstandsfähigkeit zu stärken und ihre Cybersecurity-Maßnahmen auszubauen.