Was Cybersicherheitsvorfälle angeht, war das Jahr 2023, nun ja, interessant. Zwar haben sich einige der von uns erwarteten Trends bestätigt – wie Ransomware, immer raffiniertere Malware und staatlich/politisch motiviertes Hacking –, doch gab es auch eine unglaubliche Anzahl faszinierender und äußerst folgenschwerer Sicherheitsverletzungen durch Dritte. In diesem Beitrag werde ich die fünf schlimmsten Cybersicherheitsvorfälle durch Dritte im Jahr 2023 untersuchen und prüfen, welche Lehren wir daraus ziehen können.
#1 MOVEit
Die weitreichenden Auswirkungen der MOVEit-Sicherheitslücke waren im Jahr 2023 das Äquivalent zu einem sich langsam anbahnenden Zugunglück im Bereich der Cybersicherheit. Im Mai begann eine Ransomware-Bande namens Cl0p, einen Zero-Day-Exploit der Unternehmensdateiübertragungslösung MOVEit Transfer von Progress Software zu missbrauchen. Progress Software hat zahlreiche Patches herausgegeben, aber zum Zeitpunkt der Erstellung dieses Artikels haben mehr als 2.000 Organisationen gemeldet, angegriffen worden zu sein.
Oberflächlich betrachtet war dieser Vorfall nichts Besonderes. Zero-Day-Angriffe kommen häufig vor. Betroffene Unternehmen veröffentlichen reflexartig Sicherheitslücken und Benachrichtigungen. In diesem Fall jedoch folgten immer neue Meldungen. Viele Unternehmen vertrauten auf einen Softwareanbieter, der sich aufgrund kritischer Schwachstellen, die regelmäßig ausgenutzt wurden, in einer schwierigen Lage befand. Dies führte zu Datenlecks, kompromittierten internen Systemen und weiteren Problemen.
Dieser Angriff auf die Software-Lieferkette ist ein perfektes Beispiel dafür, warum es so wichtig ist, möglichst viel Transparenz in Ihrer Software-Lieferkette zu schaffen – damit Sie potenzielle Schwachstellen leichter erkennen, die Praktiken des Anbieters entsprechend bewerten und potenziellen Problemen zuvorkommen können. Beginnen Sie damit, eine Liste der verwendeten Dienste und Software zu erstellen.
Ermitteln Sie, was Sie über den Softwareentwicklungslebenszyklus (SDLC) des Anbieters und die Komponenten seiner Lösung wissen. Verlangen Sie Nachweise für eine sichere Softwareentwicklung, -verpackung und -auslieferung, die häufig in einer Software-Stückliste (SBOM) zu finden sind. Ohne die richtigen Qualitätssicherungsprozesse (QA) könnte Ihr Softwareanbieter anfällig für Missbrauch sein – und das bedeutet, dass auch Ihr Unternehmen anfällig für Missbrauch ist.
#2 Verstöße im Casino
Ransomware-Angriffe sind zwar an sich nichts Neues (ich zögere, sie als „alte Nachrichten“ zu bezeichnen, da sie nach wie vor enorme Auswirkungen haben), doch gibt es immer wieder neue und interessante Aspekte hinsichtlich ihrer Ursachen. Bei den viel beachteten Ransomware-Angriffen auf MGM Resorts und Caesars Entertainment gehörten zu diesen neuen und interessanten Aspekten eindeutig Schwachstellen bei Drittanbietern. Ein Teil des Vorfalls war das Ergebnis von Social Engineering, das sich auf Dritte mit Fernzugriff auf die Casino-Umgebungen konzentrierte, ähnlich wie bei dem berühmten Angriff auf Target im Jahr 2013, bei dem Angreifer einen externen HVAC-Anbieter ins Visier nahmen.
Zum Zeitpunkt der Erstellung dieses Artikels hat Caesars 15 Millionen Dollar gezahlt, und MGM hat durch diesen Vorfall, der von den Hackergruppen ALPHV und Scattered Spider verübt wurde, möglicherweise 100 Millionen Dollar verloren. Zu den kompromittierten Daten gehörten Namen, Führerscheinnummern, Geburtsdaten sowie einige Sozialversicherungsnummern und Passnummern. Auch einige Mitarbeiterdaten wurden gestohlen.
Dieser Vorfall verdeutlicht einen der Grundsätze eines IT-Sicherheitsprogramms: Schulungen – insbesondere für den Helpdesk. Außerdem sollte er daran erinnern, wie wichtig Multi-Faktor-Authentifizierung (MFA) und strenge Authentifizierungsrichtlinien, Kontrollen und Validierungen für privilegierte Benutzer sind.
#3 Okta
Eine der größten Cybersicherheitsgeschichten des Jahres betrifft Okta. Zusätzlich zu zahlreichen schwerwiegenden Sicherheitslücken und Bekanntgaben von Datenlecks gab das Unternehmen kürzlich bekannt, dass ein Anbieter im Gesundheitswesen Informationen von 5.000 Okta-Mitarbeitern offengelegt hat. Im ersten Vorfall stahlen Angreifer Zugangsdaten, um auf das Support-Fallmanagementsystem zuzugreifen und von Kunden hochgeladene Sitzungstoken zu stehlen. Dieser Vorfall betraf alle Okta-Kunden. Dies folgt auf einen ähnlichen Angriff im Jahr 2022, bei dem Okta bestätigte, dass Hacker Quellcode gestohlen hatten, der mit einer Sicherheitsverletzung durch einen Drittanbieter in ihrem Netzwerk in Verbindung stand.
Vorfälle wie dieser verdeutlichen die Anfälligkeit von Organisationen für einzelne Fehlerquellen. In diesem Fall spielen Identitäts- und Zugriffsmanagement-Lösungen (IAM) eine zentrale Rolle für die meisten Interaktionen zwischen Mitarbeitern und Systemen, da sie als Zugangspunkte zu den sensibelsten Systemen und Daten dienen. Wie bei den oben genannten Sicherheitsverletzungen im Casino sollten Organisationen ihre Berechtigungen für Dritte und privilegierte Zugriffsebenen gemeinsam überprüfen.
#4 Stadtpolizei
Es ist nie eine gute Nachricht, wenn Strafverfolgungsbehörden Datenverstöße und Sicherheitsvorfälle erleben. Die Londoner Polizei erlebte in diesem Jahr einen Verstoß aufgrund eines offensichtlichen Ransomware-Angriffs auf einen IT-Lieferanten, Digital ID. Zu den kompromittierten Informationen gehörten eine Reihe sensibler Daten, darunter die Namen von Beamten und Mitarbeitern, Fotos, Dienstgrade, Sicherheitsüberprüfungsstufen und Identifikationsnummern.
Um proaktiver gegen ähnliche Angriffe vorgehen zu können, müssen Sie zunächst wissen, wer über Ihre personenbezogenen Daten verfügt, und diese Anbieter sorgfältig überwachen – einschließlich einer kontinuierlichen Überwachung von Bedrohungen und Beobachtung von Cybersignalen, um Hinweise darauf zu identifizieren, dass kompromittierte Daten im Dark Web zum Verkauf angeboten werden. Berücksichtigen Sie außerdem die Sensibilität der Daten und die Beziehungen zu den Anbietern. Jeder Anbieter, der mit IAM zu tun hat, sollte in die Risikokategorie 1 zur Überwachung fallen.
#5 Henry Schein
Der Medizinproduktehersteller und -vertreiber Henry Schein erlitt im Oktober aufgrund einer von ALPHV (BlackCat) orchestrierten Ransomware-Attacke Betriebsstörungen. Im November gab das Unternehmen eine weitere Attacke bekannt. Zum Zeitpunkt der Erstellung dieses Artikels gab es noch keine Bestätigung dafür, dass in diesem zweiten Fall sensible Daten abgerufen wurden. Der Vorfall im Oktober hatte Auswirkungen auf eine Vielzahl von Zahnarzt-, Arzt- und Tierarztpraxen in vielen verschiedenen Ländern und reduzierte deren E-Commerce-Kapazitäten um 75 %.
4 Schritte für mehr Proaktivität bei Cybersicherheitsvorfällen durch Dritte
Wenn uns die fünf größten Sicherheitsverletzungen des Jahres 2023 eines gelehrt haben, dann ist es, dass man Angreifern immer einen Schritt voraus sein muss. Abgesehen von den eher funktionalen Sicherheitsverbesserungen, die ich in den oben genannten Beispielen für Sicherheitsverletzungen erwähnt habe, sollten Sie sicherstellen, dass Ihr TPRM-Programm im Jahr 2024 den Schwerpunkt auf die folgenden Aktivitäten legt.
-
Etablieren Sie organisatorische Governance und Abstimmung. Beginnen Sie mit einer gründlichen Überprüfung Ihres Beschaffungsteams und/oder Ihrer Beschaffungsprozesse. Legen Sie den Initiierungsprozess für Lieferantenbewertungen fest, definieren und überprüfen Sie Vertragsbedingungen, identifizieren Sie verfügbare Ressourcen für den Fall einer Verletzung oder Schwachstelle, die durch ein Lieferantenprodukt verursacht wird, legen Sie die Häufigkeit von Lieferantenbewertungen nach Vertragsabschluss fest und dokumentieren Sie Verfahren zur Überprüfung durch Dritte.
-
Überprüfen Sie regelmäßig Dritte. Führen Sie an mehreren Punkten im Lieferantenlebenszyklus Risikobewertungen für Dritte durch. Legen Sie zunächst eine Liste mit Kontrollen fest, deren Einhaltung Dritte nachweisen müssen. Legen Sie dann die Häufigkeit der Sicherheitsüberprüfungen für interne und regulatorische Compliance-Anforderungen fest. Definieren Sie schließlich einen Prozess zur Behebung von Mängeln und zur Schlichtung für den Umgang mit Dritten, die derzeit die Sicherheitsanforderungen nicht erfüllen.
-
Verlangen Sie als Mindestanforderung Erklärungen zur Softwaresicherheit (z. B. eine SBOM, einen SOC 2-Bericht oder eine ISO-Zertifizierung). Seien Sie bereit, die Fähigkeit des Entwicklers/Anbieters zu bewerten, künftig entdeckte Probleme zu beheben, und verschaffen Sie sich Zugang zu „Gold Images” der Hersteller als Nachweis für eine sichere Softwareentwicklung, -verpackung und -auslieferung.
-
Nutzen Sie Risikoeinstufungen. Nutzen Sie Technologiedienstleistungen, die Risikobewertungen oder -einstufungen von Lieferanten im Vergleich zu anderen Branchenorganisationen anbieten.
Nächste Schritte: Sehen Sie sich das Webinar an
Weitere Erkenntnisse aus den einschneidendsten Cybersicherheitsvorfällen durch Dritte des Jahres finden Sie in meinem On-Demand-Webinar„Lehren aus den fünf schlimmsten Cybersicherheitsvorfällen durch Dritte im Jahr 2023”.
Wenden Sie sich unbedingt an Prevalent, um einen Termin für eine Vorführung zu vereinbaren, bei der Ihnen gezeigt wird, wie das Unternehmen Ihrem Unternehmen dabei helfen kann, Ihr Programm zum Management von Risiken durch Dritte zu stärken.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
