gesponsertWenn die eigene Sicherheit nicht ausreicht Cyberangriffe auf Lieferketten

Gesponsert von

Sophos Technology GmbH

Partnerschaften, Dienstleistungen, Kundenbeziehungen – kaum eine öffentliche Einrichtung agiert autark. Verträge, Compliance-Vorgaben und Gesetze regeln die Zusammenarbeit, doch wie steht es um Sicherheitskriterien? Eine problematische Frage, die besonders im Umgang mit persönlichen Daten und Services oder im Bereich kritischer Infrastrukturen einer effizienten Antwort bedarf.

Im neuesten Threat Report: Cybercrime on Main Street berichten die Security-Experten, dass das Sophos-MDR-Team in den letzten zwölf Monaten vermehrt auf Fälle reagierte, in denen Organisationen über die sogenannte Supply Chain, sprich: die Lieferkette im Geschäftsalltag und in der IT-Infrastruktur, attackiert wurden. In mehreren Fällen lagen die Schwachstellen in der Remote-Monitoring- und Management-Software (RMM) eines Dienstanbieters.

Schleichfahrten der Cyberkriminellen immer perfider

Für IT-Teams ist es oft schon nicht leicht, die eigene Cybersicherheit aus wirtschaftlicher Perspektive und personell unter Dach und Fach zu bringen. Ist das einmal geschafft, bleiben externe Risiken bestehen. Angriffe, die vertrauenswürdige Software ausnutzen und die Option der Endpointschutz-Deaktivierung geben, sind besonders perfide und gern im kriminellen Einsatz.

Der Report dokumentiert neben RMM-Software eine Reihe von Fällen, in denen Angreifer anfällige Kernel-Treiber von älterer Software nutzten, die noch über gültige digitale Signaturen verfügten. Zudem registrierten die Experten immer wieder Einsätze von Software, die betrügerisch erlangtedigitale Signaturen verwendete – einschließlich bösartiger Kernel-Treiber, die über das Windows Hardware Compatibility Publisher (WHCP)-Programm von Microsoft digital signiert wurden – , um die Erkennung durch Sicherheitstools zu umgehen und Code auszuführen, der den Malware-Schutz deaktiviert.

Treiber müssen allerdings nicht zwangsläufig bösartig sein, um ausgenutzt zu werden. Die Sophos-Security-Spezialisten haben mehrere Fälle gesehen, in denen Treiber und andere Bibliotheken aus älteren und sogar aktuellen Versionen von Softwareprodukten von Angreifern genutzt wurden, um Malware in den Systemspeicher einzuschleusen. Ebenso kommen Microsoft-eigene Treiber bei Angriffen zum Einsatz.

Der Public-Bereich kann sich gegen Cyberbedrohungen wehren

Um potenzielle Gefahren im eigenen Netzwerk und auch von außen effektiv abwehren zu können, heißt es, besonders sorgfältig und aufmerksam auf Warnungen der Systeme zu achten und gleichzeitig ein Eindringen so früh wie möglich zu unterbinden. Das Problem: Gerade kleinere Behörden und öffentliche Einrichtungen sind zwar genauso Cyberbedrohungen ausgesetzt wie weltweit agierende Großkonzerne, verfügen aber nicht über die finanziellen und personellen Mittel wie diese. Sie können sich aber wappnen: Die Antwort bietet eine agile Cybersicherheitsstrategie im Teamwork von Mensch und Maschine.

Da bei komplexen Bedrohungen eine rein maschinelle und verhaltensbasierte Erkennung und Beseitigung von Angriffen oft nicht mehr ausreicht, sollten die technologischen Lösungen unbedingt durch hoch spezialisierte MDR-Teams (Managed Detection and Response) aus IT-Sicherheitsprofis ergänzt werden. Denn neben technischer Innovation mit Künstlicher Intelligenz oder Anomalie-basierter automatischer Reaktion spielt die menschliche Expertise eine immer gewichtigere Rolle.

(ID:50138902)