ein Artikel von Verena Eichinger, Amelie Kassner und Elisa Zeller

Fazit

Wenn wir die bisherigen Betrachtungen Revue passieren lassen, dürfte wohl klar sein, welch immense Bedrohung die SCAs darstellen. SolarWinds und Kaseya haben es im Vergleich zu anderen Cyberangriffen geschafft, im großen Stil das Interesse der breiten Bevölkerung zu wecken. Kaseya hat dabei deutlich gemacht, wie einfach die globale Verbreitung von Attacken über die Lieferkette funktioniert und wie nah derartige Angriffe der Bevölkerung kommen. SolarWinds dagegen wird wohl als Aushängeschild der SCAs in die Geschichte eingehen. Die Schäden, die der Vorfall langanhaltend auch in Behörden angerichtet hat und die Komplexität, die die Aufarbeitung zutage gefördert hat, zeigen, wozu Angreifer fähig sind. Das lässt auch erahnen, wozu Angreifer in Zukunft fähig sein werden und welches Ausmaß künftige Attacken erreichen könnten.

Im Blick auf die Gegenmaßnahmen trifft man anschließend auf viele alte Bekannte. Da könnte man sich doch fragen, was all die schönen Maßnahmen nutzen, wenn sie dann doch wieder eingespart und nicht gewissenhaft umgesetzt werden. Verfolgt man die Nachrichten zum Thema IT-Security, so hat man nicht gerade das Gefühl, dass etwas passiert. Man liest von Attacken, die über Sicherheitslücken erfolgten, die schon seit Jahren keine Neuigkeit mehr sind, und Multifaktorauthentifizierung scheint für viele immer noch ein Fremdwort zu sein. Ist ja schließlich so umständlich, wenn man da jetzt zwei Sachen braucht, um sich anzumelden. Und selbst wenn es derartige Maßnahmen gibt, so finden sich, wie man bei Kaseya sieht, Wege, diese zu umgehen. Was machen also die Angreifer anders als die Firmen, dass sie solche Lücken erkennen, die hoffentlich bei der Entwicklung stattfindenden Tests aber nicht? Vielleicht investieren sie einfach mehr Zeit. Vielleicht würde sich ja gerade das auch für die Firmen lohnen. Solange das Risiko die Kunden tragen und nicht man selbst, wird über solch gewagte Thesen vermutlich nur gelacht. Schließlich zeigt das kürzlich diskutierte Lieferkettengesetz recht schön, wie bereit die Industrie dazu ist, mehr zu investieren zum Wohl Anderer, nämlich gar nicht. In dem Fall ging es zwar um Menschenrechte – welch dreiste Forderung, mit Menschenrechten verdient man schließlich kein Geld – allerdings sind die Aussichten, dann für die IT-Sicherheit etwas zu erreichen wohl doch eher düster.

Die dahinterstehende Problematik versteckt sich also weiterhin irgendwo als Sicherheitslücke in der Lieferkette und kann jederzeit zur Bedrohung werden. Und genau dieser Punkt ist es, an dem umgedacht werden muss. Ist es tatsächlich so, dass die Bedrohung erst noch entsteht, oder liegt sie nicht viel mehr schon ganz real vor, wenn es überhaupt eine Sicherheitslücke gibt? Interessant ist hierbei auch, dass ausgenutzte Sicherheitslücken oft im Voraus schon bekannt waren. Woran scheitert es also, dass Angriffe über solche Lücken dennoch erfolgreich sind? Ohne Standards und gesetzliche Regelungen scheint man an dieser Stelle nicht weiter zu kommen.

Somit ist der Kunde oder Nutzer dem Ganzen hilflos ausgeliefert. Um auf die zu Beginn gestellten Fragen zurückzukommen, wissen wir nämlich nicht was alles in den Produkten steckt, die wir nutzen, und wer dazu Zugang hatte. Wir wissen nicht, ob für Software die wir nutzen mit vertrauenswürdigen Bibliotheken gearbeitet wurde und diese stets aktuell gehalten und vor allem auch geprüft wurden. Wir können uns auch nicht sicher sein, dass Softwareupdates sicher sind, woher sollten wir all diese Informationen auch nehmen?

Als Kunden wissen wir nicht einmal, welche Sicherheitsrisiken auf uns abgewälzt werden und doch müssen wir im Ernstfall die Konsequenzen tragen. Bisher hatten wir als Bevölkerung das “Glück”, dass sich derartige Angriffe gegen Firmen gerichtet haben. Es ist allerdings eher eine Frage von “wann” und nicht “ob” Endverbraucher auch Ziel solcher Angriffe werden. Mit Kaseya ging der Schritt bereits weg von wenigen großen Zielen hin zu möglichst vielen Kleinen. Viele geringe Erpressungs-Zahlungen ergeben schließlich auch eine Menge Geld. Damit wäre der Schritt hin zur Erpressung von Privatpersonen nur logisch. Wer hier vorbeugen möchte, sollte eine gute Backup Routine einrichten, um nicht erpressbar zu sein. Ironischerweise ist auch das eine Sicherheitsmaßnahme, die ohnehin jeder in seinen Alltag integrieren sollte und wieder einmal nichts Neues. Also holen Sie sich einen Kaffee, starten Sie ihr nächstes Backup und warten Sie gemeinsam mit uns auf die nächste Schlagzeile zu Supply Chain Attacks, denn eines ist sicher: die wird es geben.

Pages: 1 2 3 4 5 6 7