Cybersicherheit bei MSPs: Beste Praktiken bei gezielten Ransomware-Angriffen

MSP cybersecurity Best practices for mitigating targeted ransomware attacks


MSPs (Managed Service Provider), die häufig mit der Bereitstellung von IT-Sicherheitsdiensten betraut sind, sehen sich immer häufiger als Ziel von Ransomware-Gruppen. Diese haben es zunehmend auf den MSP-Markt abgesehen, wo die Kriminellen mit einem einzelnen erfolgreichen Angriff ihre Ransomware auf Dutzende Unternehmen verteilen können.

Auch wenn das für die MSP eine enorme Herausforderung darstellt, so eröffnet es jedoch auch neue Möglichkeiten. Indem die Anbieter ihre internen Sicherheitsprotokolle zur Priorität machen, um sich selbst besser zu schützen, bieten sie folglich auch ihren Kunden einen höheren Schutz. Sicherheitsbewusste MSPs können sich auf diese Weise auch von Mitbewerbern abheben, die anfälliger für Angriffe sind.

In diesem Artikel werden wir der Frage nachgehen, weshalb es Ransomware-Gruppen auf MSPs abgesehen haben und wie sich die Angriffe am besten abwehren oder entschärfen lassen.

Weshalb werden MSPs angegriffen?

Es ist nur logisch, dass MSPs ein interessantes Ziel für Ransomware-Gruppen sind. 2018 hat das Ministerium für Innere Sicherheit der Vereinigten Staaten eine Warnmeldung herausgegeben , dass MSPs seit Mai 2016 im Visier von Kriminellen sind.

Seit Veröffentlichung dieser Warnung sind bereits Dutzende MSPs Opfer von Ransomware geworden, wodurch wiederum Zehntausende Endpunkte verschlüsselt wurden und Ransomware-Gruppen Millionen US-Dollar ergaunern konnten.

Leider ist noch lange kein Ende für diesen Trend in Sicht. Doch weshalb sind MSPs so beliebte Ziele?

Leichter Zugang zu Zielen

Über die Infrastruktur der MSPs können sich Angreifer direkten Zugriff auf die Kunden verschaffen. Mithilfe der rechtmäßigen Zugangsdaten eines kompromittierten MSP können Angreifer frei auf die zwischen Anbieter und Kunde freigegebenen Netzwerke zugreifen. Darüber lässt sich dann mit nur wenig Aufwand Ransomware verteilen.

Wie das Ministerium anmerkte, „haben MSPs im allgemeinen einen direkten und uneingeschränkten Zugriff auf die Netzwerke der Kunden und können Kundendaten in ihrer eigenen internen Infrastruktur speichern. Indem MSPs eine große Anzahl von Kunden betreuen, können sie sehr wirtschaftlich und kostensparend arbeiten. Auf diese Weise kann jedoch eine Beeinträchtigung in einem Bereich des Netzwerks des MSP sich im gesamten System ausbreiten und folglich andere Kunden gefährden und zum Risiko werden.“

Druckmittel

Das Motiv für die meisten Ransomware-Angriffe ist Geld. Während Unternehmen in der Regel davon abgeraten wird, das Lösegeld zu bezahlen, sind MSPs eher dazu geneigt. Anderenfalls hätte es erhebliche Ausfallzeiten für ihren gesamten Kundenstamm zur Folge, was nicht nur den Ruf des Anbieters irreparabel schädigen würde.

Laut einem Bericht von SolarWinds und The 2112 Group hat ein US-amerikanischer MSP im Durchschnitt 52 aktive Kunden. Ein Ransomware-Angriff auf einen dieser MSPs kann folglich kolossalen wirtschaftlichen Schaden anrichten.

Mangel an Ressourcen

Viele MSPs sind meistens erheblich kleiner als die Unternehmen, die sie betreuen. Dem Bericht zufolge haben 65 Prozent der MSPs weniger als 10 Vollzeitangestellte.

Kleinere MSPs arbeiten in der Regel mit beschränkten Ressourcen, haben kein dediziertes Sicherheitspersonal und sind oftmals so ausgelastet, dass sie gar nicht die Zeit haben, strenge Cybersicherheitsvorkehrungen zu unterhalten.

Infolgedessen sind MSPs leichtere Ziele als große Unternehmen und bieten Angreifern gleichzeitig Zugang zu möglicherweise Hunderten oder Tausenden Endpunkten.

Größte Ransomware-Bedrohungen für MSPs

Ryuk

Ryuk ist berühmtberüchtigt dafür, große Unternehmen anzugreifen und Lösegelder zu fordern, die zum Zeitpunkt seiner erstmaligen Entdeckung im August 2018 mehr als das Zehnfache des Durchschnitts betrugen. Ryuk infiziert für gewöhnlich Systeme, die Opfer von Emotet oder Trickbot geworden sind. Diese beiden Trojaner werden meistens per Phishing-E-Mails verbreitet. Etliche MSPs wurden bereits von Ryuk betroffen, wie Data Resolution, CorVel und CloudJumper.

Sodinokibi

Sodinokibi, manchmal auch als REvil bezeichnet, trat erstmals im April 2019 in Erscheinung. Angreifer versuchen mit Sodinokibi, RDP-Schwachstellen bei den MSPs auszunutzen und privilegierte Zugangsdaten zu stehlen. Über die bei dem MSP allgemein eingesetzte RMM-Software (Fernüberwachung und -verwaltung) verteilen sie dann die Ransomware auf die Endpunkte von dessen Kunden. Viele MSPs sind bereits Sodinokibi zum Opfer gefallen, wie Complete Technology Solutions, PerCSoft und Synoptek.

Beste Praktiken zur Abwehr von Ransomware

Die Einhaltung grundlegender und bewährter Cybersicherheitsmaßnahmen kann bereits viel zum Schutz der Endpunkte beitragen – der eigenen ebenso wie denen der Kunden. Die folgenden Empfehlungen sind nicht allumfassend, sondern lediglich eine Sammlung bester Praktiken zur Abwehr und Entschärfung von Ransomware-Angriffen.

1. Sichere Fernverwaltungstools

Eine der wirkungsvollsten Maßnahmen für MSPs zur Entschärfung von Ransomware ist sicherzustellen, dass die Fernverwaltungstools so sicher wie möglich sind. Dazu gehört:

2. Beschränkter Netzwerkzugriff

Für Ransomware-Angriffe auf MSPs werden häufig gestohlene Zugangsdaten eingesetzt. Dienstleister sollten daher generell unter der Annahme agieren, dass ihre Konten irgendwann einmal kompromittiert werden, und folglich den Netzwerkzugang entsprechend beschränken.

3. PowerShell deaktivieren, sofern nicht benötigt

PowerShell ist ein integriertes Framework von Microsoft zur Aufgabenautomatisierung und Konfigurationsverwaltung. Während es viele legitime Einsatzbereiche gibt, wird PowerShell häufig auch von Angreifern zum Verbreiten von Ransomware eingesetzt, da es Makros und aus dem Speicher heraus sogenannte Payloads ausführen sowie vollständigen Zugriff auf viele Windows-Systemfunktionen gewähren kann.

Sofern MSPs es nicht für ihren regulären Betrieb benötigen, sollten sie PowerShell deaktivieren. Ist PowerShell erforderlich, müssen alle PowerShell-Aktivitäten genau überwacht werden, um verdächtiges Verhalten so schnell wie möglich erkennen und stoppen zu können.

4. Sichere Endpunkte

Ransomware kann auf viele verschiedene Arten verbreitet werden. Die meisten Angriffe erfolgen jedoch immer noch auf dem herkömmlichem Weg, nämlich indem Benutzer durch bösartige E-Mails getäuscht werden. MSP können ihre Mitarbeiter wie folgt schützen:

5. Software sorgfältig auswählen

MSPs verlassen sich zur Erfüllung der unterschiedlichen Bedarfe ihrer Kunden auf eine Vielzahl von Tools. Da jedes dieser Tools einen möglichen Angriffspunkt für Kriminelle bietet, ist es besonders wichtig, dass MSPs die Sicherheitsmaßnahmen der Anbieter genau überprüfen, bevor sie sich für ein Programm entscheiden.

6. Externe Sicherungen anlegen

Ein wirkungsvolles Sicherungssystem ist ein unerlässlicher Bestandteil jeder Strategie zur Ransomware-Abwehr. MSP sollten sich daher unbedingt bewusst machen, dass sich Angreifer bei einer Kompromittierung der RMM-Software höchstwahrscheinlich auch Zugriff auf die Sicherungen des MSP verschafft haben.

Sollte sich Angreifern die Gelegenheit bieten, Sicherungen zu löschen oder sich ein weiteres Druckmittel zu verschaffen, werden sie diese auch nutzen. Darüber hinaus sind einige Ransomware-Versionen darauf ausgelegt, auch lokal und in der Cloud gespeicherte Sicherungen zu verschlüsseln.

Die sogenannte 3-2-1-Regel ist die einfachste und wirkungsvollste Methode, um Sicherungen vor Ransomware zu schützen. Diese sieht wie folgt aus:

In dieser umfangreichen Anleitung finden Sie weitere Informationen, wie Unternehmen ihre Sicherungen vor Ransomware schützen können.

7. BYOD-Richtlinien umsetzen

Cloud basierte Tools sind in MSP-Umgebungen allgegenwärtig. Doch jedes Gerät, das auf die Unternehmensressourcen zugreift, stellt ein mögliches Sicherheitsrisiko dar.

MSPs sollten also nicht nur sicherstellen, dass alle vom Unternehmen bereitgestellten und zur Arbeit eingesetzten Geräte angemessen geschützt sind, sondern auch Richtlinien für Mitarbeiter vorgeben, die für extern ausgeführte Aufgaben Privatgeräte verwenden.

Hilfreiche Maßnahmen, um Privatgeräte abzusichern und das Gefährdungsrisiko zu reduzieren, sind beispielsweise die Einschränkung des Netzwerkzugriffs, die Geräteverschlüsselung sowie die obligatorische Nutzung von VPN und MFA.

8. Notfallplan ausarbeiten und testen

Selbst wenn ein MSP alles richtig gemacht hat, kann er dennoch Opfer von Ransomware werden. Sollte das geschehen, muss er über einen Notfallplan verfügen, um schnell und effizient darauf reagieren zu können.

In dem Bericht des Ministeriums für Innere Sicherheit der Vereinigten Staaten finden Sie weitere Informationen zur Entwicklung eines Ransomware-Notfallplans (auf Englisch). Lesen Sie außerdem unseren Blogartikel, was es bei der Frage, ob ein Lösegeld bezahlt werden sollte oder nicht, zu bedenken gilt.

Fazit

Die Sicherheit von MSPs ist untrennbar mit der ihrer Kunden verwoben. Ist ein MSP kompromittiert, werden höchstwahrscheinlich auch dessen Kunden dem Angriff zum Opfer fallen, was zu erheblichen Ausfallzeiten und Lösegeldforderungen führt.

Unternehmen setzen viel Vertrauen in MSPs. Es ist daher unerlässlich, dass dieses Vertrauen auch gewürdigt wird und die MSPs alles in ihrer Macht stehende tun, um das Risiko eines Ransomware-Vorfalls zu mindern. In einer Zeit, da Cybersicherheit für Unternehmen jeder Branche zunehmende Bedeutung erlangt, können sich Anbieter, die einen aktiven Sicherheitsansatz verfolgen, zudem einen erheblichen Wettbewerbsvorteil verschaffen.

 

Übersetzung: Doreen Schäfer

Jareth

Jareth

Freier Schriftsteller und Sicherheits-Enthusiast in Auckland, Neuseeland.

Weitere Artikel