Prävention alleine ist nicht genug. Es braucht rasche Erkennung und effiziente Gegenmaßnahmen.
Nachdem wir uns gerade vom Schock über den SolarWinds Hack erholt haben und die wahren Ausmaße noch gar nicht bekannt sind, trifft uns die Meldung über den Microsoft Exchange Hack wie ein Vorschlaghammer. Man spricht von mehr als 20.000 Organisationen, die in USA alleine betroffen sind. Auch in Deutschland hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eindringlich vor Sicherheitslücken in der weit verbreiteten Mailinfrastruktur von Microsoft namens MS Exchange, welche on-premise betrieben wird, gewarnt. Zehntausende Exchange-Server in Deutschland seien somit über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert.
„Betroffen sind Organisationen jeder Größe“, teilte das BSI mit.
Allen Betreibern von betroffenen Exchange-Servern wird empfohlen, sofort die von Microsoft bereitgestellten Patches einzuspielen. Das ist auf jeden Fall die erste und wichtigste Maßnahme. An dieser Stelle sei aber auch darauf hingewiesen, dass die bereits installierte Schadsoftware bzw. installierte Hintertüren der Angreifer dadurch nicht verschwinden. Da braucht es noch mehr Gegenmaßnahmen. Die Behörde schätzt aktuell das Angriffsrisiko als sehr hoch ein.
„Bei Systemen, die bis dato nicht gepatched wurden, sollte von einer Kompromittierung ausgegangen werden.“
Insbesondere kleine und mittelständische Unternehmen könnten hiervon betroffen sein. Neben dem Zugriff auf die E-Mail-Kommunikation der jeweiligen Unternehmen können Angreifer über solche verwundbaren Server-Systeme oftmals auch den Zugriff auf das komplette Unternehmensnetzwerk mittels Lateral Movement erlangen.
Betroffen sind nach Einschätzung des BSI mehr als 9.000 Unternehmen in Deutschland. „Die tatsächliche Anzahl verwundbarer Systeme in Deutschland dürfte noch deutlich höher liegen“, fügte die Behörde hinzu.
Welche Gegenmaßnahmen können effizient helfen, um weiteren Schaden abzuwenden?
Grundsätzlich wird empfohlen, sich an Security Consultants zu wenden, die sogenanntes Incident Response machen. Das sind in der Regel Spezialisten, von denen es nicht so viele gibt und die sehr schwer zu bekommen sind. Auch kann so eine Aufarbeitung einer Kompromittierung sehr lange in Anspruch nehmen, nicht budgetierte Ausgaben verursachen und am Ende ist man noch immer nicht 100% sicher, ob man die Angreifer komplett aus dem System wieder raus bekommen hat.
Hier empfiehlt es sich, zusätzliche Maßnahmen zu treffen, die darauf abzielen, den Angreifer, der sich mit seiner Schadsoftware oder über die Hintertür langsam und unentdeckt weiter ausbreitet (Lateral Movement Phase), mittels Deception Technologie in eine Falle zu locken. Dabei wird der Angreifer mit seinen eigen Methoden geschlagen. Deception Technologie hat den Vorteil, dass Angreifer während der Lateral Movement Phase sehr rasch erkannt werden und in ein sicheres Parallelsystem umgeleitet werden, wo sie keinen weiteren Schaden anrichten können. Und darauf kommt es eigentlich an. Danach kann man mit Hilfe von Spezialisten Incident Response und Forensic in Ruhe machen und man muss nicht „am offenen Herzen operieren“.
CYBERTRAP bietet seine europäische Deception Technologie Lösung für Organisationen jeder Größe an.
„Wir haben eine Version maßgeschneidert für KMUs und eine für große Organisationen.“
sagt CYBERTRAP Geschäftsführer Franz Weber.
Das könnte sich auch interessieren: Was ist Lateral Movement
Über den Autor
