Zero-Day-Angriffe erfordern einen Zero-Day-Sicherheitsansatz aus der Cloud

Vor einigen Wochen nutzten Hacker eine Schwachstelle im Microsoft Exchange On-Premises-E-Mail-System für gefährliche Cyberangriffe aus. Daraufhin warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor einer „aktiven Bedrohung“: Jeder, der diese Server betreibe – egal ob in der Regierung, im privaten Sektor oder in der Wissenschaft – müsse die Datenlecks sofort beheben. In dem Bemühen, die IT-Sicherheit im Mittelstand zu erhöhen, hatte das BSI einen Brief mit Empfehlungen für Gegenmaßnahmen direkt an die Geschäftsführung derjenigen Unternehmen geschickt, deren Exchange-Server nach Kenntnis des BSI betroffen waren. Mehr als 9.000 Unternehmen wurden angeschrieben. Was hat diese Bedrohung so gefährlich gemacht? Und warum ist die einzige vernünftige Antwort ein Umzug in die Cloud?

Unmittelbar nach dem Bekanntwerden der Sicherheitslücke hat Microsoft neue Sicherheitsupdates für den On-Premises-Exchange-Server veröffentlicht und damit vier Sicherheitslücken geschlossen. Die Brisanz des Angriffs liegt unter anderem darin, dass Exchange-Server in vielen Infrastrukturen standardmäßig hohe Rechte im Active Directory haben. Das BSI hält es für denkbar, dass umfangreichere Angriffe mit den Rechten eines Exchange-Servers mit geringem Aufwand die gesamte Domäne kompromittieren können. Mittlerweile wurde die Größe und Breite der betroffenen Systeme korrigiert, es sind nur noch einige hundert Systeme betroffen. Der Angriff konzentrierte sich auf einige wenige Branchen und wenige spezialisierte Unternehmen. Aber der Schaden ist real, auch wenn die Zahl der betroffenen Systeme geringer ist als ursprünglich angenommen.

Diese Bedrohung, wie auch andere ähnliche, machte Schlagzeilen, weil sie auf einer komplexen Verkettung von Sicherheitslücken basierte. Sie nutzte mehrere Zero-Day-Schwachstellen aus und kettete sie aneinander, um ihr Ziel zu erreichen: in diese Netzwerke und Computersysteme einzudringen, um an sensible Informationen zu gelangen. Diese Art von Einbrüchen hat sich beschleunigt. Sie sind die neue Realität. Sie schädigen den Ruf. Was ist, wenn sie geistiges Eigentum (IP) stehlen und an den Konkurrenten verkaufen oder vertrauliche Pläne eines Unternehmens veröffentlichen? Was ist, wenn sie in die Identität des Attackierten schlüpfen und falsche Informationen verbreiten? Die erforderliche Wiederherstellung ist kostspielig, sowohl in Bezug auf die Ausfallzeit als auch auf spezialisierte professionelle Dienstleistungen, die zur Wiederherstellung der betroffenen Systeme erforderlich sind.

Die letzten Tage des aktuellen IT-Modells

Das bestehende IT-Modell ist nicht geeignet, um auf diese Angriffe angemessen zu reagieren und um Schaden von den Unternehmen fernzuhalten. Die Absicherung der On-Premises-Infrastruktur ist aus mehreren Gründen schwierig. Zum einen eignen sich diese Zero-Day-Schwachstellen gut, um unvorbereitete Anwender zu attackieren. Vor allem aber haben viele Unternehmen ihre Hausaufgaben nicht gemacht. Sie sollten täglich das System überwachen, patchen, aktualisieren und sichern. Für MS Exchange bedeutet das, dass das Unternehmen mit den Microsoft-Updates und insbesondere den Patches auf dem Laufenden bleiben muss. Diese Patches erfolgen zeitnah, da sie vierteljährlich veröffentlicht werden. Wer allerdings eine Umstellung in einem hybriden Design (On-Premises und Cloud) vornehmen will, sollte wissen, dass Microsoft nur die letzten beiden Versionen unterstützt. Sie müssen mit Microsoft vierteljährlich Schritt halten. Und dann gibt es noch außerordentliche Empfehlungen und Notfall-Updates. Unternehmen müssen IT-Mitarbeiter dahingehend einteilen, diese Nachrichten aktiv zu überwachen.

Sollte ein KMU einen Exchange-Experten einstellen? Sollte ein KMU diese teuren Prozeduren mehrmals im Jahr durchführen? Oder sollte es eine Testumgebung betreiben? Wahrscheinlich sind die Kosten für all diese Aktivitäten zu hoch. Selbst für größere Unternehmen ergibt es keinen Sinn, vollständig on-premises zu arbeiten. Sie haben nicht die Prozesse, keine Testumgebung und auch nicht die Arbeitskräfte, um ihre Infrastruktur zu sichern wie Microsoft und Google.

Abgesehen von diesen Grundlagen, ist da noch der Branchentrend namens „Zero Trust“. Dieser Ansatz bedeutet, dass ein Unternehmen alle Netz-Zugangspunkte verteidigen und überwachen muss, und zwar nicht nur in Hinblick auf Geräte und Server, sondern auch auf Mitarbeiter. Es gilt, das Benutzerverhalten im Auge zu behalten. Bei diesem neuen Ansatz, ist die IT auf das Schlimmste vorbereitet in der Annahme, dass jederzeit ein Angriff erfolgen kann. Sich darauf vorzubereiten ist das Beste, was ein Unternehmen in diesem Kontext machen kann.

Ein Zero-Trust-Ansatz kann möglicherweise nicht alle Cyberattacken von allen Akteuren verhindern, weil die Angriffe so ausgeklügelt sind. Sogar Microsoft war von dem Angriff auf Solar Winds betroffen. Kein Unternehmen ist hundertprozentig sicher, aber einige von ihnen sind vorbereitet und haben Abwehrpläne ausgearbeitet und halten Personal bereit, das unmittelbar reagieren kann. Allerdings: Keine Maßnahme ist wirklich kugelsicher.

Das Risiko eines solchen gefährlichen Sicherheitsverstoßes kann ein Unternehmen indes wesentlich vermindern, wenn es auf die Cloud setzt und die IT an den Hyperscaler auslagert – und sich auf die beschriebenen Ereignisse vorbereitet. Ein Unternehmen, das das Cloud-Modell übernimmt, hat erkannt, dass es nicht über genügend Ressourcen verfügt, um das Risiko nachhaltig zu vermindern. Die Betreiber der großen Cloud-Infrastrukten wie Microsoft oder Google sind mit ihren personellen und technischen Ressourcen besser darauf vorbereitet, auf ausgeklügelte Cyberangriffe zu reagieren und die Daten eines Unternehmens zu verteidigen.

Die ganze Idee, die Cloud zu übernehmen, besteht darin zu akzeptieren, dass man nicht die Ressourcen hat, um die Gefahr zu entschärfen. Cloud-Service-Provider übernehmen die meiste Arbeit für die Sicherung von Microsoft Exchange: Sie überwachen die Sicherheit, führen automatisiertes Patching durch und kümmern sich um alle Aspekte der Sicherheit im Rahmen ihres Services. Hier zeigt sich, dass sie resilienter gegen ausgefeilte Bedrohungen sind: Avnew betraf laut Microsoft nicht die Online-Exchange-Plattform, sondern nur On-Premises-Anwender und -Server.

Exchange hat in den letzten zehn Jahren einen klassischen Release-Plan mit Updates alle drei Jahre eingehalten. Jedes Mal, wenn eine neue Hauptversion herauskommt, nimmt die Anzahl der neuen innovativen Funktionen ab. Exchange 2019 bietet im Vergleich zur Version 2016 keine wesentlichen neuen Funktionen. Der Grund dafür ist, dass Microsoft stark in sein Cloud-Geschäft investiert – in Microsoft 365, Exchange online etc. Google bietet nicht einmal ein On-Premises-Produkt an. Sie investieren eher in den Service als in klassische über ein Lizenzmodell erworbene Software. Über das Servicemodell erhalten Benutzer die neuesten Funktionen, aber wenn ein Unternehmen on-premises bleibt, verlässt es sich auf das, was es in den letzten Jahren verwendet hat.

Wie kann man in die Cloud migrieren?

BitTitan hat als eines der ersten Unternehmen weltweit einen einfachen und effizienten Weg für die Migration von wichtigen Workloads wie Postfächer, Dokumenten und mehr von On-Premises in die Cloud und von Cloud zu Cloud angeboten. MigrationWiz ist ein hundertprozentiges SaaS-Tool. Unsere Kunden können den Service einfach über eine Website nutzen. Sie wählen aus, was sie mit der Software machen wollen, und im Hintergrund laufen ausgeklügelte Tools und eine Infrastruktur, die die Migrationsarbeit erledigen. Sie brauchen überhaupt nichts zu installieren. Die Migration von Exchange on-premises zu Exchange online wird nicht schmerzlos sein, denn jede Veränderung bringt potenzielle Herausforderungen mit sich. Aber am Ende des Tages wird das Leben einfacher, sobald das Unternehmen in der Cloud ist. Experten von Microsoft oder Google tragen dafür Sorge, der Einsatz von MigrationWiz ermöglicht einen reibungslosen Übergang mit minimalen Ausfallzeiten für Ihre Mitarbeiter.

Unternehmen können problemlos Migrationen in Größenordnungen von einigen wenigen Mailboxen bis hin zu zehn- oder sogar hunderttausenden von Mailboxen durchführen. Der Grund dafür liegt in den der Cloud inhärenten Vorteilen. Keine On-Premises-Umgebung ist so skalierbar. Zudem ist kein Berater mit Expertenwissen nötig. Wir sind schon vor vielen Jahren von On-Premises-Strukturen in die Cloud migriert und nutzen die Vorteile der Cloud. Neben der Skalierbarkeit und der Absicherung durch Microsoft, profitieren wir von der Geschwindigkeit und der Möglichkeit, neue Dienste viel schneller zu implementieren.

Wie erhält man nach der Cloud-Migration die Sicherheit aufrecht?

Die Zeiten, in denen die IT-Abteilung eine durchgängige Lösung entwickelt, implementiert, gewartet und verwaltet hat, sind vorbei. Sie muss sich nun auf externe Tools wie Exchange Online verlassen und sich auf diese Tools und die Mitarbeiter der Hyperscaler stützen, um Cyber-Attacken zu verhindern. Die IT-Abteilung spielt aber auch in diesem neuen Umfeld eine wichtige Rolle. So muss und kann sie sich mehr als vorher auf die Schulung der Anwender konzentrieren. Außerdem gibt es viele Tools, die von der Cloud bereitgestellt werden und autonom laufen, aber ein gewisses Maß an Anpassung und Überwachung benötigen. Und auch wenn ein Unternehmen keinen Exchange-Server mehr hat oder diesen außer Betrieb nimmt, müssen die IT-Mitarbeiter weiterhin Updates für Virenschutz, Spamschutz, Phishingschutz und Malware durchführen. Neben dieser Sorgfaltspflicht müssen sie auch die Identität des Unternehmens und der Mitarbeiter verwalten und gleichzeitig die Marke und die Domains schützen. Interne IT-Mitarbeiter werden immer noch ein Mitspracherecht bei der Gesamtsicherheit haben. Sie müssen die Cloud verwalten, auf Cloud-basierte Aktionen reagieren und die Benutzer schulen. Das ist etwas, das nicht komplett ausgelagert werden kann, da es immer noch der Steuerung und Kontrolle durch die internen IT-Mitarbeiter bedarf.

Jakob Jung

Recent Posts

Durchgesickerte Daten: Twitch dementiert Verlust von Passwörtern

Die Angreifer haben offenbar keinen Zugriff auf die Systeme zur Speicherung von Anmeldedaten. Laut Twitch…

16 Stunden ago

Botnet MyKings nimmt mit Kryptomining fast 25 Millionen Dollar ein

Avast findet die Malware seit Anfang 2020 auf 144.000 Computern. MyKings nutzt die Rechenleistung von…

17 Stunden ago

So wehren Formel-1-Teams Cyberangriffe ab

Die Formel 1 ist ein hochkarätiger Hightech-Sport, der die Aufmerksamkeit von Cyber-Kriminellen und Hackern auf…

21 Stunden ago

Ransomware macht 5,2 Milliarden Dollar an Bitcoin-Transaktionen aus

Das US-Finanzministerium meldet, dass 5,2 Milliarden Dollar an Bitcoin-Transaktionen (BTC) im Zusammenhang mit den 10…

22 Stunden ago

GandCrab ist häufigste Ransomware

Die GandCrab Ransomware war 2020 die am häufigsten eingesetzte Erpresser-Software, während sich 2021 eher Babuk…

5 Tagen ago

Geld weg statt Liebe: iPhone-Krypto-Betrug eskaliert auch in Europa

1,2 Millionen Euro-Beute in nur einem Wallet entdeckt. Cyberganster nehmen vermehrt europäische und amerikanische Nutzer…

6 Tagen ago