![\"Cyberanbieter](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/\/shutterstock-1119547937-1024x705.jpg\" "\\"Bild")
<\/p>\n<\/p>\n
Die IT-Sicherheit von Cyberanbietern ist einem gro\u00dfen Druck ausgesetzt, denn die Anzahl der Angriffe auf die Cybersicherheit nimmt zu.<\/strong><\/p>\n Die Destabilisierung von IT-Sicherheitsunternehmen und die Beeintr\u00e4chtigung ihrer Sicherheitsl\u00f6sungen ist seit einiger Zeit ein Hauptaugenmerk des Malware-\u00d6kosystems. Dieser Trend wird sich auch im Jahr 2021 fortsetzen. Kann man folglich sagen, dass die Anbieter von Cybersicherheitsl\u00f6sungen dabei sind, zu den Hauptzielen f\u00fcr Cyberattacken werden? Da diese L\u00f6sungsanbieter ein wichtiger Teil der Verteidigung eines Unternehmens gegen Cybersicherheitsangriffe sind, haben Cyberkriminelle ein gro\u00dfes Interesse daran, sie zu schw\u00e4chen und zu beeintr\u00e4chtigen<\/strong>. Es liegt somit in der Verantwortung der L\u00f6sungsanbieter, Cybersicherheit noch besser zu unterst\u00fctzen.<\/p>\n \u00a0<\/strong><\/p>\n Im April 2021 stellt das auf Code-Auditing spezialisierte Unternehmen Codecov fest, dass Hacker Zugriffe auf sein Bash-Uploader-Skript erzwungen haben<\/a> und dass dieses Skript wiederholt modifiziert wurde, um Malware einzuschleusen. Ein Problem, dem rund 29.000 Unternehmen, Kunden und m\u00f6glicherweise alle parallel gesch\u00e4digten Personen des Angriffsangriffs gegen\u00fcberstehen wie z. B. Rapid7<\/a> ein Cybersicherheitsanbieter, dessen Quellcode f\u00fcr b\u00f6sartige Zwecke ausgenutzt wurde. F\u00fcr viele Experten ist dieser Angriff auf Codecov ein \u201eSolarWinds-Szenario\u201c, das sich wiederholt und auch in Zukunft noch einmal auftreten kann. Cyberkriminelle haben es n\u00e4mlich verstanden: Ein Angriff auf einen Cybersicherheitsanbieter ist mit vielen Vorteilen verbunden<\/strong>.<\/p>\n <\/p>\n Im Grunde genommen wird ein Cybersicherheitsanbieter unabh\u00e4ngig von seinem T\u00e4tigkeitsbereich von Unternehmen als eine Referenz wahrgenommen, da sie ihn als unerreichbar, unangreifbar betrachten k\u00f6nnen. Dies ist ein wahrer Gl\u00fccksfall f\u00fcr Cyberkriminelle, die ein wachsendes Interesse daran sehen, Anbieter von Cybersicherheit anzugreifen, sich in deren L\u00f6sungen einzuschleusen und gleichzeitig mehrere Kundenunternehmen zu infizieren.<\/p>\n Nat\u00fcrlich \u201esind die Folgen eines Angriffs auf einen Cybersicherheitsanbieter je nach dessen Gesch\u00e4ft nicht gleich\u201c, <\/em>pr\u00e4zisiert Adrien Brochot<\/strong>, Product Manager Endpoint Security bei Stormshield. Diese Angriffe auf die Lieferkette k\u00f6nnen viele Formen und Szenarien annehmen. In einem ersten einfachen Cyberangriffsszenario versuchen Hacker, direkten Zugriff auf die Upgrade- oder Lieferkette neuer Software zu erlangen und sich dann Zugang zu Kundeninfrastrukturen zu verschaffen. Das zweite Szenario betrifft einen Anbieter von Cloud-Cyberl\u00f6sungen, der Opfer eines DDoS-Angriffs wird. Anwenderunternehmen h\u00e4tten danach keinen Zugriff mehr auf ihre verschiedenen, vom Anbieter gehosteten Dienste gehabt und daher nicht mehr ordnungsgem\u00e4\u00df funktionieren k\u00f6nnen. Im dritten Szenario k\u00f6nnte der Angriff auf den Anbieter einer Antivirus-Software zu einer \u00dcbernahme der Arbeitspl\u00e4tze des anvisierten Unternehmens f\u00fchren, wobei die Administratorrechte von Antivirus-Software genutzt werden... Ein Angriff, der somit die Infrastrukturen der Kundenunternehmen verletzlich machen w\u00fcrde. Der Hypothese einer Ver\u00e4nderung des Software-Updates hat sich am Beispiel der Firma Click Studios, die Tausende von Unternehmen mit dem Kennwortmanager Passwordstate beliefert, im vergangenen April bewahrheitet, als die Firma bei einem Update durch eine Malware infiziert wurde<\/a>.<\/p>\n Ein Angriff auf einen Cybersicherheitsanbieter kann auch bedeuten, dass man dessen Quellcode untersucht, um sensible Kundendaten zu stehlen oder eine Zero-Day-Schwachstelle zu identifizieren, die ausgenutzt werden k\u00f6nnte, oder um Informationen f\u00fcr kommerzielle oder industrielle Spionagezwecke zu erfassen. Dies ist die gleiche Logik, die in Bezug auf Zero-Days f\u00fcr jeden L\u00f6sungsanbieter gilt, aber sie ist sogar noch kritischer, wenn es sich um einen Cybersicherheitsanbieter handelt. Vor allem, wenn dessen Quellcode f\u00fcr Cyberkriminelle einfach zu \u201eknacken\u201c zu sein scheint, wie das Eindringen in die Netzwerke von Microsoft, SonicWall oder auch Stormshield Ende 2020<\/a>. Was Stormshield betrifft, so waren die Auswirkungen des Angriffs begrenzt, und bei den mit dem ANSSI durchgef\u00fchrten Untersuchungen wurde keine Code\u00e4nderung beobachtet. Der Quellcode von L\u00f6sungsanbietern \u00fcbt eine besondere Anziehungskraft aus, auch wenn die verwendeten Bibliotheken und die vorgeschlagenen Funktionalit\u00e4ten oft auf Open Source basieren. Doch der b\u00f6swillige Schritt h\u00f6rt f\u00fcr Cyberkriminelle, die es schaffen, Cybersicherheitsanbieter zu beeintr\u00e4chtigen, noch lange nicht bei dem Quellcode auf. Wenn sie auch deren L\u00f6sungen beispielsweise durch die Einschleusung durch eine Hintert\u00fcr beeintr\u00e4chtigen, k\u00f6nnen sie andere Organisationen, die Kunden des L\u00f6sungsanbieters sind, ins Visier nehmen und ihren Angriff auch weiter ausbreiten. Und dies kann dramatischen Folgen haben...<\/p>\n \u00a0<\/strong><\/p>\n Damit eine Cybersicherheitsl\u00f6sung effektiv ist, muss sie genau auf die Infrastruktur des Kunden abgerichtet werden, um ein Maximum an Informationen zu erfassen. Cybersicherheitsl\u00f6sungen werden daher so konzipiert, dass sie m\u00f6glichst nahe bei sehr empfindlichen Verm\u00f6genswerten eines Unternehmens eingesetzt werden. Ein Angriff auf eine Cybersicherheitsl\u00f6sung ist daher eine M\u00f6glichkeit, direkten Zugriff auf eine gro\u00dfe Menge an Informationen auf den mit diesen L\u00f6sungen gesch\u00fctzten Computern <\/strong>und auf ein hohes Ma\u00df an Berechtigungen zu haben<\/strong> und somit die Kontrolle dar\u00fcber zu \u00fcbernehmen, sie zu deaktivieren und die Sicherheitsbarrieren zu knacken und anschlie\u00dfend unbemerkt b\u00f6sartige Aktionen auf einem Informationssystem durchzuf\u00fchren. Cyberkriminelle k\u00f6nnen auch L\u00f6sungen \u201eknacken\u201c, indem sie eine bekannte Schwachstelle in der L\u00f6sung ausnutzen, die von den Unternehmen, die die L\u00f6sung einsetzen, nicht gepatcht wurde. Dies zeigt auf, wie wichtig es f\u00fcr Administratoren ist, ihre Sicherheitsl\u00f6sungen regelm\u00e4\u00dfig zu aktualisieren,<\/a> und f\u00fcr L\u00f6sungsanbieter, Schwachstellen aufzusp\u00fcren und zu beheben. Eine bekannte Sicherheitsl\u00fccke in der VPN-L\u00f6sung Pulse Connect Secure von Pulse Secure wurde k\u00fcrzlich f\u00fcr b\u00f6sartige Zwecke ausgenutzt<\/a>.<\/p>\n Kurz gesagt, wenn es um Angriffe auf Cybersicherheitsl\u00f6sungen geht, ist f\u00fcr Cyberkriminelle alles m\u00f6glich, denn sie k\u00f6nnen jede T\u00fcr nutzen, um ihre Angriffe zu verbreiten. T\u00fcren, die manchmal von den Sicherheitsl\u00f6sungsanbietern selbst schlecht verschlossen werden...<\/p>\n \u00a0<\/strong><\/p>\n Es handelt sich also um Hintert\u00fcren, die sich aus verschiedenen Gr\u00fcnden in einem Sicherheitsprodukt befinden k\u00f6nnen, wie uns S\u00e9bastien Viou<\/strong>, Cyberverk\u00fcnder und Consultant bei Stormshield, in Erinnerung ruft: \u201eEs kann sich dabei um unbeabsichtigte Hintert\u00fcren, die bei der Produktentwicklung durch den Hersteller verwendet und zum Zeitpunkt der Ver\u00f6ffentlichung vergessen wurden, und um absichtliche Hintert\u00fcren handeln, die von einem Hersteller wissentlich hinterlassen werden, um in das System eines Kunden eingreifen zu k\u00f6nnen.\u201c<\/em> Eine solche Hintert\u00fcr wird beispielsweise w\u00e4hrend der Entwicklung der L\u00f6sung als Debugging-Zugang verwendet und dann versehentlich in die Produktion gebracht. Umgekehrt kann sich ein L\u00f6sungsanbieter die M\u00f6glichkeit vorbehalten, im Falle eines Problems bei einem Kunden einzugreifen, indem er eine Hintert\u00fcr vorh\u00e4lt, diese aber nicht dokumentiert. Hinzu kommen staatlich gef\u00f6rderte Hintert\u00fcren, die den Softwareanbietern staatlich auferlegt wurden und insbesondere durch die Edward-Snowden-Aff\u00e4re und die Abh\u00f6r- und Aussp\u00e4hpraktiken der NSA im Jahr 2013 entdeckt wurden \u2013\u00a0 Praktiken, die im Zuge der Aufdeckungen in Zusammenhang mit der Operation Dunhammer heute erneut auf der Tagesordnung stehen. Zum Zeitpunkt der Snowden-Aff\u00e4re war der prominenteste Fall zum Hintert\u00fcr-Thema der Anbieter Juniper Netzwerke, dessen L\u00f6sungen teilweise von der NSA installierte Hintert\u00fcren enthielten, die den Zugriff auf die Daten der Anbieterkunden erm\u00f6glichten.<\/p>\n Eine Backdoor ist eine Schwachstelle in einer L\u00f6sung, die nat\u00fcrlich versteckt ist, aber dennoch eine Schwachstelle bietet.<\/em><\/p>\n Unabh\u00e4ngig von den Gr\u00fcnden f\u00fcr das Vorhandensein einer Hintert\u00fcr in einem Sicherheitsprodukt stellt diese auf jeden Fall ein Risiko dar, wenn sie in die H\u00e4nde eines b\u00f6swilligen Akteurs f\u00e4llt<\/strong>.\u00a0\u201eEine Backdoor stellt ein zus\u00e4tzliches Risiko dar, da sie es erm\u00f6glicht, unsichtbar in eine L\u00f6sung einzubrechen<\/em>\u201c, sagt Simon Dansette<\/strong>, Product Manager Network Security bei Stormshield. \u201eWenn ein Hacker erkennt, dass eine Hintert\u00fcr in der L\u00f6sung vorhanden ist, kann er diese ausnutzen, um die L\u00f6sung f\u00fcr b\u00f6swillige Zwecke zu knacken. Mit anderen Worten, eine Backdoor ist eine Schwachstelle in einer L\u00f6sung, die zwar versteckt ist, aber dennoch eine Schwachstelle bietet<\/em>.\u201c Wie die ANSSI im Jahr 2016 in einer unterzeichnet von Guillaume Poupard unterzeichneten Notiz<\/a> erinnerte, habe eine Hintert\u00fcr in einem Verschl\u00fcsselungssystem\u00a0\u201eden verh\u00e4ngnisvollen Effekt, den Entwicklern von Sicherheitsprodukten und -diensten eine Schw\u00e4chung der kryptographischen Mechanismen aufzuerlegen<\/em>.\u201c Ein Risiko folglich, dass sich vermeiden l\u00e4sst.<\/p>\n \u00a0<\/strong><\/p>\n \u201eSeit einigen Monaten zeigt sich ein deutlicher und erwiesener Trend, Anbieter von Cybersicherheitsl\u00f6sungen anzugreifen. Die Frage, die wir uns jetzt stellen m\u00fcssen, lautet, wann diese Art von Angriffen stattfinden wird und wie sich die L\u00f6sungsanbieter dagegen sch\u00fctzen werden\u201c,<\/em> warnt S\u00e9bastien Viou. Tats\u00e4chlich m\u00fcssen sich Anbieter von Sicherheitsl\u00f6sungen mehr denn je dar\u00fcber bewusst sein, dass sie ins Visier von Cyberkriminellen geraten k\u00f6nnen, und ihre Verteidigungshaltung entsprechend anpassen.<\/p>\n Die Frage, die wir uns jetzt stellen m\u00fcssen, lautet, wann diese Art von Angriffen stattfinden wird und wie sich die L\u00f6sungsanbieter dagegen sch\u00fctzen werden.<\/em><\/p>\n Die Sensibilisierung von Einzelpersonen \u2013 ob Mitarbeiter eines L\u00f6sungsanbieters oder die L\u00f6sung einsetzende Endkunden \u2013 scheint ein nicht zu untersch\u00e4tzender Schritt zu sein. \u201eEinige Angriffe auf die Lieferkette erfolgen \u00fcber den Faktor Anwender\u201c,<\/em> erinnert Adrien Brochot. Anbieter sollten ihren Kunden weiterhin empfehlen, die IT-Sicherheitsrichtlinien nach den notwendigen Best Practices zu gestalten, insbesondere die systematische Aktualisierung ihrer L\u00f6sung nach der Ver\u00f6ffentlichung von Patches. Damit k\u00f6nnen sie ein Szenario wie das von Fortinet und seiner FortiOS-L\u00f6sung<\/a> vermeiden. Ein Beispiel daf\u00fcr, wie wichtig die Sensibilisierung f\u00fcr die Cyberverwundbarkeit nach wie vor ist<\/strong>.<\/p>\nDer Grund f\u00fcr einen Angriff seitens Cyberkriminellen auf Cyberakteure...<\/h2>\n
... und auf deren Sicherheitsl\u00f6sungen<\/h2>\n
Eine T\u00fcr kann wieder eine andere verbergen: die besagten Hintert\u00fcren<\/h2>\n
Simon Dansette<\/strong>, Product Manager bei Netzwerk Security Stormshield<\/pre>\n<\/blockquote>\n
Bewusstseinsbildung, Sicherheit, Vertrauen: der notwendige Gegenangriff der Sicherheitsl\u00f6sungsanbieter<\/h2>\n
S\u00e9bastien Viou<\/strong>, Cyberverk\u00fcnder und Consultant bei Stormshield<\/pre>\n<\/blockquote>\n