IT-Dienstleister im Visier

Sie haben hohe Wellen geschlagen: Die erfolgreichen Angriffe auf Solarwinds und Kaseya in den Jahren 2020 und 2021. Die Nachrichten gingen um die Welt, die Folgen ebenfalls – und teils werden sie immer noch aufgearbeitet. So hatte die US-Börsenaufsicht SEC erst Ende 2023 angekündigt, Solarwinds aufgrund angeblich bekannter, aber nicht kommunizierter Sicherheitsprobleme und Risiken zu verklagen. Damals konnten sich Hacker über die kompromittierte Software Orion Zugang zu zahlreichen Behörden und Unternehmen weltweit verschaffen. Bis zu 18’000 Organisationen sollen betroffen gewesen sein. Im vergleichbaren Fall von Kaseya waren es wohl bis zu 1500 Unternehmen.

Es sind besorgniserregende Zahlen, die das gewaltige Schadenspotenzial der sogenannten Supply-­Chain-Angriffe aufzeigen. Gelingen sie, ist schlimmstenfalls nicht nur ein Unternehmen betroffen, sondern Hunderte oder – wie auch in den beiden genannten Fällen – Tausende. Im Fokus der kriminellen Gruppen stehen aber längst nicht nur global agierende Softwareanbieter. Auch regionale IT-Dienstleister rücken zunehmend ins Visier von gezielten Angriffen auf die Lieferkette, aber auch von regulären Ransomware- und anderen Attacken. Mit Xplain und Concevis gab es im vergangenen Jahr zwei prominente Fälle in der Schweiz. Der erfolgreiche Angriff auf Unico Data, der bis zu 120 Kunden betraf, zeigt zudem, dass auch mittelständische IT-Dienstleister ohne direkten Bezug zum Behördenumfeld betroffen sein können.


«Angriffe auf Dritte, wie MSPs und IT-Dienstleister, haben in den letzten Jahren weltweit zunehmend Schlagzeilen gemacht», resümiert Miro Mitrovic, Area Vice President DACH beim Security-Anbieter Proofpoint. «Unser Threat Research Team hat in der Tat beobachtet, dass immer raffiniertere Cyberkriminelle, einschliesslich Advanced Persistent Threat Actors (Anm.d.Red.: gut ausgerüstete kriminelle Gruppen, oft staatlich oder staatlich unterstützt), zunehmend MSPs ins Visier nehmen.» Das gilt laut Mitrovic vor allem für regionale Managed Service Provider, also kleine bis mittelgrosse Anbieter, die Kunden in einem bestimmten geografischen Gebiet bedienen. Sie würden über Phishing als erstes Glied in der Lieferkette von KMU angegriffen und sich somit in einen allgemeinen Trend einfügen: «Bedrohungsakteure haben ihren Fokus auf die Lieferkette, Partner-Ökosysyteme und Anbieter kritischer Ressourcen verlagert, was diese zu einem wichtigen Bedrohungsvektor macht. Ein Lieferant kann heute sicher sein, aber morgen schon aufgrund ungepatchter Systeme unsicher werden.» Das grosse Risiko bestehe daher grundsätzlich darin, dass böswillige Akteure vertrauenswürdige Geschäftspartner zusehends als Einfallstor nutzen würden.

«Angriffe erregen Aufmerksamkeit»

Urban Konrad, Senior Manager Systems Engineering Schweiz und Österreich bei Palo Alto Networks, berichtet hingegen, dass es aktuell schwierig sei, eine definitive Aussage über die Häufigkeit von Cyber-Angriffen auf IT-Dienstleister und Managed Service Provider zu treffen. Ein Grund zum Aufatmen ist das allerdings nicht. Denn allgemein würde die Angriffszahl immer weiter zunehmen – und damit auch die im IT-Umfeld, so Konrad. Zudem warnt der Security-Spezialist vor öffentlichkeitswirksamen Effekten prominenter Fälle: «Die Angriffe auf Xplain, Concevis und andere Organisationen in der Schweiz könnten als Einzelfälle betrachten werden, die einen hohen Impact hatten. Jedoch können solche Angriffe Aufmerksamkeit erregen und so die Wahrnehmung der Bedrohung durch Cyberangriffe auf IT-Dienstleister verstärken.»

IT-Dienstleister sind fraglos lohnende Ziele für Cyberkriminelle, agieren sie doch als Verwalter und Torwächter. Gelingt ein Angriff und es erfolgt beispielsweise die Verschlüsselung von Servern und Daten, steigt der Druck auf das betroffene Unternehmen deutlich, ein gefordertes Lösegeld zu zahlen. Immerhin stehen schlimmstenfalls auch die Kundensysteme still. Andererseits kann der Angriff den Weg auf diese Kundensysteme öffnen und die Schadensfläche somit deutlich erhöhen. Aus einem Betroffenen werden mit einem Schlag Hunderte.


«Diese Angriffe sind auf jeden Fall attraktiv, da sie den Angreifern viel mehr Opfer bescheren, als es bei einem Angriff auf ein einzelnes Ziel möglich ist», sagt Michael Veit, Cybersecurity-Experte bei Sophos. So könnten Kriminelle ihren Gewinn bei Ransomware-Angriffen leicht vervielfachen, indem sie mehrere Opfer gleichzeitig kompromittieren und beide Seiten der Leistungsbeziehung erpressen. Ein solcher Multiplikator sei ein gefundenes Fressen, konstatiert Veit im Gespräch (das gesamte Interview lesen Sie in der Print-Ausgabe), denn Cyberkriminelle sind «grundsätzlich faul».

Risiken für Dienstleister und Kunden

Das Schadenspotenzial von Angriffen auf IT-Dienstleister kann sehr hoch sein, insbesondere wenn diese Managed Services anbieten, wie Urban Konrad, Senior Manager, Systems Engineering, Schweiz & Österreich bei Palo Alto Networks, erklärt. Der Security-Experte zählt mögliche Folgen auf:

- Zentralisierter Zugriff: IT-Dienstleister haben oft zentralisierten Zugriff auf die Systeme und Netzwerke ihrer Kunden, um Support, Wartung und Updates durchführen zu können. Ein Angreifer, der diesen Zugriff erlangt, kann potenziell auf alle Kundeninformationen und -systeme zugreifen, die vom Dienstleister verwaltet werden.


- Sicherheitslücken: Durch die ­zunehmende Automatisierung, gerade in Cloud-basierten Infrastrukturen, können sich Konfigurationsfehler und somit zum Beispiel unbeabsichtigte Schwach­stellen ­ergeben (z.B. vom Internet erreichbare Datenbankserver, die Verteilung von Softwarekomponenten mit Sicherheitslücken).

- Verbreitung von Malware: Durch die Kompromittierung des Dienstleisters könnten Cyberkriminelle Malware oder Ransomware über die vom Dienstleister genutzten Management-Tools auf die Systeme der Kunden verteilen. Diese Art der Verbreitung kann sehr schnell erfolgen und viele Organisationen gleichzeitig betreffen.

- Vertrauensmissbrauch: Kunden vertrauen IT-Dienstleistern oft sensible Daten und den Zugriff auf ihre kritischsten Systeme an. Ein Bruch dieses Vertrauens durch einen Cyberangriff kann zu erheblichen Datenverlusten, Datenschutzverletzungen und Betriebsunterbrechungen führen.

- Reputationsschaden und finanzielle Verluste: Neben den direkten Schäden durch Diebstahl oder Verschlüsselung von Daten können betroffene Unternehmen und der IT-Dienstleister selbst erheblichen Reputationsschaden erleiden. Die Wiederherstellung von Systemen, Datenrettung und rechtliche Konsequenzen können zudem erhebliche finanzielle Verluste nach sich ziehen.

- Regulatorische Strafen: Abhängig von der Art der kompromittierten Daten und der betroffenen Jurisdiktion können Unternehmen und Dienstleister auch mit Bussgeldern und Strafen aufgrund von Verstössen gegen Datenschutzgesetze konfrontiert werden.

Viele unterschätzen das Risiko

Demgegenüber steht jedoch die Annahme, dass IT-Anbieter ein besonders hohes Schutzniveau erzielen und ihre potenzielle Attraktivität für Cyberkriminelle somit an anderer Stelle wieder reduzieren, suchen Angreifer doch meist nach den ­einfachsten Zielen. Umfassende IT-Security-­Massnahmen wirken hier abschreckend. Doch in der Breite des IT-Channels gibt es vielerorts, vor allem im KMU-Bereich, Nachholbedarf. «Das Bewusstsein mittelständischer IT-Dienstleister bezüglich des Risikos von Cyberangriffen variiert. Während einige Unternehmen sich der potenziellen Gefahren sehr bewusst sind und sie erhebliche Investitionen in Cybersicherheit und Präventionsmassnahmen tätigen, gibt es auch solche, die das Risiko unterschätzen oder nicht ausreichend in ihre Sicherheitsinfrastrukturen investieren», berichtet Konrad. Das bestätigt auch Michael Veit von Sophos. Zwar seien sich die meisten IT-Dienstleister der Risiken bewusst. Aber auch hier gelte: «Ausnahmen bestätigen die Regel». «Wir sehen immer wieder Dienstleister, die aus verschiedensten Gründen nicht auf diese Risiken eingehen und damit ihren gesamten Kundenstamm in Gefahr bringen.»


Die Gründe können vielfältig sein. Oftmals fehlt es schlicht an personellen Ressourcen und entsprechendem Know-how, wie Patrick Michel, Principal Consultant beim Security-VAD Boll, berichtet. Anderseits kann sich auch die Risikowahrnehmung von Unternehmen zu Unternehmen unterscheiden. IT-Dienstleister unterschätzen gegebenenfalls die eigene Attraktivität für Cyberkriminelle und stellen Security-Investitionen hintenan, wie Urban Konrad erklärt. Hinzu kommen die wachsende Komplexität der Bedrohungslandschaft sowie immer neue regulatorische Anforderungen. Das schafft zusätzliche Hürden, stets am Security-Ball zu bleiben.

Grosse Verantwortung

Eine Alternative? Die gibt es jedoch kaum. Nicht zuletzt im Zuge der angespannten globalen Lage dürften auch IT-Betreiber als kritische Ziele weiter ins Visier von oft hochprofessionell agierenden kriminellen Akteuren rücken und sind gefordert, in ihre Sicherheitsmassnahmen zu investieren. Die Play-Gruppe, die sowohl hinter den Angriffen auf Xplain und Unico als auch hinter der prominenten Attacke auf die «NZZ» im Jahr 2023 steckt, ist dafür nur ein namhaftes Beispiel. IT-Dienstleister und MSPs müssten sich daher unbedingt der besonderen Bedrohung bewusst sein, der sie ausgesetzt sind, mahnt Miro Mitrovic von Proofpoint. «Die Tatsache, dass sich Hunderte von Kunden darauf verlassen, dass sie für einen reibungslosen und sicheren Betrieb sorgen, bedeutet für sie eine grosse Verantwortung.» Das gilt vor allem für Angriffe auf die Lieferkette, da diese in beide Richtungen wirken: «Wenn sie kompromittiert werden, sind ihre Kunden in Gefahr und umgekehrt.»


Ein Appell, den auch Urban Konrad von Palo Alto Networks an IT-Dienstleister und Managed Service Provider richtet: «Angesichts ihrer zen­tralen Rolle in der IT-Infrastruktur ihrer Kunden und des potenziellen Zugriffs auf sensible Daten ist es von entscheidender Bedeutung, dass sie ein hohes Mass an IT-Sicherheit aufrechterhalten» – oder gar ein noch höheres Niveau als die Kunden. Das hat laut dem Experten vor allem mit dem Vertrauensvorschuss für die IT-Anbieter zu tun sowie mit schwerwiegenden Auswirkungen auf die Geschäftsbeziehungen und die Reputation, sollten diese verletzt werden.

Verteilte Verantwortung

Und doch liegt die Last nicht ausschliesslich auf den Schultern der IT-Dienstleister. Auch Kunden müssen die Verantwortung für die Kontrolle ihrer IT-Lieferkette und letztlich die Sicherheit ihrer Systeme übernehmen. Das betrifft zum einen die Bereitschaft, für das geleistete Schutzniveau auch die entsprechenden Investitionen vorzusehen. Denn wer lediglich auf das günstigste Angebot abzielt, wird nicht gleichzeitig mit der sichersten Lösung rechnen können.

Zum anderen ist im ersten Schritt eine sorgfältige Auswahl des passenden IT-Partners mit geeignetem Know-how sowie entsprechenden Sicherheitsmassnahmen gefordert. Dazu zählt heute immer auch die Entscheidung im Rahmen einer gründlichen Risikobewertung, welche IT-Systeme sich gegebenenfalls auslagern lassen und welche nicht. Ein grundlegendes Argument gegen die IT-Zentralisierung über Managed- oder Cloud Services sieht Urban Konrad trotz der Cyberrisiken hingegen nicht: «Während Sicherheitsrisiken als ein wichtiges Argument gegen die zunehmende Auslagerung wahrgenommen werden könnten, zeigen die Vorteile in Bezug auf Effizienz, Zugang zu Fachwissen und Kosteneinsparungen, dass eine pauschale Ablehnung dieser Modelle nicht angebracht ist».


Der Security-Experte rät Organisationen stattdessen dazu, strategische Partnerschaften mit ihren Dienstleistern anzustreben, um gemeinsam ein hohes Sicherheitsniveau zu erreichen und aufrechtzuerhalten. Und auch Miro Mitrovic von Proofpoint ist überzeugt, dass der Trend zum Outsourcing und zur Nutzung von Cloud-Lösungen trotz etwaiger Risiken unumkehrbar ist. «Von wenigen Ausnahmen abgesehen wird es für Unternehmen in absehbarer Zeit keine Option sein, die gesamte IT-Infrastruktur und alle Anwendungen selbst zu betreiben.» Es sei daher notwendig, dass sich die Unternehmen der spezifischen Gefahren von Outsourcing- und Cloud-Lösungen bewusst sind und bei der Auswahl ihrer Partner die Sicherheit als wichtiges Kriterium heranziehen. Mehr denn je werden IT-Security und Vertrauen somit zum entscheidenden Wettbewerbsvorteil. (sta)