IT-Security gleicht einem ewigen Katz-und-Maus-Spiel zwischen Angreifern und Verteidigern – und das längst nicht nur, weil sich eine prominente Ransomware-Gruppe „BlackCat“ nennt. Unternehmen, die mit der ständigen Abwehr aggressiver schwarzer Katzen überfordert sind, delegieren Überwachung und Abwehr gerne an MSSPs (Managed Security Service Provider). Das Problem: Längst nicht alle MSSPs halten, was sie versprechen. Davor warnt Stefan Strobel, Chef des Security-Beratungshauses Cirosec aus Heilbronn. Cirosec bietet unter anderem Red Teaming an: Es fordert Verteidiger im Kundenauftrag zum digitalen Katz-und-Maus-Spiel heraus – und gewinnt mitunter bedenklich leicht.
Die US-Trickfilmserie „Tom & Jerry“ aus den 1940/1950er-Jahren treibt das sprichwörtliche Katz-und-Maus-Spiel auf die Spitze: Kater Tom und Maus Jerry piesacken und bekämpfen sich in über 100 Kurzfilmen auf immer neue, einfallsreiche Weise. Sie führen geradezu einen Kleinkrieg gegeneinander (im Ersten Weltkrieg nannte man die Briten „Tommy“, die Deutschen „Jerry“) und reizen sich dabei unermüdlich gegenseitig „bis auf’s Blut“ (wobei nie Blut fließt, die Figuren scheinen eher lebendige Flummibälle zu sein). Hätte es damals schon PCs, Internet und Kryptowährungen gegeben, hätten sich die beiden sicher auch mit digitalen Mitteln das Leben schwer gemacht: mit Computersabotage, DDoS-Angriffen und Ransomware.
Letztere ist laut dem aktuellen Lagebericht des BSI (Bundesamt für Sicherheit in der Informationstechnik) die Hauptbedrohung für die IT-Infrastruktur deutscher Unternehmen, ein Ende ist nicht in Sicht. „Ransomware entwickelt sich stetig weiter“, erläutert Cirosec-Geschäftsführer Stefan Strobel. „Zwar gibt es ein paar neue Gruppen, aber die großen, dominierenden haben wir im Vorjahr schon gesehen, darunter LockBit, Black Basta oder BlackCat/ALPHV, die vermutlich aus der Conti-Gruppe hervorgegangen sind.“
Während der Kater im Trickfilm oft die Rolle des Wachpersonals spielt, der den heimischen Kühlschrank vor dem Käsehunger der findigen Maus schützen muss, hat er im Cybergerangel die Seiten gewechselt – zeigt sich aber nicht minder trickreich als im Trickfilm: „Neu ist, dass BlackCat börsennotierten Unternehmen mit einer Anzeige bei der Börsenaufsicht droht, wenn sie nicht bezahlen“, sagt Strobel.
Rekordjahr für Ransomware
Bei den Ransomware-Fällen zeichnet sich laut dem Cirosec-Chef ein Rekordjahr ab. Bei den Zahlungen hingegen sei der Trend gegenläufig, immer weniger Unternehmen seien willens, das geforderte Lösegeld zu zahlen. Denn inzwischen setze sich die Erkenntnis durch, dass zu zahlen keine gute Idee ist: „Selbst bei Zahlung kann man nicht davon ausgehen, alle Daten wiederzubekommen“, so Strobel, „im Schnitt lassen sich nach Studien von Antivirus-Anbietern nur 50 bis 60 Prozent der Daten wiederherstellen.“
Zudem verursache eine Zahlung ein Problem mit den US-Sanktionen, führe doch die US-Überwachungsbehörde OFAC (Office of Foreign Assets Control) immer mehr Ransomware-Akteure auf ihrer Sanktionsliste. „Unternehmen machen sich durch Ransomware-Zahlungen also strafbar, das gilt für die USA wie auch für UK“, erklärt Strobel. „Da aber die Zahl der betroffenen Unternehmen steigt, scheint das Ransomware-Geschäftsmodell trotz geringerer Zahlungsbereitschaft weiter zu wachsen.“
Cyberversicherungen: Ende des Hypes
Eine Zeitlang schienen Cyberversicherungen der Rettungsanker zu sein: Man zahlt für eine Police, und im Notfall springt dann die Versicherung ein. Mit Tom & Jerry sozialisierte Menschen aber wissen: Kein Abwehrmechanismus schützt auf Dauer. Zwischenzeitlich haben gewiefte Erpresser laut Fachleuten sogar in kompromittierten Unternehmensnetzen nach Versicherungsunterlagen gesucht, um zu erfahren, wie hoch ihre Lösegeldforderung ohne nennenswerten Widerstand ausfallen kann.
Und so hat sich der Hype um Cyberversicherungen schnell wieder gelegt. „Die Versicherer haben gemerkt: Die Risiken sind einfach zu groß und nicht mehr versicherbar“, so Strobel. „Entsprechend haben die Versicherer ihre Bedingungen angepasst. Dadurch werden die Policen für die Unternehmen sehr teuer, die abgesicherten Schäden hingegen immer geringer. Unternehmen investieren ihr Geld deshalb lieber anders, zum Beispiel in ein SLA [Service Level Agreement] mit einem zertifizierten Incident-Response-Anbieter.“ Als „Incident Response“ bezeichnen Security-Fachleute die unmittelbare Reaktion auf einen Vorfall, idealerweise die Abwehr eines noch laufenden Angriffs.
Die Frage der Attribution
Cybercrime ist heute ein globales Phänomen – aber mitunter schwer zu verorten. So weist Coveware, ein Spezialist für die Abwehr von Ransomware-Angriffen, in einem Blog-Post am Beispiel der Gruppierung „Scattered Spider“ darauf hin, wie schwer es ist, Cyberangriffe eindeutig einem bestimmten Akteur zuzuordnen („Attribution“ genannt): „Der Versuch, diese Art von Angriffen in ein perfektes Schema zu pressen, um die richtige Bezeichnung dafür zu finden, ist letztlich wenig ergiebig und kann die Verteidiger sogar in die falsche Richtung führen“, heißt es dort.
Doch dass die wichtigen Ransomware-Akteure aus Russland und dessen Umfeld stammen, ist längst bekannt: „Das große Problem in Deutschland sind die russischen Gruppen, zum Beispiel LockBit, die letztes Jahr einen 40-prozentigen Marktanteil am Ransomware-Geschäft hatten“, führt Strobel aus. Kriminelle aus anderen Regionen seien für hiesige Unternehmen nicht so relevant: „Nordkoreanische Akteure konzentrieren sich auf Südkorea und die USA, davon ist Deutschland weniger behelligt. Es gibt auch noch weitere Gruppierungen, etwa im Nahen Osten, diese sind aber in der Regel auf ihre jeweilige Region fokussiert.“
Mit Polizeiarbeit gegen Cybercrime
Die Wachhunde im Katz-und-Maus-Spiel – die Polizeibehörden – schienen bislang weitgehend machtlos, eben weil viele der Ransomware-Akteure in Russland sitzen, wo sie von Strafverfolgung unbehelligt bleiben, solange sie russische bzw. russischsprachige Ziele ausklammern. So verweist Strobel auf ein Interview von The Record (dem Blog des Security-Anbieters Recorded Future) mit dem Cyberkriminellen Mikhail Pavlovich Matveev, bekannt als Wazawaka. Er war laut US-Behörden an Erpressungen in Höhe von rund 200 Millionen Dollar Lösegeld beteiligt. Das FBI setzte ihn deshalb auf seine Liste der meistgesuchten Cyberkriminellen und lobte zehn Millionen Dollar für Hinweise auf seine Ergreifung aus. Matveev jedoch zeigte sich im Interview davon unbeeindruckt und geradezu tiefenentspannt: „Der Hund bellt, aber die Karawane zieht weiter.“
Es gibt aber auch gute Nachrichten. Laut Strobel arbeitet die deutsche Polizei heute „deutlich professioneller“, sie habe „bei sehr vielen internationalen Kampagnen eine wichtige Rolle gespielt“. „Inzwischen haben wir Spezialisten in Polizeidienststellen, die international sehr gut vernetzt sind“, führt er aus. „Sehr aktiv war zum Beispiel die Polizei in Esslingen, als im Januar die Hive-Ransomware-Gruppe zerschlagen wurde. Die gleiche Polizeidienststelle war kürzlich offenbar wieder involviert, als in der Ukraine Hacker verhaftet wurden, die mit Hive zusammengearbeitet haben.“
Strobel sieht es als „starkes Signal, dass die Polizei es schafft, Infrastruktur einer Angreifergruppe zu zerstören und Kriminelle zu verhaften.“ Dabei gehe es aber nicht nur darum, die Hackerbanden zu verhaften: Wichtig sei zudem, die von ihnen genutzten Crypto-Exchanges und -Mixer zu zerschlagen, so der Experte.
Auch auf Unternehmensseite sieht Strobel im Umgang mit digitalen Risiken einen positiven Gesamttrend: „Immer mehr Unternehmen wachen auf und erkennen, dass sie etwas tun und in Sicherheit investieren müssen“, so der Fachmann. „Auslöser sind neben den Ransomware-Vorfällen auch strengere Vorschriften wie NIS2 – man merkt, dass die Intensität der gesetzlichen Vorgaben inklusive Strafandrohungen zugenommen hat. Beides gibt den Unternehmen Anlass, sich bei Angriffserkennung und -abwehr mehr Mühe zu geben.“
Auslagern von Security-Aufgaben
Das mit dem „sich mehr Mühe geben“ ist aber oft nicht so einfach: Manch ein Unternehmen hat weder das Budget, noch Personal und die Kompetenzen im Haus, um im endlosen Katz-und-Maus-Spiel mit wohlorganisierten – und mitunter von staatlicher Seite geförderten – Cybercrime-Gruppierungen dauerhaft bestehen zu können. Nicht umsonst gibt es derzeit einen regelrechten Hype um das Prinzip MDR (Managed Detection and Response), also das Auslagern der laufenden Angriffsüberwachung und -abwehr an Externe, sprich: einen MSSP.
„Auf den ersten Blick scheint es sinnvoll, Security-Aufgaben an MSSPs abtreten zu können“, sagt Strobel. „Diverse Anbieter, etwa aus den USA, haben begonnen, Managed-Security-Services mit Fokus auf den Mittelstand anzubieten, und decken die weniger anspruchsvollen Unternehmen mit Standardpaketen ab.“ Sehr bedenklich sei dabei aber die Qualitätsfrage.
„Unternehmen beauftragen uns, die Leistungsfähigkeit ihres MSSPs per Red Teaming zu verproben und deren SOC zu challengen“, erzählt er. „Hier ist es die Ausnahme, dass das SOC unsere Red-Teaming-Aktivität rechtzeitig mitbekommt. Wir können Zielunternehmen immer wieder relativ schnell komplett kompromittieren, selbst wenn unser Vorgehen signifikante Alarme auslöst.“
Was Strobel berichtet, gibt zu denken: „Bei unseren letzten fünf Red Teaming Exercises war unser Fazit: Das kann doch nicht wahr sein! Trotz SLA mit einer versprochenen Reaktion innerhalb von zwei Stunden reagieren MSSPs oft erst viel später oder sogar am Folgetag.“
Dies bedeute nicht, dass MSSP-Dienste generell unsinnig seien, denn Standardinfektionen mit Schadsoftware würden einem MSSP wohl auffallen. „Aber sobald ein Profi sich bemüht, möglichst wenig Alarme auszulösen, versagen viele“, warnt Strobel. „Der hohe Anspruch, den die Anbieter vermarkten, entspricht oft nicht der Realität.“ Wenn sich die Katze einer Cybercrime-Gang angeschlossen hat, tanzen die Marketing-Mäuse auf dem Tisch.
Was tun, wenn der MSSP versagt?
Daraus müssen Unternehmen laut dem Cirosec-Chef zwei Konsequenzen ziehen: „Die erste Folgerung lautet: Augen auf bei der Partnerwahl! Hier herrscht Goldgräberstimmung, und teils geht es darum, mit dem Service möglichst die komplette EDR/XDR-Palette [Endpoint/Extended Detection and Response] mitzuverkaufen.“ Ein Anwenderunternehmen müsse hier auf Details achten, zum Beispiel: Gibt es wirklich eine 24/7-Überwachung oder nachts von 23:00 bis 5:00 nur eine Rufbereitschaft?
„Die zweite Folgerung: Das Security-Konzept muss stimmen“, so Strobel weiter. Wichtig sei hier die Frage, auf welcher Datenbasis die Alarme beruhen. „Einerseits will man das SOC nicht mit Daten überfluten, andererseits aber blinde Flecken vermeiden“, sagt er. „Hier beraten wir Unternehmen zu Konzept und Architektur, denn bei einem MSSP fallen meist Kosten pro GByte bzw. pro Event an.“
Dabei weist Strobel auf einen weiteren wichtigen Aspekt hin: „Will man den Anbieter wechseln, dürfen nicht alle kundenspezifischen Daten in dessen System liegen.“ Ein Lösungsweg bestehe darin, dass das SIEM (Security Information and Event Management) im Cloud-Tenant des Anwenderunternehmens läuft. „Bei einem MSSP-Wechsel“, so Strobel, „kann der neue Anbieter dann einfach die Daten dieser Cloud-Umgebung übernehmen.“ Damit kann das Katz-und-Maus-Spiel dann in die nächste Runde gehen – neue Maus, neues Glück!
*****
Hat Ihnen dieser Text gefallen? Dann erzählen Sie doch einem Menschen davon, den das Thema ebenfalls interessieren könnte! Denn liebevoll von Hand erstellte Inhalte verbreiten sich am besten per Mundpropaganda.
Bildquelle: Wilhelm Greiner, KI-generiert mittels NightCafé
IT Info 2 Go 
Du muss angemeldet sein, um einen Kommentar zu veröffentlichen.