Warnung von internationalen Sicherheitsagenturen

Wird das Cyberrisiko für MSP steigen?

Internationale Sicherheitsagenturen gaben eine Warnung und Empfehlungen für MSP heraus. Security-Experten sehen dafür keinen akuten Grund, die Meldung scheint prophylaktisch zu sein.
Von Cynthia  Brumfield
CSO | 16. Mai 2022 12:44 Uhr
Managed Service Provider gelten als besonders gefährdet, da Cyberkriminelle über ihre Tools zahlreiche Kunden mit Malware infizieren können.
Managed Service Provider gelten als besonders gefährdet, da Cyberkriminelle über ihre Tools zahlreiche Kunden mit Malware infizieren können.
Foto: G-Stock Studio - shutterstock.com

Die Stellungnahme kam überraschend. Gemeinsam warnten die Cybersicherheitsbehörden des Vereinigten Königreichs (NCSC-UK), Australiens (ACSC), Kanadas (CCCS), Neuseelands (NCSC-NZ) und der Vereinigten Staaten (CISA, NSA, FBI) vor einer Zunahme böswilliger Cyberattacken auf Managed Services Provider.

Die Agenturen verweisen auf einen Bericht des MSP-Lösungsanbieters N-Able. In diesem heißt es, dass "fast alle MSP in den vergangenen 18 Monaten einen erfolgreichen Cyberangriff erlitten haben, und 90 Prozent seit Beginn der Pandemie eine Zunahme der Angriffe verzeichnen".

CISA-Direktorin Jen Easterly appelliert an Unternehmen, die Managed Services anbieten, für sich und ihre Kunden Sicherheitsmaßnahmen zu ergreifen. "Die Sicherung von MSP ist für unsere kollektive Cyberabwehr von entscheidender Bedeutung."

Sicherheitsmaßnahmen für MSP

Die Security-Behörden veröffentlichten eine detaillierte Liste mit geeigneten Maßnahmen, die MSP und ihre Kunden ergreifen können, um ihr Risiko zu verringern, Opfer einer Hackerattacke zu werden. Als MSP werden in der Empfehlung Unternehmen definiert, die "ITK-Dienste für ihre Kunden über eine vertragliche Vereinbarung, wie ein Service Level Agreement, bereitstellen, betreiben oder verwalten". Für diese Dienste sollten eine vertrauenswürdige Netzwerkkonnektivität sowie privilegierte Zugriffe auf Kundensysteme eingerichtet werden.

Zu den empfohlenen Sicherheitsmaßnahmen gehören:

Des Weiteren empfehlen die Sicherheitsagenturen, die NCSC-UK-Leitlinien sowie die Anleitungen der CISA zu lesen.

Keine konkrete Ursache für die Sicherheitswarnung

Warum die Cybersicherheitsagenturen die eindringliche Warnung und Maßnahmen für MSP veröffentlicht haben, ist unklar. Kyle Hanslovan, CEO und Mitbegründer des Security-Anbieters Huntress, teilte CSO mit, dass seiner Firma kein Ereignis bekannt ist, das die gemeinsame Beratung ausgelöst haben könnte. "Uns ist kein konkreter Vorfall bekannt." Es seien lediglich kleinere Vorfälle bekannt, bei denen MSP im Mittelpunkt standen.

Allerdings gab auch das Security-Unternehmen ThreatLocker in der vergangenen Woche eine Sicherheitswarnung heraus, in der es seine Kunden vor einem starken Anstieg der Ransomware-Angriffe über Remote Management Tools informierte.

Demgegenüber behaupten Vertreter von Sicherheitsfirmen wie Huntress, Sophos und Kaseya, keine Beweise für die von ThreatLocker beschriebenen MSP-Angriffe gesehen zu haben. "Wir haben Daten von mehr als 3.000 Managed Service Providern", sagt Hanslovan. "Wir sehen keinen Aufwärtstrend, der diese Warnung rechtfertigt."

Sicherheitsrisiko durch MSP

Der CEO glaubt, dass es nicht nur ein einzelnes Risiko ist, das die Security-Behörden dazu veranlasst hat, eine offizielle Warnung an MSP herauszugeben. Hanslovans Meinung nach geht es mehr um die grundsätzliche Veränderung in den Taktiken der Hacker. Diese zielten mehr und mehr darauf ab, hunderte von Unternehmen gleichzeitig angreifen zu können. Ein Managed Service Provider, der viele Kunden betreut, ist der ideale Multiplikator für Ransomware.

Hanslovans vermutet, dass die Agenturen eigene Analysen angestellt haben, die die Warnung rechtfertigen. Eine andere Möglichkeit ist, dass sie davon ausgehen, dass sich die Risiken für MSP verschärfen werden. "Ich denke, die Geheimdienste haben mit der Frühwarnung und der transparenten Identifizierung des Risikos sehr gute Arbeit geleistet", sagt Hanslovan.

Mary J. Hildebrand, Gründerin und Vorsitzende der Abteilung "Privacy and Cybersecurity Practice" bei der Anwaltskanzlei Lowenstein Sandler, ist sicher, dass Sicherheitslücken in MSP-Lösungen sowie Supply-Chain-Angriffe ein großes Problem für Unternehmen sind. "Viele Sicherheitsvorfälle und Datenschutzverletzungen ergeben sich entweder, weil ein Mitarbeiter einen Fehler gemacht hat oder aus Sicherheitsproblemen beim Anbieter."

Auch Hildebrand kennt den Grund nicht, warum ausgerechnet jetzt die fünf Staaten eine Sicherheitswarnung ausgesprochen haben. Sie geht jedoch davon aus, dass die Behörden überwiegend kleine MSP als sehr anfällige Glieder in der Lieferkette identifiziert haben. "Die Cyberangreifer sind sehr geschickt darin zu erkennen, wer das schwächste Glied ist", sagt Hildebrand. (ms)

Dieser Artikel basiert auf einem Beitrag der US-Schwesterpublikation CSO Online.