- Widerstandsfähigkeit gegen Cyberangriffe lässt sich auf verschiedenen Wegen erreichen.
- Sicherheitsautomatisierung ist nicht zwingend die beste Strategie.
- Maßnahmen wie Application Whitelisting lassen sich auch mit kleinem Budget realisieren.
Die jüngsten Cyberangriffe auf die Colonial Pipeline in den USA (1) oder auf das Universitätsklinikum Düsseldorf (2) haben gezeigt, dass kritische Infrastruktur zunehmend im Fadenkreuz von Cyberkriminellen steht. Und auch die am 25.5.2021 veröffentlichte Schwachstelle CVE-2021-21985 (3) im VMware vCenter Server wird uns noch lange beschäftigen: Nach Auskunft der Suchmaschine Shodan, die Internet-IP-Adressen nach offenen Ports abscannt, sind ca. 5.500 Systeme potenziell betroffen. Diese Schwachstelle kann, analog CVE-2019-19781 beim Universitätsklinikum Düsseldorf (4), von Angreifern zu Infiltrierung von Datennetzwerken genutzt werden.
Wieder wird es Wochen dauern, bis die Systeme gepatcht sind. Und wieder wird es in einigen Tagen oder Monaten Nachrichten über Cyberangriffe geben, in denen diese Schwachstelle für den initialen Zugang zu den Datennetzwerken der betroffenen Organisationen genutzt wurde. In der Cybersecurity-Community scheint man sich damit abgefunden zu haben, dass Ransomware unvermeidbar ist. Schon deshalb ist es folgerichtig, sich zu überlegen, wie eine Organisation mit entsprechenden Vorfällen umgehen kann. Incident-Response-Pläne für den effektiven Umgang mit allen Formen von Cyberangriffen sind dringend notwendig. Aber sind sie auch der beste Weg, um im Fall von Ransomware Kosten, Schäden und Ausfallzeiten zu minimieren?
Incident-Response-Pläne kommen zum Tragen, nachdem ein Sicherheitsvorfall offenbar wird, wenn zum Beispiel im Fall Ransomware die Zahlungsaufforderung auf dem Bildschirm ausgegeben wird. Die Zeit zwischen der Infiltrierung des Netzwerkes und der Entdeckung des Angreifers, die Mean-Time-to-Detect (MTTD) lag 2020 bei 207 Tagen (6). Deutschland hatte mit 128 Tagen die kleinste MTTD. Im Fall des Universitätsklinikums Düsseldorf lag die TTD bei ca. 266 Tagen. Incident-Response-Pläne werden in der Zeit nach der Entdeckung des Sicherheitsvorfalls und bis zur Wiederherstellung der Dienstleistung (Time-to-Contain, TTC) umgesetzt. Die MTTC lag 2020 weltweit bei 73 Tagen, in Deutschland 32 Tagen (7). Doch selbst wenn es durch effektivere Incident-Response-Pläne möglich wäre, die TTC auf 1 Tag zu reduzieren, lässt sich Schaden nicht komplett vermeiden. Bei einer MTTD von 128 Tagen hatte der Angreifer genügend Zeit, Patientendaten oder das Know-how einer Organisation zu stehlen oder in einem 5G-Netzwerk einen Kill-Switch zu installieren, um bei Bedarf die Nationale Sicherheit eines Staates bedrohen zu können.
Gartner empfiehlt in „6 Ways to Defend Against a Ransomware Attack” (8): „Akzeptiere das Unvermeidbare! Triff Vorbereitungen, um die Dienstleistung schnell wiederherzustellen, damit den offensichtlichen Schaden zu begrenzen.“
Diese Grundsätze wurden auch im aktuellen IT-Sicherheitsgesetz (IT-SiG 2.0) festgeschrieben. Die Bundesregierung verlangt im § 8a, Absatz 1a „den Einsatz von Systemen zur Angriffserkennung. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorsehen“.
Schneller entdeckt, aber nicht weniger Schaden
Doch interessant ist, dass sich eine Sicherheitsautomatisierung zwar positiv auf die MTTD und die MTTC auswirkt, der Effekt auf die Schadenshöhe jedoch ausbleibt. Bei Sicherheitsvorfällen in australischen Organisationen ist die mittlere Schadenshöhe beispielsweise deutlich geringer (2,15 Mio. USD) als in Deutschland (4,45 Mio. USD), obwohl nur 20 % der Organisationen (Deutschland 30 %) auf vollständige Sicherheitsautomatisierung setzen und die MTTD mit 211 Tagen 64 % länger ist als in Deutschland (128 Tage).
Worin unterscheidet sich die australische Cybersecurity-Strategie von der deutschen? Das Australien Cyber Security Centre (ACSC) verfolgt mit den „Essential Eight“ (9) eine Strategie mit Fokus auf Prävention und Widerstandsfähigkeit. Im folgenden Text mit E8 bezeichnet, sehen die „Essential Eight“ auf den ersten Blick eher wie Zusammenstellung von Best Practice aus. Warum das so ist, wird anhand von zwei Strategien aus den E8 deutlich.
E8-Strategie „Application Patching“
Die Remote-Code-Execution-Schwachstelle CVE-2021-21985 (3) in VMware vCenter Server erlaubt einem Angreifer die vollständige Übernahme der VMware Infrastruktur. Die ca. 5.500 VMware vCenter Server, die laut Shodan in Unternehmensnetzen mit sicherheitstechnisch kontrollierten Zugriffsmöglichkeiten auf die daran angeschlossenen Server (DMZ) stehen, stellen ein mächtiges Einfallstor für Cyberkriminelle dar. Da nicht nur Journalisten, sondern auch Cyberkriminelle und staatliche unterstützte Angreifer Shodan verwenden, ist davon auszugehen, dass Kriminelle längst mit der Entwicklung von Schadprogrammen zur Ausnutzung der Schwachstelle begonnen haben.
Die E8 machen zum Application Patching eine klare Aussage: Applikationen müssen auf besonders gefährdeten Rechnern innerhalb von 48 Stunden gepatcht werden. Im BSI Grundschutz, Edition 2020 (12) vermisst man im Abschnitt OPS.1.1.3: Patch- und Änderungsmanagement solche klaren Hinweise. OPS.1.1.3.A1 gibt folgenden Hinweis: „Patches und Änderungen sollten nach Wichtigkeit und Dringlichkeit klassifiziert und entsprechend umgesetzt werden.“ „Sollte“ bedeutet im Sinne des Grundschutzes, „dass eine Anforderung normalerweise erfüllt werden muss, es aber Gründe geben kann, dies doch nicht zu tun“.
Durch „Application Patching“ wird die Wahrscheinlichkeit des Infiltrierens des Netzwerkes einer Organisation und des Eintrags von Malware über Systeme an Netzwerkgrenzen (Internet-DMZ, Produktions-DMZ) drastisch reduziert. Der Schaden durch WannaCry wäre deutlich geringer ausgefallen, wenn die Systembetreiber den Patch binnen 48 Stunden auf den von EternalBlue betroffenen Windows-Systemen in den Internet-DMZ der Unternehmensnetzwerke installiert und per Reboot aktiviert hätten.
E8-Strategie „Application Whitelisting“
Für die Schwachstelle CVE-2019-19781, die beim Angriff auf das Universitätsklinikum Düsseldorf genutzt wurde, war zum Zeitpunkt der Veröffentlichung noch kein Patch vorhanden. Schlimmer noch, Citrix hatte am 16.12.2019 bereits von Angriffen berichtet, in denen CVE-2019-19781 genutzt wurde. (13) Bei neuartigen Waffen und nicht vorhandener Vorwarnzeit, der Alptraum der Strategen im Kalten Krieg, sind weder E8 Strategie 2 noch der BSI Grundschutz effektiv.
Hier kommt Application Whitelisting ins Spiel. Die Grundidee von Application Whitelisting ist „Blockiere die Ausführung von allem was nicht in der Whitelist enthalten ist.“ Da Angreifer in den meisten Fällen Code einschleusen und diesen ausführen, wäre diese Strategie sowohl bei CVE-2019-19781 als auch bei WannaCry erfolgreich gewesen.
Leider sind klassische Application-Whitelisting-Lösungen nicht weit verbreitet. Im Fall des Angriffs auf das Universitätsklinikum Düsseldorf war zudem das Zielsystem ein linuxbasiertes. Selbst wenn eine Application-Whitelisting-Lösung verfügbar und anwendbar gewesen wäre, wäre sie vermutlich nicht zum Einsatz gekommen. Denn Linux-Server werden immer noch als sicherer wahrgenommen als Windows-Server; daher wird häufig auf Sicherheitslösungen verzichtet.
Doch Application Whitelisting ist kein Allheilmittel. Im Fall von Angriffen über die Supply-Chain, Beispiel SolarWinds, sind Application-Whitelisting-Lösungen unwirksam. Hier ist eine Weiterentwicklung der Strategie notwendig. Moderne Lösungen zur Überwachung von Aktivitäten auf dem Client oder im Netzwerk (EDR) bieten hier zusätzlichen Schutz und können vorhandene Sicherheitsmaßnahmen ersetzen.
Die Sieben Strategien des Department of Homeland Security, USA
Das US-Department of Homeland Security (DHS) verfolgt mit den „Seven Strategies to Defend ICS” (14) einen ähnlichen Ansatz wie das ACSC. Das DHS geht davon aus, dass sich bis zu 98 % der Vorfälle vermeiden lassen, wenn die sieben Empfehlungen umgesetzt werden. Allerdings zeigen die Zahlen des „Cost of a Data Breach Report“, dass US-Unternehmen den Empfehlungen des DHS kaum folgen. Interessant ist der Hinweis des DHS auf die Systeme zur Angriffserkennung (Monitor and Respond), mit denen sich die restlichen 2 % der Vorfälle vermeiden lassen. Sie stehen nicht im Fokus der Sicherheitsstrategie, sondern ergänzen sie, genauso wie eine Strategie zur Behandlung von Sicherheitsvorfällen.
Was macht die australische Strategie so erfolgreich?
Zum Schluss stellt sich also die Frage, warum die australische Strategie oder die des DHS erfolgversprechender ist, als die deutsche. Ransomware ist kein „Deus ex machina“, die plötzlich auftaucht und dann alles verschlüsselt. Prinzipiell wird Malware mit Benutzer-Interaktion, etwa per E-Mail oder Download aus dem Internet, oder ohne, etwa über Schwachstellen auf Computern in der DMZ in Netzwerke eingeschleust. Im Laut „Data Breach Investigations Report“ von Verizon (16) war E-Mail 2019 in 94 % der Fälle das Transportmedium für Malware; in 45 % der Fälle wurde die Malware über bösartige Office-Dokumente eingeschleust. Daher liegt es nahe, die Ausführung solcher Dokumente so restriktiv wie möglich zu handhaben.
Die Schwachstelle im VMware vCenter Server kann ohne Benutzerinterkation ausgenutzt werden; die betroffenen Systeme müssen daher so schnell wie möglich gepatcht werden, um Angriffe zu vermeiden. In nahezu allen Angriffen werden Schadprogramme eingeschleust; kann deren Ausführung frühzeitig verhindert werden, so entsteht kein Schaden. Die Essential Eight und die Seven Strategies erzeugen Widerstandsfähigkeit gegen Cyberangriffe, mit dem Resultat, dass die meisten Angriffe geblockt werden, bevor Schaden entsteht. Ransomware muss man nicht erleiden!
In weiten Teilen mit Bordmitteln umsetzbar
Wie sieht es mit den Kosten aus? Sowohl die Essential Eight als auch die Seven Strategies sind in weiten Teilen mit Bordmitteln umsetzbar. Bis auf Strategie 1 sind keine Investitionen in neue Tools erforderlich. Ist das Budget für Investitionen klein, sollte zuerst Application Whitelisting auf den Systemen an Netzwerkgrenzen (Internet-DMZ, Produktions-DMZ) installiert werden. Auf den Arbeitsplatzcomputern kann zunächst die Anwendung Applocker aktiviert werden, die seit Windows 7 in der Enterprise-Version von Windows enthalten ist.
Noch wichtiger ist es, liebgewonnene Arbeitsweisen in Frage zu stellen. Warum müssen etwa kritische Systeme übers Internet administrierbar sein? Wieso müssen wir vom Büro oder von zu Hause transparent auf die Steuerung der Verpackungsmaschine zugreifen? Wie viel Ebit erzeugen wir zusätzlich, wenn der VMware vCenter Server direkt vom Internet administriert werden kann? Peter Drucker meinte dazu bereits 1963: „Es gibt sicher nichts so Unnützes, wie mit großer Effizienz das zu tun, was gar nicht getan werden sollte.“(17)
Referenzen
1. Ferguson S. Colonial Pipeline Confirms Ransomware Causing Disruptions [Internet]. Data Breach Today. 2021 [zitiert 10. Mai 2021]. Verfügbar unter: https://www.databreachtoday.com/colonial-pipeline-confirms-ransomware-causing-disruptions-a-16549
2. Universitätsklinikum Düsseldorf. Krankenhaus derzeit nur sehr eingeschränkt erreichbar – Patientenversorgung eingeschränkt [Internet]. Pressemitteilungen. 2020 [zitiert 27. Mai 2021]. Verfügbar unter: https://www.uniklinik-duesseldorf.de/ueber-uns/pressemitteilungen/detail/krankenhaus-derzeit-nur-sehr-eingeschraenkt-erreichbar-patientenversorgung-eingeschraenkt
3. Kirk J. VMware Urges Rapid Patching for Serious vCenter Server Bug [Internet]. Data Breach Today. 2021 [zitiert 27. Mai 2021]. Verfügbar unter: https://www.databreachtoday.com/vmware-urges-rapid-patching-for-serious-vcenter-server-bug-a-16740
4. Schmidt J. Cyber-Angriff auf Uniklinik Düsseldorf: #Shitrix schlug zu [Internet]. Heise Online Security. 2020 [zitiert 16. Januar 2021]. Verfügbar unter: https://www.heise.de/news/Cyber-Angriff-auf-Uniklinik-Duesseldorf-Shitrix-schlug-zu-4904979.html
5. Bracken B. What’s Next for Ransomware in 2021? [Internet]. threatpost. 2020 [zitiert 1. Januar 2021]. Verfügbar unter: https://threatpost.com/ransomware-getting-ahead-inevitable-attack/162655/
6. IBM Security. Cost of a Data Breach Report 2020 [Internet]. 2020 [zitiert 13. Mai 2021]. Verfügbar unter: https://www.ibm.com/security/digital-assets/cost-data-breach-report/
7. Universitätsklinikum Düsseldorf. Update 18.9.–IT-Ausfall an der Uniklinik Düsseldorf [Internet]. UKD. 2020 [zitiert 28. Mai 2021]. Verfügbar unter: https://www.uniklinik-duesseldorf.de/ueber-uns/pressemitteilungen/detail/update-189-it-ausfall-an-der-uniklinik-duesseldorf
8. Sakpal M, Webber P. 6 Ways to Defend Against a Ransomware Attack [Internet]. Smarter with Gartner. 2020 [zitiert 1. Januar 2021]. Verfügbar unter: //www.gartner.com/smarterwithgartner/6-ways-to-defend-against-a-ransomware-attack/
9. Australian Cyber Security Center. Essential Eight Explained [Internet]. [zitiert 1. Dezember 2020]. Verfügbar unter: https://www.cyber.gov.au/acsc/view-all-content/publications/essential-eight-explained
10. Berlin I. Der Igel und der Fuchs. 2009. (Bibliothek Surkamp).
11. Australian Cyber Security Centre. Australian Government Information Security Manual [Internet]. 2019 [zitiert 16. Januar 2021]. Verfügbar unter: https://www.cyber.gov.au/sites/default/files/2019-04/Australian%20Government%20Information%20Security%20Manual%20(APR19)_0.pdf
12. Bundesamt für Sicherheit in der Informationstechnik. IT-Grundschutz-Kompendiums [Internet]. Reguvis Fachmedien GmbH; 2020 [zitiert 16. Januar 2021]. Verfügbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2020.pdf
13. Citrix. Mitigation Steps for CVE-2019-19781 [Internet]. Support Knowledge Center. 2019 [zitiert 16. Januar 2021]. Verfügbar unter: https://support.citrix.com/article/CTX267679
14. U.S. Department of Homeland Security. Seven Strategies to Defend ICSs [Internet]. DoD’s Environmental Research Programs. 2016 [zitiert 13. Oktober 2020]. Verfügbar unter: https://www.serdp-estcp.org/serdp-estcp/Tools-and-Training/Installation-Energy-and-Water/Cybersecurity/Resources-Tools-and-Publications/Resources-and-Tools-Files/DHS-ICS-CERT-FBI-and-NSA-Seven-Steps-to-Effectively-Defend-Industrial-Control-Systems
15. Gaddis JL. On Grand Strategy. 1. Aufl. Penguin; 2018.
16. Verizon. 2019 Data Breach Investigations Report [Internet]. 2019 Mai [zitiert 28. September 2019]. Verfügbar unter: https://enterprise.verizon.com/resources/reports/dbir/
17. Drucker PF. Managing for Business Effectiveness. Harvard Business Review [Internet]. 1. Mai 1963 [zitiert 6. März 2021]; Verfügbar unter: https://hbr.org/1963/05/managing-for-business-effectiveness