Hacker-Angriff enthüllt Sicherheitslücken: Lehren aus dem Cyber-Angriff auf US-Ministerium
Zum Jahreswechsel meldete das US-Finanzministerium, Ziel eines schwerwiegenden Cyber-Angriffs geworden zu sein. Die „Eintrittskarte“ war die Remote-Support-Software von BeyondTrust, die auch bei vielen Unternehmen im Einsatz ist. Für sie haben Experten Lehren und Ratschläge zusammengestellt, deren Beachtung vor ähnlich gelagerten Angriffen schützen soll.
Ein schwerer Cyber-Angriff auf das US-Finanzministerium sorgt für weltweites Aufsehen. Laut amerikanischen Behörden nutzten Hacker, die mit China in Verbindung stehen, Sicherheitslücken in der Remote-Support-Software von BeyondTrust, um sich Zugang zu sensiblen Dokumenten zu verschaffen. Beamte des Ministeriums sprechen von einem „großen Vorfall“.
Der Angriff zeigt erneut, wie verwundbar selbst hochrangige Regierungsbehörden durch Schwachstellen in genutzter Software sind. Der Cyber-Sicherheitsanbieter Check Point Software Technologies hat die bisher bekannten Details analysiert und warnt, dass auch Unternehmen weltweit von ähnlichen Angriffen betroffen sein könnten.
So nutzten Hacker Schwachstellen in der BeyondTrust-Software aus
Bei dem Angriff wurden zwei Sicherheitslücken in der Software von BeyondTrust ausgenutzt:
- CVE-2024-12356 (CVSS 9.8): Eine kritische Schwachstelle in der Privileged Remote Access (PRA) und Remote Support (RS) Software. Über nicht ausreichend geschützte API-Endpunkte konnten sich die Hacker Zugang verschaffen.
- CVE-2024-12686 (CVSS 6.6): Ein Fehler in der Token-Verwaltung, der es Angreifern ermöglicht, ihren Zugang im System dauerhaft aufrechtzuerhalten.
Besonders besorgniserregend ist, dass die Angreifer offenbar einen digitalen Signierschlüssel der Software erlangt haben. Dadurch konnten sie sich als legitime Nutzer mit privilegierten Rechten ausgeben und Zugriff auf sensible, wenn auch nicht klassifizierte, Dokumente erhalten.
Der Angriff zeigt ein wachsendes Muster: Regierungsbehörden gehören weltweit zu den häufigsten Zielen von Cyber-Angriffen. Laut Check Point Research wurden US-Organisationen im November 2024 im Durchschnitt 1345 Mal pro Woche attackiert. Besonders oft kommen dabei Ransomware-Angriffe zum Einsatz, um kritische Systeme zu stören oder sensible Daten zu erbeuten.
Bedrohung weltweit – auch für Unternehmen
Unternehmen, die ebenfalls auf die Remote-Support-Software von BeyondTrust setzen, stehen vor einem erhöhten Risiko, selbst Ziel von Hackern zu werden. Sobald Sicherheitslücken öffentlich bekannt werden, versuchen Angreifer oft, diese schnell auch bei anderen Organisationen auszunutzen.
Check Point empfiehlt daher, dass Firmen unverzüglich Maßnahmen ergreifen sollten, um die kritischen Schwachstellen zu schließen und ihre Abwehr zu stärken. Dabei geht es vor allem um präventive Sicherheitsmaßnahmen, die langfristig für mehr Resilienz sorgen:
Patch-Management: Sicherheitslücken schnell schließen
Der erste Schritt ist die zeitnahe Aktualisierung der eingesetzten Software. Unternehmen sollten regelmäßig auf Sicherheitsupdates der Anbieter achten und ein Verwaltungssystem für Schwachstellen nutzen, um kritische Sicherheitslücken schnell zu identifizieren und zu beheben. Zusätzlich hilft die Implementierung eines External Attack Surface Management (EASM)-Programms, um potenzielle Einfallstore von außen zu finden und abzusichern.
Zero-Trust-Ansatz: Vertrauen begrenzen
Eine Zero-Trust-Architektur stellt sicher, dass kein Nutzer oder Gerät automatisch als vertrauenswürdig eingestuft wird. Der Zugriff auf Systeme wird kontinuierlich überprüft und auch nach der Anmeldung eingeschränkt. Die Multi-Faktor-Authentifizierung (MFA) sollte dabei nicht nur für externe Anwendungen, sondern auch für interne Zugänge verpflichtend sein.
Privileged Access Management (PAM): Kritische Zugriffe kontrollieren
Privilegierte Zugänge zu sensiblen Systemen sind ein beliebtes Ziel für Hacker. Unternehmen sollten daher robuste PAM-Lösungen einsetzen, um den Zugang zu diesen Systemen streng zu kontrollieren. Dazu gehört auch, Zugangsdaten regelmäßig zu ändern, den Zugriff zu überwachen und Missbrauch schnell zu erkennen.
Datensicherheit: Unternehmensdokumente verschlüsseln
Auch wenn Hacker Zugang zu einem System erhalten, kann der Schaden begrenzt werden, wenn sensible Dokumente verschlüsselt sind. Die Verschlüsselung stellt sicher, dass kompromittierte Daten ohne den entsprechenden Schlüssel unbrauchbar bleiben.
Schutz digitaler Zertifikate: Signierschlüssel sichern
Digitale Signierschlüssel ermöglichen es Hackern, sich als vertrauenswürdige Nutzer auszugeben. Um Missbrauch zu verhindern, sollten Unternehmen auf Hardware-Sicherheitsmodule (HSMs) setzen, die diese sensiblen Schlüssel sicher verwahren.
Endpunkt-Erkennung und -Reaktion (EDR): Anomalien überwachen
Durch den Einsatz von EDR-Tools können Unternehmen untypisches Verhalten auf Endgeräten erkennen und darauf reagieren. Das ist besonders wichtig bei Systemen, die privilegierte Software nutzen. Sobald verdächtige Aktivitäten entdeckt werden, sollte umgehend eine Analyse und Reaktion erfolgen.
Verhaltensanalyse und Bedrohungsintelligenz: Risiken früh erkennen
Die Einführung einer Verhaltensüberwachung hilft dabei, unübliche API-Aufrufe oder Nutzeraktivitäten zu erkennen. Gleichzeitig sollte ein Unternehmen Threat-Intelligence-Feeds nutzen, um sich über aktuelle Bedrohungen zu informieren und auf neue Angriffe vorbereitet zu sein.
Sicherheit der Lieferkette: Drittanbieter im Blick behalten
Viele Angriffe erfolgen über Schwachstellen in der Lieferkette. Unternehmen sollten daher regelmäßig Sicherheitsbewertungen ihrer Anbieter durchführen und in Verträgen festlegen, dass Schwachstellen umgehend gemeldet werden müssen.
Vorbereitet auf Zwischenfälle: Reaktionspläne erstellen
Ein Incident-Response-Plan stellt sicher, dass Unternehmen im Falle eines Angriffs schnell reagieren können. Tabletop-Übungen, bei denen verschiedene Angriffsszenarien simuliert werden, helfen, Schwachstellen in den eigenen Prozessen zu erkennen und zu beheben.
Prävention und schnelles Handeln sind entscheidend
Nach dem Angriff auf das US-Finanzministerium sollten Unternehmen zuerst die bekannten Schwachstellen in der BeyondTrust-Software beheben. Gleichzeitig müssen sie sich auf zukünftige, bislang unbekannte Sicherheitslücken vorbereiten. Eine Kombination aus proaktivem Schwachstellen-Management, Echtzeit-Überwachung und einer Defense-in-Depth-Strategie minimiert das Risiko, Opfer eines ähnlichen Cyber-Angriffs zu werden.
Weitere Informationen dazu gibt es hier.