Thought Leadership
Vor fast genau einem Jahr im Mai und Juni 2023 stand MOVEit ganz oben in den IT-Security-Schlagzeilen. Auch damals ging es um Schwachstellen. Auch damals gab es schnell Angriffe. Auch damals warnte das BSI davor und riet den betroffenen Kunden in Deutschland, schnellstmöglich zu aktualisieren. Ist das ein Déjà-vu? Oder hat beim BSI einfach jemand die Jahreszahl verwechselt?
Weder noch. Und wenn man sich näher mit dem Vorgehen von Tätern im Zusammenhang mit Sicherheitslücken befasst, kann man auch nicht behaupten, dass dies ungewöhnlich ist. Cyberkriminelle sind Pragmatisten. Einmal erfolgreiche Geschäftsmodelle werden nachgemacht. Je mehr Aufmerksamkeit ein Cyberangriff in ihren Kreisen verursacht, desto höher die Lust nachzueifern. Und der MOVEit-Angriff von 2023 hatte es in sich. Die Verursacher, eine Untergrundorganisation namens „Clop“ (wahlweise mit o oder 0), stahlen Daten von (nach aktuellsten Erkenntnissen) etwa 1.000 Unternehmen, darunter viele aus dem Bereich des Finanzwesens und der Energiebranche.
Über Wochen gab es Nachrichten dazu, weil immer wieder Firmen erklärten, nun auch betroffen zu sein. Und es floss Geld. Nach Untersuchungen der Firma Chainalysis waren das Millionen. Wofür? Offenbar gibt es bereitwillige Zahler, die entweder verhindern wollen, dass andere in den Besitz dieser Daten kommen oder im Gegenteil, Käufer, die gerne diese Daten möchten. Es sollte deshalb niemanden überraschen, dass eine Möglichkeit des Angriffes auf eine Schwachstelle bei MOVEit die „Schmeißfliegen“ der Branche anzieht.
Schwachstellen als Geschäftsmodell
Im Jahr 2023 wurden mehr als 28.000 Schwachstellen mit einer CVE-Nummer beziffert. Für die Kriminalität haben diese eine unterschiedliche Bedeutung. Viele der Schwachstellen stecken in sehr exotischen Produkten… sie eignen sich fast ausschließlich in gezielten Angriffen. Die Mehrzahl ist nur mit komplexen technischen Mitteln verwendbar. Darauf haben die meisten Kriminellen keine Lust. Echte Arbeit ist nicht so ihr Ding – sonst müsste man nicht kriminell werden. Die spannendsten Schwachstellen sind in weit verbreiteten Produkten und einfach zu verwenden. Liegt so etwas vor, dann stürzt man sich drauf. Aber natürlich tun das auch alle anderen.
Und nachdem auch bei Verbrechern Marktgesetze wie Angebot und Nachfrage eine Rolle spielen, wird je nach Anzahl der kriminellen Angreifer die Anzahl der verwundbaren „Kunden“ kleiner. Passiert das im „normalen Markt“ versucht man die Nachfrage zu steigern in dem man neue Funktionen anbietet und gleiches sehen wir auch hier. Je mehr Opfer die Schwachstelle geschlossen haben, desto größer die Nachfrage nach den neuen Funktionen, die den Hahn wieder aufdrehen. Und danach wird gezielt gesucht. Es ist also kein Wunder, dass wieder MOVEit im Fokus steht.
Häufiger und schneller als man denkt
Ein Großteil der bereits genannten 28.000 Sicherheitslücken sind deshalb nicht unbedingt „neu“ im Sinne von „unvorhersehbar“. Werden Lücken geschlossen, weil sie als brandgefährlich gelten oder bereits von Angreifern genutzt werden, dann zählt Geschwindigkeit. Man schließt erstmal das nötigste und patcht nach, sobald dafür Luft ist, oder neue Angreifer es erzwingen. Für die offensivere Fraktion bedeutet das auch, dass für existierende Patches, eine gewisse Wahrscheinlichkeit besteht, mit modifizierten Angriffen durchzukommen. Und auch danach wird gesucht.
Zunehmend häufiger findet sich dabei auf beiden Seiten künstliche Intelligenz. Sie ist noch nicht in der Lage eigenständig Angriffe zu entwickeln aber sie unterstützt, indem sie die dafür nötigen Prozesse beschleunigt. Ernstzunehmende Angriffe stehen deshalb oft nur Stunden nach Bekanntwerden einer Lücke zur Verfügung. Das Katz-und-Maus-Spiel geht weiter und die eigentlichen Opfer, die Unternehmen, die diese Patche installieren müssen, kommen nicht mehr hinterher. Die so genannte „Meant Time to Patch“ (MTTP) – die durchschnittliche Zeit für das Ausrollen eines Patches liegt bei etwa 33 Tagen für Lücken, die als gefährlich eingestuft werden. Die Angriffsgeschwindigkeiten ist sogar bei „normalen“ Patchen – also solchen, die der betroffene Hersteller selbst findet und veröffentlicht – im Bereich von Stunden.
