Lehren aus dem Kaseya-Vorfall
Die Vertrauensfrage im MSP-Modell
Fortsetzung des Artikels von Teil 1
Chronologie einer schweren Krise
Skalierender Cyberangriff auf RMM-Plattform von Kaseya: Der Softwareanbieter hat auf den spektakulären Hackerangriff schnell reagiert und alle Register einer Krisenkommunikation gezogen, die man auch MSPs an Herz legen kann. Es bleiben indes Fragen und das flaue Gefühl, dass attackierte Software-Lieferketten nur die „Spitze eines Eisbergs“ im Cybercime sind.
Freitagnachmittag, 2. Juli 2021, die meisten Amerikaner sind bereits in ein langes Wochenende gestartet. Es gibt an diesem verlängerten Wochenende gleich zwei Gründe, ausgiebig zu feiern. Den Unabhängigkeitstag, und weil er dieses Mal auf einen Sonntag fällt, wird der Feiertag am Montag „nachgeholt“. 50 Millionen Amerikaner sind unterwegs zu Verwandten und Freunden, um auch das Ende der Corona-Krise und der Einschränkungen gemeinsam zu feiern. Es ist still geworden in den leeren oder nur spärlich besetzten Büros. Cyberkriminelle wissen sehr genau, wann der richtige Zeitpunkt da ist, um auf geringste Gegenwehr zu stoßen und größtmögliche Angriffserfolge zu erzielen. Man hätte es an diesem langen Wochenenden ahnen können.
SOCs schlagen Alarm
Gegen 14 Uhr Ortszeit Miami (20 Uhr in Deutschland) , Sitz von Kaseya, startet die vermutlich aus Russland stammende REvil-Bande ihre Ransomware-Attacke auf die VSA-Server des Herstellers – ein Software-Lieferketten-Angriff auf potentiell mehr als 35.000 MSPs, die diese Plattform zum Management von Kunden-ITs einsetzen. Nur wenig später registrieren zwei der vier Sophos-MTR-SOCs, die in den USA, Irland, Indien und Australien stehen, die ersten ungewöhnlichen Aktivitäten bei ihren Kunden, die für das IT- Management VSA von Kaseya einsetzen. Die Cryptoguard-Engine erkennt den Verschlüsselungsvorgang und stoppt ihn. Zeitgleich wird Kaseya von Sophos und SOCs anderen Security-Dienstleister informiert. Beim Hersteller hat man nun Gewissheit, dass im Wettlauf mit der Zeit die Hacker-Gruppe gewonnen hat. Die Zero-Day-Lücke war bekannt, nur rechtzeitig schließen konnte man sie nicht.
Zur besten Sendezeit
In Schweden stehen am Samstag Kunden vor den rund 800 Filialen der Supermarktketten Coop vor zeitweise geschlossenen Läden. Die Kassensysteme funktionieren nicht. Jetzt beginnt bei Kaseya die Krisenkommunikation. Während die Tagesschau zur besten Sendezeit erstmals am Sonntag berichtet und am Montag ausführlich und mit Statement von Kaseya-CEO Fred Voccola nachlegt, folgt der Hersteller der Devise, wer schnell und detailliert informiert, zeigt, dass er das Heft des Handelns in der Hand hat: Wichtige Behörden wie das FBI, das Weiße Hause und die nationale Cybersecurity-Behörde CISA seien informiert, Fireeye Mandiant – quasi der Katastrophenschutz bei schweren IT-Security-Vorfällen – arbeite bereits mit Hochdruck. Man wisse, dass „jede Sekunde zählt, dieses Problem zu beheben“, so der CEO.
Schaden „nur minimal“
Zweite Regel: Sehr begrenzter Schaden durch entschlossenes Handeln. Man kann davon ausgehen, dass Kaseya die Risiken von Supply-Chain-Angriffen sehr genau kennt und spätestens seit dem im Dezember bekannt gewordenen Angriff auf Wettbewerber Solarwinds Abläufe im Fall eines GAUs festlegt hat. So berichtet der Hersteller, dass man „innerhalb einer Stunde vorsichtshalber den Zugriff auf die betroffene Software sofort abgeschaltet“ habe, so dass der Angriff „nur begrenzte Auswirkungen hatte, da nur etwa 50 von mehr als 35.000 Kaseya-Kunden betroffen waren“. Kaseya IT Complete sei „nur minimal von der Kompromittierung betroffen“, nämlich von 27 Modulen „nur eins: VSA“.
Alles schon vorbei?
Dritte Regel der Krisenkommunikation: Eigentlich ist alles schon vorbei, so der Tenor, der drei Tage später vorliegenden Pressemitteilung. Kommunikativ alles richtig gemacht und doch schwelt die Krise weiter, lässt viele MSPs und deren Kunden verunsichert zurück. Sicher ist nur eines: Nichts und niemand ist sicher vor eskalierenden und neuerdings skalierenden Cyberbedrohungen.
- Die Vertrauensfrage im MSP-Modell
- Chronologie einer schweren Krise
Lesen Sie mehr zum Thema
