Smart Working, welche sind die Risiken der Arbeit in der Cloud?
Die Pandemie hat die Arbeitsweise in Italien und auf der ganzen Welt verändert. Smart Working hat in vielen Fällen zu einer Steigerung der Produktivität und Effizienz geführt, hat aber auch zu einem erheblichen Anstieg gezielter Cyber-Angriffe geführt. Hinter den heimischen Mauern hat ein Mitarbeiter nicht dasselbe Schutzniveau wie das sicherste Unternehmensnetzwerk. In den letzten Monaten haben sich Fälle von Cyber-Angriffen auf Mitarbeiter im Homeoffice vervielfacht: Die meisten beginnen mit einer harmlosen Phishing-E-Mail, verbreiten sich jedoch wie ein Dominoeffekt, und die Folgen für das Unternehmen können verheerend sein.
Ransomware immer häufiger in Unternehmen
Paolo steht morgens auf, frühstückt und überprüft seine E-Mails. Er erwartet eine dringende E-Mail von einer Kollegin mit einer Präsentation, die er dem Kunden zeigen muss. Die E-Mail kommt pünktlich, die Präsentationsdatei ist dabei, aber es ist nicht wirklich die Präsentation: In einer scheinbar harmlosen PowerPoint-Präsentation verbirgt sich eine Ransomware, die eine Zero-Day-Vulnerability ausnutzt, eine den meisten Antivirus-Systemen unbekannte Schwachstelle, die beginnt, alle Daten auf der Festplatte zu verschlüsseln und sogar über VPN die Firmenserver erreicht. Das Unternehmen rettet sich nur, weil die Backup-Server dank der Weitsicht des Sicherheitsverantwortlichen außerhalb des Netzwerkperimeters liegen und nicht betroffen sind. Das geforderte Lösegeld der Täter hätte 300.000 Euro betragen.
Paolo ist unschuldig: Er hat eine E-Mail von einer Kollegin mit der erwarteten Präsentation erhalten, der Virenscanner hat die E-Mail nicht blockiert und er hat die Datei geöffnet. Das Sicherheitsteam des Unternehmens hat nach einer gründlichen Untersuchung herausgefunden, dass eine Kollegin von Paolo eine "Fallen"-E-Mail auf ihrem Arbeits-Laptop geöffnet hat, die eine "Auto-Weiterleitung"-Regel für alle Nachrichten an eine von Cyberkriminellen verwaltete externe E-Mail-Adresse erstellt hat. Diese Leute hatten in zwei Wochen Zugang zu aller Unternehmenskorrespondenz und hatten dank dieser das Organigramm des Unternehmens rekonstruiert, die von den Personen ausgeübten Rollen identifiziert und wussten genau, woran jeder arbeitete. Sie wussten von der Präsentation, sie wussten von der PowerPoint, sie wussten, dass Paolo diese E-Mail erwarten und öffnen würde. Mit diesen Daten haben die Kriminellen einen perfekten Angriff ausgeführt.
Vom Client kann bis zu den Servern zurückverfolgt werden
Ein ähnliches Problem wie Paolo hatte auch Alessandra, eine Mitarbeiterin eines anderen italienischen Unternehmens, das anonym bleiben wollte. Sie hat versehentlich auf eine E-Mail geklickt und einen anderen Zero-Day-Angriff gestartet, indem sie auf ihrem Computer einen Malware installierte, der langsam, mit einer langsamen seitlichen Bewegung, eine lange Eskalation von Privilegien begann und schließlich vollen Zugang zum Domänencontroller des Unternehmens erhielt. Mit Techniken des Passwortdiebstahls hat der Malware die Passwörter des Administratorkontos abgerufen, die Deinstallation der Antiviren auf allen verbundenen Clients erzwungen und mit einem bekannten Ransomware alle Server und Computer im Netzwerk zu verschlüsseln begonnen. Das Unternehmen verfügte über kein fortschrittliches Analysesystem auf Basis von Machine Learning, bemerkte nichts und fand sich mit einer vollständig blockierten Infrastruktur, über 180 kompromittierten Clients und 65 ebenfalls kompromittierten virtuellen Maschinen wieder.
Eine solide Backup-Strategie ist wichtig. Auch für Daten in der Cloud
Wir haben zwei fiktive Namen, Paolo und Alessandra, verwendet, aber die beschriebenen Szenarien sind keine "urbanen Legenden", sondern zwei reale Situationen, die der italienische IT-Service-Provider ACS Data Systems zusammen mit Veeam bewältigen musste: Zuerst wurde das gesamte Unternehmen vom Internet getrennt, dann wurden die Firewalls abgeschaltet und schließlich wurde zusammen mit dem technischen Team von Microsoft eine vollständige Analyse des Problems durchgeführt, die betroffenen Maschinen identifiziert, die Server wiederhergestellt und alle Daten von den Backups wiederhergestellt, die sehr aufmerksam außerhalb des Unternehmensnetzwerks und somit sicher vor solchen Angriffen gehalten wurden. Aber selbst wenn die Daten in der Cloud gespeichert gewesen wären, wären sie nicht sicher vor böswilligen Löschungen oder Verschlüsselungen: Ein Backup ist trotzdem notwendig, das am besten nicht auf derselben Plattform und im selben Umfeld wie die Daten ist.
Artikel veröffentlicht auf Digital Day.