Check Points Cyber Security Summit fand – wie dieser Tage so ziemlich alles außer Tiernahrung – virtuell statt, laut Check Point nahmen über 1.000 Zuschauer teil. In seiner Keynote umriss Gil Shwed, Gründer und CEO des israelischen Security-Anbieters, die durch Remote Work deutlich vergrößerte Angriffsfläche und warnte gar vor einer „Cyber-Pandemie“.
Shwed legte zwei Folgen der Corona-Krise dar: Erstens gebe es deutlich intensivere Hacker-Aktivitäten, Unternehmen seien dadurch „viel anfälliger für Phishing-Angriffe“; das zweite Risikofeld: „Alles ist viel offener“, so Shwed. Denn in größeren Unternehmen greifen statt nur ein paar Hundert nun Tausende oder gar Zehntausende Mitarbeiter aus der Ferne auf teils sensitive Unternehmensressourcen zu – und dabei, so der Check-Point-Chef, sei nicht immer garantiert, dass die Heimcomputer angemessen gesichert sind. Unter dem Strich ergebe sich damit eine in gleich zwei Dimensionen deutlich vergrößerte Angriffsfläche. Dies bringe Unternehmensinterna in Gefahr.
Man habe, so Shwed, in den letzten Monaten Connectivity an die erste Stelle gerückt, müsse aber nun für die nötige Sicherheit sorgen: „Denn sonst werden wir es mit einer neuen Cyber-Pandemie zu tun haben, und ich glaube, diese Cyber-Pandemie steht vor der Tür.“ Schließlich habe es bereits Fälle gegeben, in denen Unternehmen mittels ihrer Remote-Access-Infrastruktur kompromittiert wurden, darunter auch erfolgreiche Angriffe auf kritische Infrastrukturen.
Als Gegenmittel gegen die drohende Cyber-Pandemie sieht der Check-Point-Chef natürlich das hauseigene Security-Produktportfolio, erlaube es Check Points Infinity-Architektur doch, sämtliche Elemente im Unternehmensnetzwerk zu schützen. Hinzu komme, dass Experten von Check Point und dessen globalem Partnernetzwerk den Security-Status eines Unternehmens heutzutage innerhalb weniger Tage überprüfen könnten, während dies früher Monate in Anspruch genommen habe.
Die gute Nachricht, so der CEO: Die Krise habe auch gezeigt, dass die Menschen dank globaler Vernetzung weltweit gut zusammenarbeiten konnten, obwohl die Grenzen geschlossen waren. „Vor zwanzig Jahren hätten wir das nicht so gut überstanden“, schätzt Shwed. Und man habe in den letzten Monaten viel dazugelernt, um sich der neuen Situation anzupassen. Er erwartet deshalb mehr Zusammenarbeit rund um den Globus – künftig eben viel häufiger virtuell als bislang üblich.
Missbrauch von „Corona“-Domains
Peter Sandkuijl, SE Director EMEA bei Check Point, ging anschließend näher auf die Sicherheitsaspekte und -folgen der Krise ein. Man habe bereits bis Ende März fast 200.000 Angriffe mit Corona-Bezug festgestellt, darunter auch Ransomware-Angriffe auf Krankenhäuser. Zugleich habe es einen deutlichen Anstieg neu registierter URLs mit „corona“ im Namen gegeben. Deren Missbrauch habe sich gewandelt: Phishing-Sites haben laut Sandkuijl ihre Opfer zunächst mit vorgeblichen Informationen zu Corona gelockt, später aber auch mit Fake-Versionen zum Beispiel von Websites für die finanzielle Kompensation von Corona-Auswirkungen.
Angesichts des Bedarfs, Remote-Access-Infrastrukturen schnell zu skalieren, habe Check Point bei den Unternehmen eine zunehmende Offenheit gegenüber Cloud-Services festgestellt. „Die Cloud zu nutzen, muss viel normaler werden“, sagte Sandkuijl, warnte aber zugleich unter Bezug auf Gartner-Zahlen vor den damit verbundenen Risiken: Das Analystenhaus hatte vor fünf Jahren geschätzt, dass 95 Prozent der Cloud-Sicherheitslücken auf Fehlbedienung durch das Anwenderunternehmen zurückgehen; letztes Jahr hob Gartner diese Zahl sogar auf 99 Prozent an.
Zugleich wusste Sandkuijl aber auch von Fällen des verbleibenden einen Prozents von Cloud-Provider-Fehlern zu berichten. So habe Facebook letztes Jahr über 500 Millionen Nutzeridentitäten aufgrund eines fehlkonfigurierten Datenspeichers verloren. Und auch der letzthin so beliebte Videokonferenzdienst Zoom hatte bekanntlich mit Sicherheitsproblemen zu kämpfen (LANline berichtete). Unter anderem, so Sandkuijl, habe der Umstand, dass die Vergabe von Passwörtern für Zoom-Konferenzen optional war, das sogenannte „Zoombombing“ erleichtert (also das unerlaubte Eindringen in Zoom-Konferenzen). Zoom hat auf die Kritik an Sicherheitsmängeln mit einem groß angelegten Sicherheitsprogramm reagiert, laut Sandkuijl nicht zuletzt auch als Reaktion auf Feedback von Check-Point-Seite.
Microsoft wiederum habe man im Rahmen einer Responsible Disclosure auf zwei Lücken in Azure Stack hingewiesen, die – da Azure Stack die gleiche Basis nutzt wie Microsofts Azure-Cloud – unzählige Unternehmen hätten betreffen können. Das Ergebnis der Zusammenarbeit mit Microsoft waren laut Sandkuijl zwei CVEs, die Microsoft natürlich behoben habe.
Als inhärentes Risiko von SaaS-Angeboten wie etwa des beliebten Office 365 bezeichnete es Sandkuijl, dass viel mehr Unternehmenskommunikation, etwa E-Mails, das Unternehmensnetz verlässt. Denn dies schränke die Effektivität des Monitorings ein, und die Angreiferseite wisse dies zu nutzen. Als Beispiel nannte er den Fall der „Florentine Banker Group“. Das Vorgehen: Via Phishing gelangen die Angreifer ins Unternehmensnetz und damit auch an die Office-365-Logins. In der folgenden „Reconaissance“-Phase spionieren sie die Unternehmenskultur aus: Wie spricht man im Unternehmen? Sind die E-Mails lang oder kurz? Wie kommuniziere ich, ohne aufzufallen? Danach folge das Aufstellen der Falle mittels einer Fake-Website, um den Datenverkehr dorthin umzuleiten. Diese Injektion lasse sich in der Cloud leichter verschleiern, etwa in einem Ordner, „in den nie jemand schaut“, so Sandkuijl. Dies ebne dann den Weg für den Diebstahl von Geldüberweisungen. Abschließend versuche solch eine Angreifergruppe, den Angriff zu wiederholen, solange das Verfahren funktioniert.
Kritik an „Shared Responsibility“
Besonders kritisch ging Sandkuijl beim Thema Cloud-Security mit dem Begriff „Shared Responsibility“ ins Gericht. Der Anglizismus beschreibt den Umstand, dass bei der Cloud-Service-Nutzung der Cloud-Provider wie auch das Anwenderunternehmen jeweils einen Teil der Verantwortung für die Informationssicherheit tragen. Sandkuijl bemängelte aber, dass das englische Wort „shared“ eine Gemeinsamkeit suggeriere, die gar nicht vorhanden ist (wie etwa ein „Fileshare“ ein gemeinsam genutzter Datenspeicher ist): Es gehe gar nicht um „Shared Responsibility“, so der Check-Point-Mann, sondern um „Split Responsibility“, also „aufgeteilte Verantwortung“. Anders formuliert: Ein Anwenderunternehmen ist für die Informationssicherheit genutzter Cloud-Services allein selbst verantwortlich, Punkt.