Schlagwortarchiv für: kritische Infrastrukturen

Joseph Lee

Threat Report Juni 2025: Zermürbungsgefecht im Cyberraum

Der IOCTA-Bericht 2025 von Europol warnt davor, dass die Nachfrage nach Daten im Milieu der Cyberkriminalität stark ansteigt. Wie viele Daten wurden genau gestohlen? Genaue Zahlen lassen sich nicht ermitteln. Allerdings wurden bei einem einzigen Hackerangriff auf das US-amerikanische Gesundheitsunternehmen Change Healthcare die persönlichen Daten, unter anderem Sozialversicherungsnummern, von 190 Millionen Menschen gestohlen. Das ist mehr als die Hälfte der gesamten US-Bevölkerung, die von einem einzigen Vorfall betroffen war. Dieser Vorfall verblasst jedoch im Vergleich zum National Public Data Breach von 2024, bei dem 272 Millionen Sozialversicherungsnummern, 420 Millionen Adressen und 161 Millionen Telefonnummern in den USA gestohlen wurden. In den untersuchten Ländern des europäischen Wirtschaftsraums wurden 2024 täglich etwa 363 Datenschutzverletzungen gemeldet. Nun drohen neue Varianten zerstörerischer Wiper-Malware, die Betroffene von Datendiebstahl milde getroffen wirken lassen.

Cyber-Sicherheitsverantwortliche befinden sich in einem zermürbenden Kampf: Die Bewältigung der ständigen Flut neuer Bedrohungen ist eine gewaltige und entscheidende Aufgabe. Im Threat Report dieses Monats geben wir Einblicke in die neueste Welle von Wiper-Malware, neue aktiv ausgenutzte Schwachstellen und aufkommende Bedrohungen, die den globalen Cyberkonflikt prägen.

Neue Welle von Wiper-Malware im Cybergefecht

Kürzlich hat Cisco Talos eine bisher unbekannte Wiper-Malware namens „PathWiper“ beobachtet, die bei einem zerstörerischen Angriff auf kritische Infrastrukturen in der Ukraine eingesetzt wurde. Wiper wird meist im Rahmen von Cyber-Warfare-Kampagnen eingesetzt, bei denen finanzieller Gewinn nicht das primäre Motiv ist. Während Ransomware die Opfer zur Zahlung eines Lösegelds für die Rückgabe ihrer verschlüsselten Daten zwingt, zerstört Wiper diese einfach. Wiper wird seit Beginn des Krieges zwischen Russland und der Ukraine eingesetzt. 2022 wurde HermeticWiper gegen die Ukraine verwendet und legte Regierungsbehörden und kritische Dienste wenige Stunden vor dem ersten Einmarsch Russlands lahm.

Forschungsteams zur Cybersecurity haben kürzlich auch eine neue Ransomware-as-a-Service-Gruppe (RaaS) namens Anubis entdeckt, die ihre maßgeschneiderte Ransomware um eine Wiper-Option erweitert hat. Angesichts der verschärften geopolitischen Spannungen ist es plausibel, dass staatliche Akteure RaaS-Betreiber und Hacktivisten dazu anstiften werden, zerstörerische Angriffe mit großer Wirkung durchzuführen.

Wiper-Angriffe an sich sind nichts Neues. Shamoon, auch bekannt als Disttrack, entdeckt im Jahr 2012, war die erste große Wiper-Malware. Sie wurde vermutlich von iranischen Bedrohungsakteuren entwickelt und zum Angriff auf Saudi Aramco und andere Organisationen in den Golfstaaten eingesetzt. NotPetya, getarnt als Ransomware, war eine weitere prominente Wiper-Variante, die 2017 auftauchte – mit globalen Folgen.

Unternehmen, insbesondere im Bereich kritischer Infrastruktur, müssen die potenziellen Auswirkungen von Wiper-Malware auf ihre Widerstandsfähigkeit berücksichtigen. Was ist, wenn die Zahlung eines Lösegelds keine Option ist? Eine gut konzipierte Backup-Strategie kann eine vollständige oder teilweise Datenwiederherstellung ermöglichen. Jedoch haben Ausfallzeiten auch finanzielle Auswirkungen und können sogar Menschenleben kosten. Die Gewährleistung der Einhaltung der MTTR-Ziele (Mean Time to Recovery) ist für die Aufrechterhaltung des Betriebs von entscheidender Bedeutung. Natürlich ist auch die Sorgfalt bei der Schließung von Sicherheitslücken, bevor sie für Angriffe ausgenutzt werden können, für eine proaktive Cyberstrategie unerlässlich.

Echte Risiken und „AI-Slop“: Linux-CVEs im Wandel

Die Zeiten, in denen Linux weniger Cyberangriffe auf sich zog, sind längst vorbei. Linux-Systeme werden zunehmend zum Ziel raffinierter Angriffe. Im vergangenen Jahr explodierte auch die Zahl der Linux-Kernel-CVEs (Common Vulnerabilities and Exposures); die zentrale CNA (CVE Numbering Authority) wies im Jahr 2024 durchschnittlich 55 neue CVEs pro Woche zu. Dieser Anstieg wird manchmal darauf zurückgeführt, dass künstliche Intelligenz Fehler aufdeckt, die eigentlich keine Sicherheitsrisiken darstellen, sogenannten „AI-Slop“. Der Entwickler von Curl, Daniel Stenberg, veröffentlichte sogar einen Hinweis, in dem er Bug-Reports zu „AI-Slop“ verbot. In einer entsprechenden Diskussion zu einem Bug-Report wurde die Sorge geäußert, dass „ein Angriff auf unsere Ressourcen zur Bewältigung von Sicherheitsproblemen“ erfolgen könnte.

Was das Risiko- und Patch-Management angeht, haben viele Security-Teams nicht den Luxus, die technische Nutzbarkeit jeder CVE eingehend zu untersuchen. Die technische Bewertung und Analyse von Patching-Unterschieden (Patch-Diffs) nehmen enorm viel Zeit in Anspruch. Der daraus resultierende aufreibende Kampf zwingt die Sicherheitsteams zu einem Wettlauf gegen die Zeit. Beim Priorisieren von Behebungsmaßnahmen stützen sich Sicherheitsteams auf CVSS (Common Vulnerability Scoring System), EPSS (Exploit Prediction Scoring System), den Exploit-Status und Faktoren wie Compliance-Anforderungen und betriebliche Kritikalität. Sicherheitsverantwortliche wollen Beweise dafür sehen, dass kontinuierliche Fortschritte erzielt und Sicherheitslücken geschlossen werden. Dies ist der eigentliche Vorteil der Verwendung einer Schwachstellenmanagement-Plattform wie Greenbone.

Vor diesem Hintergrund sind hier einige neue CVEs mit hohem Risiko für Privilegien-Ausweitung auf Linux-Systemen, die in diesem Monat Aufmerksamkeit erregt haben:

  • CVE-2023-0386 (CVSS 7.8): Das OverlayFS-Subsystem des Linux-Kernels, das nun als aktiv ausgenutzt gilt, ermöglicht die Ausweitung auf die Root-Ebene, indem es die Art und Weise ausnutzt, wie Dateien mit besonderen Privilegien zwischen bestimmten gemounteten Dateisystemen kopiert werden.
  • CVE-2025-6019 (CVSS 7.0): Eine in Fedora- und SUSE-Distributionen gefundene Schwachstelle ermöglicht es Angreifenden ohne Root-Rechte in der Gruppe „allow_active“, privilegierte Festplattenoperationen wie das Mounten, Entsperren und Formatieren von Geräten über D-Bus-Aufrufe an „udisksd“ auszuführen. Die Schwachstelle gilt als leicht auszunutzen, und es ist ein öffentlicher PoC (Proof of Concept) verfügbar, was das Risiko erhöht.
  • CVE-2025-32462 und CVE-2025-32463: Zwei lokale Schwachstellen zur Rechteausweitung wurden in Sudo 1.9.17p1 behoben, das am 30. Juni 2025 veröffentlicht wurde. CVE-2025-32462 ermöglicht es, über lokale Geräte die Option „–host“ zu missbrauchen, um Berechtigungen auf zugelassenen Hosts zu erweitern, während CVE-2025-32463 unbefugten Root-Zugriff über die „–chroot“-Option ermöglicht, selbst wenn dies in der Sudo-Datei nicht ausdrücklich erlaubt ist.
  • CVE-2025-40908 (CVSS 9.1): Nicht authentifizierte Angreifende können vorhandene Dateien manipulieren, indem sie eine speziell gestaltete YAML-Datei als Eingabe verwenden, die zu einem missbräuchlichen Aufruf von „open“ mit zwei Argumenten führt. Zu den anfälligen Systemen gehören alle Perl-Anwendungen oder -Distributionen (wie Amazon Linux, SUSE, Red Hat, Debian), die YAML‑LibYAML vor Version 0.903.0 verwenden.

CVE-2025-49113: Eine kritische CVE in RoundCube Webmail

Eine kürzlich bekannt gewordene Sicherheitslücke mit der Kennung CVE-2025-49113 (CVSS 9.9) in RoundCube Webmail ermöglicht es bei authentifizierten Angriffen, beliebigen Code auf einem RoundCube-Server auszuführen. Eine schlecht konzipierte PHP-Deserialisierung [CWE-502] validiert Eingaben nicht ordnungsgemäß, sodass der Parameter „_from“ bösartigen serialisierten Code übertragen kann. Cyberkriminelle, die den Fehler erfolgreich ausnutzen, können möglicherweise die vollständige Kontrolle über den RoundCube-Server erlangen, um Daten zu stehlen und Command-and-Control-Tools (C2) für den dauerhaften Zugriff zu installieren.

Obwohl für die Ausnutzung von CVE-2025-49113 gültige Anmeldedaten erforderlich sind, sind keine Administratorrechte erforderlich. Technische Analysen [1][2], PoC-Exploits [3][4] und ein Metasploit-Modul sind verfügbar, was das potenzielle Risiko eines Missbrauchs erhöht. Ein EPSS-Score von 81 weist auf eine extrem hohe Wahrscheinlichkeit einer Ausnutzung in naher Zukunft hin. Der Forscher, der die Schwachstelle entdeckt hat, behauptet, dass Exploit-Kits bereits in Untergrundforen für Cyberkriminalität zum Verkauf angeboten werden. Zahlreiche nationale CERT-Behörden haben Warnungen zu dieser Schwachstelle herausgegeben [5][6][7][8][9], während Shadowserver Anfang Juni über 84.000 exponierte Roundcube-Dienste gemeldet hat.

Der Greenbone Enterprise Feed umfasst eine Remote-Versionserkennung [10][11] und Linux Local Security Checks (LSC) [12][13][14][15][16][17] zur Identifizierung anfälliger Instanzen von RoundCube Webmail (Versionen vor 1.5.10 und 1.6.11). Anwendenden wird dringend empfohlen, Updates umgehend zu installieren.

Neue kritische CVE in Cisco ISE Cloud mit PoC-Exploit

CVE-2025-20286 (CVSS 10) ist eine neue Schwachstelle, die Cloud-Bereitstellungen der Cisco Identity Services Engine (ISE) auf AWS, Azure und Oracle Cloud Infrastructure (OCI) betrifft. Der Fehler könnte nicht authentifizierten Angreifenden den Zugriff auf sensible Daten, die Ausführung einiger eingeschränkter Verwaltungsvorgänge, die Änderung von Systemkonfigurationen und die Störung von Diensten ermöglichen. Aufgrund eines mangelhaften Software-Designs werden identische Zugangsdaten [CWE-259] generiert und für alle verbundenen ISE-Instanzen mit derselben Version und Plattform freigegeben.

Cisco hat die Existenz eines öffentlich zugänglichen Exploits bestätigt. Das Unternehmen erklärte außerdem, dass die Schwachstelle nur ausgenutzt werden kann, wenn der primäre Administrationsknoten in der Cloud bereitgestellt ist. Lokale Bereitstellungen und mehrere Hybrid-/Cloud-VM-Lösungen sind nicht betroffen. Insgesamt stellt CVE-2025-20286 aufgrund der weit verbreiteten Nutzung von Cisco ISE in Unternehmensnetzwerken und der Verfügbarkeit von Exploit-Code eine hochriskante Schwachstelle für alle mit betroffenen Konfigurationen dar. Greenbone bietet einen Test zur Versionserkennung an, um potenziell gefährdete Instanzen zu identifizieren.

CitrixBleed 2 und eine weitere aktiv ausgenutzte Schwachstelle in Citrix NetScaler ADC und Gateway

CVE-2025-5777 (CVSS 9.3), auch „CitrixBleed 2“ genannt, ist eine Out-of-Bounds-Read-Sicherheitslücke [CWE-125], die Citrix NetScaler ADC und NetScaler Gateway betrifft und es bei nicht authentifizierten Angriffen ermöglicht, gültige Sitzungstoken aus dem Speicher zu stehlen, indem fehlerhafte HTTP-Anfragen gesendet werden. CVE-2025-5777 ist auf eine unzureichende Eingabevalidierung zurückzuführen, eine leider häufige, aber leicht zu vermeidende Ursache für Softwarefehler. Die Offenlegung von Sitzungstoken ermöglicht die Identitätsübernahme legitimer Benutzerinnen und Benutzer und damit unbefugten Zugriff. Sicherheitsverantwortliche gehen davon aus, dass eine Ausnutzung der Schwachstelle unmittelbar bevorsteht, und ziehen Parallelen zur ursprünglichen CitrixBleed-Sicherheitslücke (CVE-2023-4966), die von Ransomware-Gruppen bei schwerwiegenden Angriffen ausgenutzt wurde.

Eine weitere Schwachstelle, CVE-2025-6543 (CVSS 9.8), die ebenfalls Citrix NetScaler ADC und Gateway betrifft, wurde zum KEV-Katalog (Known Exploited Vulnerabilities) der CISA hinzugefügt, was darauf hindeutet, dass sie bereits aktiv ausgenutzt wird. CVE-2025-6543 ist eine Memory-Overflow-Schwachstelle [CWE-119]. Die Auswirkungen wurden offiziell als Denial of Service beschrieben, aber in Fachkreisen wird angenommen, dass sie auch die Ausführung von beliebigem Code oder die Übernahme von Geräten umfassen können, wie in ähnlichen Fällen in der Vergangenheit beobachtet wurde.

Beide Schwachstellen betreffen nur Geräte, die als Gateway (VPN-Virtual Server, ICA-Proxy, CVPN, RDP-Proxy) oder AAA (Authentifizierung, Autorisierung und Abrechnung) Virtual Server konfiguriert sind. Beide Schwachstellen sind Gegenstand weitreichender nationaler CERT-Hinweise [1][2][3][4][5][6][7]. Greenbone bietet eine Remote-Versionsprüfung zur Erkennung von CitrixBleed 2 sowie eine Remote-Versionsprüfung für CVE-2025-6543. Die Installation aktueller Sicherheitsupdates wird dringend empfohlen.

Drei ausnutzbare Schwachstellen in Sitecore CMS

Drei neue CVEs, die die Sitecore Experience Platform betreffen, können verkettet werden, um eine nicht authentifizierte Remote Code Execution (RCE) durchzuführen. Die Schwachstellen wurden mit einer vollständigen technischen Beschreibung und PoC-Anleitung veröffentlicht, wodurch ihre Ausnutzung sehr wahrscheinlich ist. In der Angriffskette ermöglicht CVE-2025-34509 den ersten authentifizierten Zugriff, während CVE-2025-34510 oder CVE-2025-34511 beide RCE-Schwachstellen nach der Authentifizierung sind. Angreifende können zunächst fest codierte Anmeldedaten ausnutzen, um ein gültiges Sitzungstoken zu generieren, dann eine bösartige „.aspx“-Webshell hochladen und anschließend beliebige Shell-Befehle auf dem System des Opfers ausführen. Alternativ könnte CVE-2025-34511 verwendet werden, um PowerShell-Befehle auszuführen, anstatt eine Webshell hochzuladen.

Hier eine kurze Beschreibung der einzelnen Schwachstellen:

  • CVE-2025-34509 (CVSS 8.2): Fest codierte Anmeldedaten [CWE-798] ermöglichen es Remote-Angreifenden, sich mit diesem Konto zu authentifizieren, um auf die Admin-API zuzugreifen.
  • CVE-2025-34510 (CVSS 8.8): Eine als „Zip Slip“ bekannte Schwachstelle beim Path Traversal mit relativen Pfaden [CWE-23] ermöglicht es Kriminellen über einen authentifizierten Angriff, schädliche Dateien aus einem ZIP-Archiv in das Webroot-Verzeichnis zu extrahieren, was über eine .aspx-Webshell zu RCE führen könnte.
  • CVE-2025-34511 (CVSS 8.8): Eine uneingeschränkte Datei-Upload-Sicherheitslücke [CWE-434] im PowerShell-Extensions-Modul ermöglicht es Angreifenden, beliebige Dateien, einschließlich ausführbarer Skripte, an einen beliebigen beschreibbaren Speicherort hochzuladen. Obwohl CVE-2025-34511 die Installation der Sitecore PowerShell Extension erfordert, wird dies als gängige Konfiguration angesehen.

Sitecore ist ein beliebtes Content-Management-System (CMS) für Unternehmen, das von großen globalen Organisationen in verschiedenen Branchen eingesetzt wird. Obwohl Sitecore schätzungsweise zwischen 0,45 % und 0,86 % des globalen CMS-Marktanteils ausmacht [1][2], besteht ihre Klientel aus hochwertigen Zielen. Greenbone ist in der Lage, anfällige Instanzen von Sitecore mit einer aktiven Überprüfung und einem Test zur Fernerkennung der Version zu erkennen. Patches wurden in Sitecore Version 10.4 veröffentlicht und auf frühere, unterstützte Versionen zurückportiert, sodass Benutzende ein Upgrade durchführen können.

Umgehung von CVE-2025-23120 in Veeam-Backups

CVE-2025-23121 (CVSS 9.9) ist eine Lücke in der Deserialisierung [CWE-502], die es den für die Domain authentifizierten Personen ermöglicht, beliebigen Code [CWE-94] auf Veeam Backup & Replication-Servern auszuführen. Die Schwachstelle entsteht durch unsichere Datenverarbeitung und stellt eine Umgehung einer zuvor gepatchten Schwachstelle, CVE-2025-23120, dar.

Derzeit ist kein öffentlicher PoC-Exploit verfügbar. Jedoch sind CVEs in Veeam Backup & Replication häufig das Ziel von Cyberkriminellen. Darüber hinaus betrifft die Sicherheitslücke nur Unternehmen, die Domain-gebundene Backup-Server verwenden. Angesichts der Bedeutung von Backups für die Wiederherstellung nach Ransomware-Angriffen stellt sie jedoch eine ernsthafte Bedrohung dar. Kriminelle können gültige Anmeldedaten stehlen oder Passwort-Spraying einsetzen, um wiederverwendete Zugangsdaten zu erlangen.

Greenbone kann remote betroffene Veeam-Produkte erkennen, und es wird dringend empfohlen, einen Patch auf Version 12.3.2.3617 zu installieren

Zusammenfassung

Im Juni 2025 tauchten mindestens zwei neue Wiper-Malware-Varianten auf, die kritische Infrastrukturen und Unternehmen bedrohen. Weitreichende massive Datenverletzungen nehmen zu und beeinträchtigen Unternehmen und Einzelpersonen, da gestohlene Daten für verschiedene böswillige Zwecke verwendet werden. In diesem Monat gab es auch eine Flut neu entdeckter, kritischer Sicherheitslücken in Produkten für Unternehmen, von denen die meisten nicht in diesem Bericht behandelt werden. Viele davon waren innerhalb weniger Stunden nach ihrer Bekanntgabe mit PoCs oder vollständigen Exploit-Kits verfügbar. Von RoundCube und Cisco ISE bis hin zu Citrix- und Linux-Systemen: Hochriskante digitale Schwachstellen, die Aufmerksamkeit erfordern, heizen die Zermürbungsschlacht im Cyberraum weltweit für die angegriffenen Unternehmen weiter an.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

#nis2know: BSI bringt NIS2-Betroffenheitstest

Mehr und mehr Klarheit zieht ein in die Umsetzung der NIS2-Direktive der EU: Ende Juli hat das NIS2-Umsetzungsgesetz das Kabinett der bundesdeutschen Regierung passiert. Der entscheidende Beschluss im Bundestag steht nun bevor. Für alle Unternehmen und Behörden, die sich fragen, ob sie das etwas angeht, hat das BSI jetzt unter dem griffigen Hashtag #nis2now eine umfangreiche Webseite mit einer Betroffenheitsprüfung und wertvollen Informationen gelauncht.

Auch wenn das Inkrafttreten durch den Bundestagsbeschluss noch auf sich warten lässt und selbst wenn der ursprünglich geplante Termin im Oktober im Zuge dessen verstreichen sollte, müssen sich Unternehmen jetzt vorbereiten, fordert das Bundesamt für Sicherheit in der Informationstechnologie (BSI). Die Behörde gibt deshalb Unternehmen und Organisationen jeder Art einen achtteiligen Fragenkatalog an die Hand, mit dem IT-Leiter und Verantwortliche herausfinden können, ob die strengen Regularien von NIS2 auch für sie gelten. Allen Unternehmen und Einrichtungen, die unter die NIS2-Regelung fallen, liefert es für die Frage, was sie im Vorfeld der Rechtswirksamkeit von NIS2 schon jetzt tun können, weitere Hilfestellung und Antworten.

Hoher Bedarf, hohe Nachfrage

Der Bedarf scheint hoch. Sowohl BSI-Chefin Claudia Plattner als auch Bundes-CIO Markus Richter vermeldeten Erfolge in Form von mehreren zehntausend Zugriffen schon an den ersten Tagen (zum Beispiel auf LinkedIn: Plattner, Richter). Direkt auf der BSI-Seite steht die NIS2-Betroffenheitsprüfung. Hier finden sich „konkrete, an der Richtlinie orientierte Fragen, um Ihr Unternehmen einzuordnen“. Die Fragen sind „kurz und präzise gehalten und werden bei Bedarf im Kleingeschriebenen tiefer gehend erläutert“. Gewissheit, ob ein Unternehmen oder eine Organisation von NIS2 betroffen ist, gibt es dann binnen weniger Minuten.

In den Fragen müssen Unternehmen angeben, ob sie Betreiber kritischer Anlagen sind, Anbieter öffentlich zugänglicher Telekommunikationsdienste oder öffentlicher Telekommunikationsnetze, qualifizierte Vertrauensdienste-Anbieter oder eine Top-Level-Domain-Name-Registry oder DNS-Dienste anbieten. Auch wenn ein Unternehmen ein nicht qualifizierter Vertrauensdienste-Anbieter ist oder Waren und Dienstleistungen verkauft, die einer der in Anlage 1 oder 2 der NIS2-Richtlinie bestimmten Einrichtungsarten zuzuordnen sind, ist es von den NIS2-Regularien betroffen.

Wer alle Fragen mit „Nein“ beantworten kann, ist nicht von NIS2 betroffen. Allen anderen jedoch bietet das BSI umfangreiche Hilfestellungen und Recherchemöglichkeiten dafür, was denn jetzt zu tun sei. Eine FAQ-Liste erklärt ausführlich in neun Fragen den aktuellen Stand, ob man noch warten oder bereits mit der Vorbereitung anfangen solle. Links zu Quellen und Ansprechpartnern finden sich hier ebenso wie weitere Informationen für die Betroffenheits-Checks und Begriffserklärungen (Was bedeutet „wichtig“, „wesentlich“ und „besonders wichtig“ im Kontext des NIS2?). Sehr wichtig dabei sind auch die Sektionen, die erklären welche Pflichten und Nachweise betroffene Unternehmen wann und wohin liefern müssen, sowie die noch unbeantwortete Diskussion, ab wann NIS2 verbindlich gelte.

Unter der Vielzahl von Informationen des BSI finden sich auch Unterstützungsangebote für die Wirtschaft, aber auch klare Anweisungen für die nächsten Schritte und grundlegende Erklärungen zu Kritischen Infrastrukturen (KRITIS) im Allgemeinen.

Jetzt aktiv werden, trotz Warten auf Bundestag

Die in der Diskussion teils hart umstrittene nationale Umsetzung der europäischen NIS2-Richtlinie hatte sich zuletzt aufgrund starker Meinungsverschiedenheiten der Beteiligten verzögert, sodass der bisher erwartete Termin verschoben werden musste. Das Bundesinnenministerium hatte schon vor Wochen bestätigt, dass die Richtlinie nicht im Oktober in Kraft treten werde.

Unabhängig vom Warten auf den Bundestag sollten Betroffene jetzt aktiv werden, schreibt das BSI, man müsse verantwortliche Personen und Teams benennen, die Rollen und Aufgaben definieren, aber auch Bestandsaufnahme machen und Prozesse zur fortlaufenden Verbesserung einrichten. Die Vorbereitung auf die anstehende Meldepflicht sollte dabei höchste Priorität haben.

Umfangreiche Informationen auch von Greenbone

Auch Greenbone hat dem Thema NIS2 in den letzten Monaten zahlreiche Blogposts und Anleitungen gewidmet, vom Cyber Resilience Act über die Bedrohungslage für Kommunen bis hin zu effizienten Maßnahmen und grundsätzlich allem, was Betroffene jetzt über NIS2 wissen müssen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Elmar Geese

„Nur 62 Minuten“: Vom Sicherheitsanbieter zum Sicherheitsproblem

„Ihr Unternehmen kann innerhalb von nur 62 Minuten ruiniert werden“: Damit wirbt der Sicherheitsanbieter Crowdstrike. Nun hat der US-amerikanische Hersteller durch ein fehlerhaftes Produktupdate selbst einen geschätzten Schaden in Höhe eines mehrstelligen Milliardenbetrags verursacht – mit rasender Geschwindigkeit.

Am 19. Juli um 04:09 Uhr (UTC) verteilte der Security-Spezialist CrowdStrike ein Treiber-Update für seine Falcon-Software für Windows-PCs und -Server. Nur 159 Minuten später, um 06:48 UTC, meldete Google Compute Engine das Problem, das „nur“ bestimmte Windows-Computer und -Server mit der CrowdStrike Falcon-Software betraf.

Fast fünf Prozent des weltweiten Flugverkehrs wurde dadurch kurzerhand lahmgelegt, 5.000 Flüge mussten gecancelt werden. Supermärkte von Deutschland bis Neuseeland mussten schließen, weil die Kassensysteme versagten. Ein Drittel aller japanischen MacDonalds-Filialen schloss kurzfristig die Türen. Unter den betroffenen US-Behörden befinden sich das Department of Homeland Security, die NASA, die Federal Trade Commission, die National Nuclear Security Administration und das Department of Justice. In Großbritannien waren sogar die meisten Arztpraxen betroffen.

Das Problem

Der Vorfall weist auf ein brennendes Problem: Die Zentralisierung von Services und die zunehmende Vernetzung der dahinterstehenden IT-Systeme macht uns verwundbar. Wenn ein Dienstleister in der digitalen Lieferkette betroffen ist, kann die gesamte Kette brechen, was dann zu groß angelegten Ausfällen führt. Betroffen war in der Folge auch die Microsoft Azure-Cloud, in der tausende virtuelle Server erfolglos versuchten neu zu starten. Prominente Betroffene reagieren daraufhin recht eindeutig. So will Elon Musk die CloudStrike-Produkte von all seinen Systemen verbannen.
Erschreckender ist jedoch die Tatsache, dass eine Sicherheitssoftware in Bereichen eingesetzt wird, für sie nicht vorgesehen ist. Zwar wirbt der Hersteller recht drastisch mit der Bedrohung durch Dritte, übernimmt aber für die Probleme, die die eigenen Produkte verursachen können, und deren Folgeschäden keine Verantwortung. CrowdStrike rät in den AGB ausdrücklich davon ab, die Lösungen in kritischen Bereichen einzusetzen. Dort steht wörtlich – und in Großbuchstaben: „DIE CROWDSTRIKE-ANGEBOTE UND CROWDSTRIKE-TOOLS SIND NICHT FEHLERTOLERANT UND NICHT FÜR DEN EINSATZ IN GEFÄHRLICHEN UMGEBUNGEN AUSGELEGT ODER VORGESEHEN.“

Die Haftungsfrage

Nicht für kritische Infrastrukturen geeignet, aber gerne dort eingesetzt: Wie kann das passieren? Fahrlässige Fehler mit großen Schäden, aber keine Haftung des Herstellers: Wie kann das sein? 
Oft wird im Kontext von Open Source unzutreffend argumentiert, dass hier die Haftungsfrage im Falle von Fehlfunktionen und Risiken ungeklärt sei, obwohl die meisten Hersteller, die Open Source mit ihren Produkten in Verkehr bringen, sehr wohl Gewährleistung dafür übernehmen. 

Wir können einiges tun, um es besser zu machen, wenn wir die Probleme angehen, die durch mangelnde Qualität und die Abhängigkeit von einzelnen großen Herstellern entstehen. Natürlich wird eine Open Source Supply Chain kritisch betrachtet, und das ist auch gut so. Aber gegenüber einer proprietären Supply Chain hat sie klare Vorteile. Der Vorfall ist ein schlagendes Beispiel dafür. Dass ein Open Source Unternehmen planmäßig ein Update ausrollt, in dem basale Komponenten einfach nicht funktionieren, lässt sich durch entsprechende Toolchains leicht verhindern, und das geschieht auch so. 

Die Konsequenzen

Was also können wir aus dem Desaster lernen und welche Schritte sind als nächste zu tun? Hier sind einige Vorschläge:

  1. Qualität verbessern: Der beste Hebel, um Druck auf die Hersteller zu machen, ist, über eine verschärfte Haftung die Motivation für Qualität zu erhöhen. Hier bietet der Cyber Resilience Act (CRA) erste Ansätze.
  2. Safety first: Im vorliegenden Fall bezieht sich diese Regel vor allem auf den technischen Ansatz bei der Produktentwicklung. Tief in die Kundensysteme einzugreifen, ist sicherheitstechnisch umstritten. Viele Kunden lehnen das ab, die Betroffenen offensichtlich (noch) nicht. Sie haben jetzt den Schaden. Dabei gibt es Alternativen, die zudem auf Open Source basieren.
  3. Software nur bestimmungsgemäß einsetzen: Wenn ein Hersteller vom Einsatz im kritischen Umfeld abrät, dann ist das keine Floskel in den AGB, sondern ein Ausschlussgrund.
  4. Zentralisierung mit Augenmaß: Es gibt Vor- und Nachteile einer Zentralisierung der digitalen Supply Chain, die gegeneinander abgewogen werden müssen. Wenn Abhängigkeit auf mangelnde Vertrauenswürdigkeit trifft, entstehen Risiken und Schäden. Anwendende Behörden und Unternehmen stehen dann hilflos in der Warteschlange, ohne Alternativen, und ohne eigene Souveränität.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von