Home » News » Cybersecurity » Lehren aus dem Cyber-Angriff auf US-Ministerium

Hacker-Angriff enthüllt Sicherheitslücken: Lehren aus dem Cyber-Angriff auf US-Ministerium

Zum Jahreswechsel meldete das US-Finanzministerium, Ziel eines schwerwiegenden Cyber-Angriffs geworden zu sein. Die „Eintrittskarte“ war die Remote-Support-Software von BeyondTrust, die auch bei vielen Unternehmen im Einsatz ist. Für sie haben Experten Lehren und Ratschläge zusammengestellt, deren Beachtung vor ähnlich gelagerten Angriffen schützen soll.

4 Min. Lesezeit
Display in Warnfarben und der Aufschrift "Hacked"
Foto: ©AdobeStock/StockUp

Ein schwerer Cyber-Angriff auf das US-Finanzministerium sorgt für weltweites Aufsehen. Laut amerikanischen Behörden nutzten Hacker, die mit China in Verbindung stehen, Sicherheitslücken in der Remote-Support-Software von BeyondTrust, um sich Zugang zu sensiblen Dokumenten zu verschaffen. Beamte des Ministeriums sprechen von einem „großen Vorfall“.

Der Angriff zeigt erneut, wie verwundbar selbst hochrangige Regierungsbehörden durch Schwachstellen in genutzter Software sind. Der Cyber-Sicherheitsanbieter Check Point Software Technologies hat die bisher bekannten Details analysiert und warnt, dass auch Unternehmen weltweit von ähnlichen Angriffen betroffen sein könnten.

So nutzten Hacker Schwachstellen in der BeyondTrust-Software aus

Bei dem Angriff wurden zwei Sicherheitslücken in der Software von BeyondTrust ausgenutzt:

  • CVE-2024-12356 (CVSS 9.8): Eine kritische Schwachstelle in der Privileged Remote Access (PRA) und Remote Support (RS) Software. Über nicht ausreichend geschützte API-Endpunkte konnten sich die Hacker Zugang verschaffen.
  • CVE-2024-12686 (CVSS 6.6): Ein Fehler in der Token-Verwaltung, der es Angreifern ermöglicht, ihren Zugang im System dauerhaft aufrechtzuerhalten.

Besonders besorgniserregend ist, dass die Angreifer offenbar einen digitalen Signierschlüssel der Software erlangt haben. Dadurch konnten sie sich als legitime Nutzer mit privilegierten Rechten ausgeben und Zugriff auf sensible, wenn auch nicht klassifizierte, Dokumente erhalten.

Der Angriff zeigt ein wachsendes Muster: Regierungsbehörden gehören weltweit zu den häufigsten Zielen von Cyber-Angriffen. Laut Check Point Research wurden US-Organisationen im November 2024 im Durchschnitt 1345 Mal pro Woche attackiert. Besonders oft kommen dabei Ransomware-Angriffe zum Einsatz, um kritische Systeme zu stören oder sensible Daten zu erbeuten.

Bedrohung weltweit – auch für Unternehmen

Unternehmen, die ebenfalls auf die Remote-Support-Software von BeyondTrust setzen, stehen vor einem erhöhten Risiko, selbst Ziel von Hackern zu werden. Sobald Sicherheitslücken öffentlich bekannt werden, versuchen Angreifer oft, diese schnell auch bei anderen Organisationen auszunutzen.

Check Point empfiehlt daher, dass Firmen unverzüglich Maßnahmen ergreifen sollten, um die kritischen Schwachstellen zu schließen und ihre Abwehr zu stärken. Dabei geht es vor allem um präventive Sicherheitsmaßnahmen, die langfristig für mehr Resilienz sorgen:

Patch-Management: Sicherheitslücken schnell schließen

Der erste Schritt ist die zeitnahe Aktualisierung der eingesetzten Software. Unternehmen sollten regelmäßig auf Sicherheitsupdates der Anbieter achten und ein Verwaltungssystem für Schwachstellen nutzen, um kritische Sicherheitslücken schnell zu identifizieren und zu beheben. Zusätzlich hilft die Implementierung eines External Attack Surface Management (EASM)-Programms, um potenzielle Einfallstore von außen zu finden und abzusichern.

Zero-Trust-Ansatz: Vertrauen begrenzen

Eine Zero-Trust-Architektur stellt sicher, dass kein Nutzer oder Gerät automatisch als vertrauenswürdig eingestuft wird. Der Zugriff auf Systeme wird kontinuierlich überprüft und auch nach der Anmeldung eingeschränkt. Die Multi-Faktor-Authentifizierung (MFA) sollte dabei nicht nur für externe Anwendungen, sondern auch für interne Zugänge verpflichtend sein.

Privileged Access Management (PAM): Kritische Zugriffe kontrollieren

Privilegierte Zugänge zu sensiblen Systemen sind ein beliebtes Ziel für Hacker. Unternehmen sollten daher robuste PAM-Lösungen einsetzen, um den Zugang zu diesen Systemen streng zu kontrollieren. Dazu gehört auch, Zugangsdaten regelmäßig zu ändern, den Zugriff zu überwachen und Missbrauch schnell zu erkennen.

Datensicherheit: Unternehmensdokumente verschlüsseln

Auch wenn Hacker Zugang zu einem System erhalten, kann der Schaden begrenzt werden, wenn sensible Dokumente verschlüsselt sind. Die Verschlüsselung stellt sicher, dass kompromittierte Daten ohne den entsprechenden Schlüssel unbrauchbar bleiben.

Schutz digitaler Zertifikate: Signierschlüssel sichern

Digitale Signierschlüssel ermöglichen es Hackern, sich als vertrauenswürdige Nutzer auszugeben. Um Missbrauch zu verhindern, sollten Unternehmen auf Hardware-Sicherheitsmodule (HSMs) setzen, die diese sensiblen Schlüssel sicher verwahren.

Endpunkt-Erkennung und -Reaktion (EDR): Anomalien überwachen

Durch den Einsatz von EDR-Tools können Unternehmen untypisches Verhalten auf Endgeräten erkennen und darauf reagieren. Das ist besonders wichtig bei Systemen, die privilegierte Software nutzen. Sobald verdächtige Aktivitäten entdeckt werden, sollte umgehend eine Analyse und Reaktion erfolgen.

Verhaltensanalyse und Bedrohungsintelligenz: Risiken früh erkennen

Die Einführung einer Verhaltensüberwachung hilft dabei, unübliche API-Aufrufe oder Nutzeraktivitäten zu erkennen. Gleichzeitig sollte ein Unternehmen Threat-Intelligence-Feeds nutzen, um sich über aktuelle Bedrohungen zu informieren und auf neue Angriffe vorbereitet zu sein.

Sicherheit der Lieferkette: Drittanbieter im Blick behalten

Viele Angriffe erfolgen über Schwachstellen in der Lieferkette. Unternehmen sollten daher regelmäßig Sicherheitsbewertungen ihrer Anbieter durchführen und in Verträgen festlegen, dass Schwachstellen umgehend gemeldet werden müssen.

Vorbereitet auf Zwischenfälle: Reaktionspläne erstellen

Ein Incident-Response-Plan stellt sicher, dass Unternehmen im Falle eines Angriffs schnell reagieren können. Tabletop-Übungen, bei denen verschiedene Angriffsszenarien simuliert werden, helfen, Schwachstellen in den eigenen Prozessen zu erkennen und zu beheben.

Prävention und schnelles Handeln sind entscheidend

Nach dem Angriff auf das US-Finanzministerium sollten Unternehmen zuerst die bekannten Schwachstellen in der BeyondTrust-Software beheben. Gleichzeitig müssen sie sich auf zukünftige, bislang unbekannte Sicherheitslücken vorbereiten. Eine Kombination aus proaktivem Schwachstellen-Management, Echtzeit-Überwachung und einer Defense-in-Depth-Strategie minimiert das Risiko, Opfer eines ähnlichen Cyber-Angriffs zu werden.

Weitere Informationen dazu gibt es hier.

Andere interessante News

Backup & Recovery

Backup und Recovery: Fünf Trends für 2025

Strengere Vorschriften und wachsende Cybergefahren erhöhen den Druck auf Unternehmen, ihre Daten bestmöglich zu schützen. Doch traditionelle Ansätze reichen nicht mehr aus. Experte...

Symbol für Hacking nach Login am Laptop

Cyberangriffe: Login statt Einbruch

Eine aktuelle Analyse zeigt, Cyberkriminelle brauchen keine Einbruchswerkzeuge – sie nutzen Zugangsdaten. Kompromittierte Nutzerkonten sind ihr Hauptzugang zu Unternehmenssystemen,...

Digitale Ordner-Struktur mit grünen Haken

Neue Open-Source-Bibliothek validiert Domänenkontrolle

Die neue Domain Control Validation (DCV)-Bibliothek ermöglicht eine verlässliche Verifizierung von Domain-Eigentümern – ein entscheidender Schritt für mehr Transparenz, IT-Complian...