Der Angriff auf Kaseya wirft ein Schlaglicht auf mögliche Lücken im Modell der Managed Service Provider

  • Ein Mann geht durch eine Serverfarm in der Schweiz. Nach Schätzungen des Unternehmens wurden zwischen 50 und 60 Kunden von Kaseya, die Fernüberwachung und -verwaltung vor Ort betreiben, von einem REvil-Ransomware-Ableger angegriffen. (Amy Sacka für Microsoft)

    Die spezielle Taktik der Ransomware-Bande, die es auf Kaseya Kunden abgesehen hatte, veranschaulicht eine ungelöste Schwachstelle in vielen Software-Vertriebsmodellen von Managed Service Providern: Beziehungen, die auf gegenseitigem Vertrauen beruhen, bergen per Definition Risiken.

    Und dieses Risiko kann oft unbehandelt bleiben.

    “Sie haben hier ein Problem, denn MSPs sind für ihre Kunden verantwortlich. Und Kaseya bietet diesen Service an, für den die MSPs bezahlen”, sagt Dede Haas, Channel-Stratege bei DHL Services und Experte für MSP-Strategien. “Es gibt eine Vertrauenskette, die jetzt unterbrochen wurde.”

    Wo liegen also die Schwachstellen in den Beziehungen zwischen Anbietern und MSP, die zu Risiken führen könnten, und welche Taktiken könnten helfen, die Lücken zu schließen? SC Media sprach mit Supply-Chain-Experten, um die komplexen Zusammenhänge zu untersuchen.

    Eine gemeinsame Verantwortung

    Nach Schätzungen des Unternehmens wurden am Freitag zwischen 50 und 60 Kunden von Kaseya, die Fernüberwachung und -verwaltung vor Ort nutzen, von einem REvil-Ransomware-Ableger angegriffen. Weit über tausend Kunden von Managed Service Providern, die Kaseya VSA nutzen, wurden mit Ransomware infiziert.

    “Als ich das sah, dachte ich: ‘Oh, das ist nicht gut'”, fügte Haas hinzu. “Wenn Kaseya gehackt wird, geht es nicht nur um die Informationen des MSP, sondern auch um die seiner Kunden und Klienten.”

    All diese Faktoren haben Kaseya dazu veranlasst, On-Prem-VSA-Kunden anzuweisen, den Betrieb einzustellen und Server, die Software-as-a-Service-Angebote unterstützen, als Vorsichtsmaßnahme offline zu nehmen.

    Am Donnerstag kündigte der CEO des Unternehmens, Fred Voccola, in einem Online-Video-Statement an, dass Kaseya den Kunden, die nach dem Angriff Hilfe benötigten, diese in Form eines finanziellen Hilfsprogramms zur Verfügung stellen würde, das das Unternehmen nach dem Angriff auf COVID-19 gestartet hatte. Dies würde in Form von direkter finanzieller Unterstützung für MSPs erfolgen, “die von den REvil-Leuten und den neuen Gegnern, mit denen wir konfrontiert sind, verkrüppelt wurden”, sagte er.

    Das Unternehmen wird auch Millionen von Dollar ausgeben und mit externen Beratungsfirmen und seinem eigenen professionellen Service-Team zusammenarbeiten, um lizenzierte Zahlungsverzögerungen zu ermöglichen.

    “Es ist ganz anders als die Art von Beziehung, die wir mit unseren Kunden haben, wo wir geschäftskritisch sind”, sagte er.

    Aber ob Kaseya nun in sein Schwert fällt oder nicht, wie es das Unternehmen zu tun scheint, es mildert nicht unbedingt die Herausforderungen, denen MSPs von ihren eigenen Kunden gegenüberstehen. Sie werden die Gewissheit haben wollen, dass ihre eigenen Daten nicht kompromittiert wurden, und selbst wenn diese Gewissheit eintritt, könnten sich MSPs – ähnlich wie Kaseya jetzt – damit konfrontiert sehen, dass ihre Beziehungen und ihr Ruf Schaden nehmen könnten.

    “Es war strategisch, MSPs anzugreifen, aber opportunistisch, was die erwischten Unternehmen angeht”, sagt Joshua Marpet, Executive Director bei Guardedrisk. “Wenn Sie pikante Stellen finden wollen, nehmen Sie dann ein Unternehmen ins Visier? Vielleicht. Aber wenn sie in M&A involviert sind, ist es einfacher, die Anwaltskanzlei zu verfolgen, die typischerweise eine schlechtere Sicherheit hat. Der erfolgreichste MSP, von dem ich je gehört habe, hatte eine Gewinnspanne von 36 %; in der Software-Welt ist das nichts. Wie viel Zeit und Aufwand haben sie also, um all diese Tools und Anbieterangebote hart zu konfigurieren?”

    Die Besonderheit des MSP-Modells besteht darin, dass ein erfolgreicher Angriff in der Regel mehrgleisig verläuft: Man identifiziert eine Schwachstelle in der Software und nimmt dann den Anbieter ins Visier, der theoretisch keine zusätzlichen Sicherheitskontrollen über den Tech-Stack des Anbieters gelegt hat, um eine Ausnutzung zu erschweren.

    Im Fall des Kaseya-Angriffs waren MSPs, die eine Zwei-Faktor-Authentifizierung verwendeten, “vermutlich in einer etwas besseren Position”, so JC Herz, Mitbegründer und Chief Operating Officer bei Ion Channel, einer Datenplattform und einem Service, der es Unternehmen ermöglicht, ihre Software-Lieferkette risikobewusst zu verwalten. Aber noch bevor es zu einem Angriff kommt, fügte sie hinzu, “sollten Anbieter wissen, ob die Unternehmensrichtlinie eines MSP eine Zwei-Faktor-Authentifizierung vorsieht. Hier geht es nicht darum, sicherzustellen, dass die MSPs konform sind mit [the Federal Risk and Authorization Management Program]. Dies sind grundlegende Standards, die Sie kennen und verlangen sollten. Die Frage bei den MSPs ist, ob es möglich ist, ein verifizierbares, fortlaufendes Niveau an Sicherheit über ihre Kontrollen zu erreichen.”

    “Was jetzt passieren sollte, ist, dass jeder Kunde davon ausgeht, dass alle seine MSPs kompromittiert wurden, und dass er kompensierende Kontrollen in seinem eigenen Unternehmen implementiert, um den Datenaustausch richtig zu segmentieren”, fuhr sie fort.

    ‘Intelligente Kommunikation’

    Obwohl MSPs eine große Verantwortung für die Sicherung ihrer eigenen Infrastruktur tragen, sagen die meisten Experten gegenüber SC Media, dass die Last auf dem Anbieter liegt, nicht nur die Sicherheit des Produkts zu gewährleisten, sondern auch Richtlinien und Verfahren für die Kunden in Bezug auf Sicherheitsstandards festzulegen und auch, was zu tun ist, wenn eine Schwachstelle identifiziert wird. Das sollte auch Angaben zur Kommunikation und zu den Erwartungen des Anbieters, des MSP und sogar der Endkunden beinhalten. “Es ist einfach so wichtig, diese Prozesse und Verfahren zur Schadensbegrenzung zu haben”, fügte Haas hinzu. “Die MSPs sind sich dessen bewusster als jeder andere. Und das ist ihre Frustration. Die Anbieter denken, dass die Partner sich um den Anbieter kümmern sollten, aber nein, Anbieter – Ihre Verantwortung ist es, sich um den Partner zu kümmern. Helfen Sie ihnen, geschützt zu sein.”

    “Der MSP ist derjenige, der am meisten verarscht wird”, fuhr sie fort. “There needs to be transparency. And they need to make it simple.”

    Um diese Transparenz zu erreichen, verweisen viele Experten auf verschiedene Versionen von so genannten “intelligenten” Verträgen, die Anforderungen, Erwartungen und Verfahren klar definieren. Chris Blask, strategischer Berater von Cybeats und ehemaliger Executive Director bei Unisys, sagt, dass dies ein wichtiger Bestandteil einer digitalen Stückliste ist – ein Konzept, das er in den letzten Jahren geprägt hat, um die Liste aller Komponenten in jeder Art von Produkt zu bezeichnen, wenn diese von einer Gruppe von Händen zu einer anderen gehen.

    “Alle werden in der Lage sein müssen [do this], irgendwann in absehbarer Zukunft, nicht nur, weil es eine Vorschrift geben wird, sondern weil a) Angreifer sich so weit entwickeln werden, dass Sie Ihr Ding nicht mehr fünf Minuten am Laufen halten können, und b) wenn Sie es nicht tun, werden Ihre Konkurrenten es tun und Ihnen dann Ihr ganzes Geschäft wegnehmen”, fuhr Blask fort, der speziell für die Anwendung von “Orakeln” plädierte, bei denen die Vertragssprache festgelegt und in Repositories miteinander verkettet wird, mit spezifischen Reaktionen, die auftreten, wenn bestimmte Bedingungen erfüllt sind.

    Mit dem Ansatz der Echtzeit-Kommunikation mit Automatisierung “neigt man nicht dazu, Gelegenheiten zu haben, dass sich diese Probleme einschleichen, weil die Leute miteinander reden”, sagte er. “Vieles davon hängt davon ab, dass eine Organisation reif genug ist, um die richtigen Fragen zu stellen.”

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com