Diese Veranstaltung ist Teil des europäischen Monat für Cybersicherheit. Die Transferstelle Cybersicherheit im Mittelstand und ihre Partner beteiligen sich mit über 30 Veranstaltungen, exklusiven Blogartikeln und mehreren Highlights aus dem gesamten Netzwerk Mittelstand-Digital und darüber hinaus!
Was Sie erwartet
Any sufficiently bad software update is indistinguishable from a cyberattack
— Leigh Honeywell on X
Wenn wir an IT-Sicherheit denken, fallen dabei schnell Stichworte wie Endpoint Detection and Response (EDR), Security Information and Event Management (SIEM) oder Extended Detection and Response (XDR). Ebenso stützen wir uns auf Virtual Private Networks (VPN), Firewalls und Gateways. Wir erhoffen uns Sicherheit durch diese Produkte. Aber auch Compliance (z.B. mit ISO 27001 oder PCI DSS) trägt sicherlich zum Interesse an solchen Lösungen bei.
Unsere Abhängigkeit von XDR, SIEM und so weiter bedeuten zusätzliche Komplexität. Und Komplexität führt immer zu einer erhöhten Angriffsfläche. Denn wenn XDR & Co. selbst zum Problem werden, steht im Zweifel der ganze Betrieb still. Dass dies keine rein akademische Überlegung ist, zeigt ein Blick in die Vergangenheit:
- CrowdStrike Falcon im Juli 2024, der International Blue-Screen Day:
Millionen Systeme fahren nach einem fehlerhaften Update nicht mehr hoch und müssen händisch instand gesetzt werden [1]. Microsoft schätzt 8,5 Millionen betroffene Systeme [2]. - 2019/2020: Citrix ADC und Citrix Gateway (heute beide NetScaler) enthalten
einen Software-Fehler [3][4] (CVE-2019-19781), den Kriminelle für Ransomware nutzen. In Deutschland ist unter anderem ein Krankenhaus in Düsseldorf betroffen [5][6] Dieselbe Software ist 2023 wiederum von einer Schwachstelle betroffen [7][8][9] (CVE-2023-496). - Durch eine Hintertür in der Monitoring Software Solar Winds Orion
[10] gelangen Kriminelle auf Systeme der Nutzer dieser Software. 18000 Kunden sind betroffen, darunter Microsoft und diverse Regierungsbehörden der USA [11].
Erfahren Sie mehr …
In diesem Webimpuls diskutieren wir Abhängigkeiten von externen Anbietern. Wir
geben Denkanstöße, die helfen sollen, im eigenen Unternehmen Risiken zu erkennen. Mit Beispielen für existentielle Abhängigkeiten wollen wir helfen, auch subtile Gefahrenquellen zu entdecken. Denn Abhängigkeiten lassen sich nicht völlig
vermeiden. Wenn man aber um sie weiß, kann man das Schadenspotential reduzieren. Wir plädieren für ein konservatives, redundantes und resilientes Systemdesign.
Impuls mit
Prof. Dr. Marcus Gelderie ist an der Hochschule Aalen Professor im Studiengang Internet der Dinge. Er forscht und publiziert im Rahmen von diversen Forschungsprojekten zu Themen rund um die Absicherung von Privacy, Sandboxing und der nutzerzentrierten IT-Sicherheit. Dabei liegt sein Fokus vor allen Dingen auf Security-Policys, deren automatisierter Erstellung und deren formaler Verifikation, sowie auf der Vermeidung von menschlichen Fehlern als Ursache für IT-Sicherheitsvorfälle.“
Quellen
- CrowdStrike-Ausfälle: Microsoft veröffentlicht Wiederherstellungstool | heise online
- Helping our customers through the CrowdStrike outage – The Official Microsoft Blog
- Workaround verfügbar: Kritische Lücke in Citrix ADC und Gateway | heise online
- Jetzt patchen! Erste Sicherheitsupdates für kritische Citrix-Lücke erschienen | heise online
- Cyber-Angriff auf Uniklinik Düsseldorf: #Shitrix schlug zu | heise online
- BSI – Bundesamt für Sicherheit in der Informationstechnik – Cyber-Angriff auf Uniklinik Düsseldorf: BSI warnt vor akuter Ausnutzung bekannter Schwachstelle (archiviert)
- Guidance for Addressing Citrix NetScaler ADC and Gateway Vulnerability CVE-2023-4966, Citrix Bleed | CISA
- BSI – Bundesamt für Sicherheit in der Informationstechnik – Version 1.1: Aktive Ausnutzung einer Schwachstelle in Citrix NetScaler ADC und NetScaler Gateway
- CitrixBleed: Ransomware-Banden attackieren Citrix NetScaler | heise online
- FireEye etc.: Trojaner in SolarWinds-Updates ermöglicht Cyberangriffe | heise online
- Cyber-Attacke über SolarWinds: Angreifer hatten Zugriff auf Microsoft-Quellcode | heise online