Was die Schweizer IT-Bedrohungslandschaft im März geprägt hat

Was waren im vergangenen Monat die grössten IT-Bedrohungen für Schweizer Unternehmen?

Marcus Dantz: Die grösste IT-Bedrohung insgesamt stellt noch immer das Thema Ransomware dar, aber auch Spionage durch staatliche Akteure findet weiterhin in grossem Ausmass statt.

Wie kann man sich davor am besten schützen?

Das Thema IT-Sicherheit muss auf der Ebene des Managements diskutierbar werden und diese Diskussion muss faktenbasiert erfolgen. Dies setzt eine quantitative Betrachtung der Risiken voraus.

Marcus Dantz, CISO der Universität Basel. (Source: zVg)

Welche Lehren können wir aus den Cybervorfällen des vergangenen Monats ziehen?

Der Angriff auf XZ Utils hat den Fokus noch stärker auf die Supply-Chain gerichtet. Der Xplain-Hack hat bereits aufgezeigt, dass ein Evaluierungsprozess von Zulieferern eine wichtige Aufgabe im Bereich Security ist, der Angriff auf XZ Utils zeigt aber, dass durch umfangreiche Open-Source-Bibliotheken die Lieferkette deutlich grösser ist, als häufig angenommen. Hier kann ein konsequenter Einsatz von SBOM (Software Bill of Materials) hilfreich sein.

Mehr zum Xplain-Hack lesen Sie hier im Beitrag zur Datenanalyse des Bundes. Wie es bei Xplain nach dem Ransomware-Angriff weitergeht, erfahren Sie hier.

Was sollten Schweizer Unternehmen jetzt tun - in Bezug auf die IT-Sicherheit?

Es ist wichtig, dass neben den klassischen präventiven Vorkehrungen auch reaktive Massnahmen umgesetzt werden. Die Detektion ungewöhnlicher Vorgänge ist eine zentrale Komponente moderner IT-Sicherheit, Kompromittierung einzelner Systeme kann niemals ganz ausgeschlossen werden. Auch sollte für eine effektive Reaktion auf schwerere Vorfälle ein klares Vorgehen definiert werden. Dazu gehören die Definition von Rollen, eine Kommunikationsstrategie, sowie ein robustes Backup, dass es den Angreifern möglichst schwierig macht, dieses zu kompromittieren.

Wie wird sich die Bedrohungslandschaft in den nächsten Monaten wohl entwickeln?

Im letzten Jahr wurden Schwachstellen in mehreren verschiedenen hochprivilegierten Systemen am Netzwerkperimeter (MOVEit, Accellion, Citrix, etc.) in grossen Stil ausgenutzt. Es ist zu erwarten, dass diese erfolgreichen Kampagnen als Vorbild für weitere ähnliche Angriffe genutzt werden. Hier könnten beispielsweise Lohnsysteme im Fokus stehen. Auch ist davon auszugehen, dass der Angriff auf XZ Utils als Blaupause für weitere Angriffe auf die Supply Chain genutzt werden wird. Der Angriff hat zwar sein eigentliches Ziel - eine schwer zu entdeckende Sicherheitslücke in weit verbreitete Systeme zu installieren - verfehlt, jedoch ist diese Kampagne nur zufällig gescheitert. Zukünftige Angriffe könnten aus den Fehlern lernen und ähnliche Angriffe erfolgreich durchführen. Hier sollte das Defense-in-Depth-Prinzip Architekturüberlegungen leiten, und es sollte ein Fokus - wie oben genannt – auf Detektion von ungewöhnlichen Vorgängen liegen.

Welche Cyberrisiken oder -bedrohungen haben Sie derzeit besonders im Blick?

Die grössten Bedrohungen bleiben für uns Ransomware und Spionage. Zur Bearbeitung dieser Risiken steht für uns momentan die Reaktion auf Vorfälle im Vordergrund. Hierbei werden Playbooks für verschiedene Szenarien entwickelt, die Aufgaben im Krisenstab verteilt und Krisenkommunikation vorbereitet, um im Angriffsfall möglichst effizient und effektiv reagieren zu können. Auch erneuern wir momentan das gesamte IAM-System. Dies ermöglicht uns, die Identitätsbasierte Sicherheitsarchitektur zu erneuern und modernen Best-Practices anzupassen.

Was 2024 bisher geschah

• Was die Schweizer IT-Bedrohungslandschaft im Februar geprägt hat, lesen Sie hier (eine Einschätzung von Dominik Langer, Chief Digital & Innovation Officer und GL-Mitglied bei Adesso Schweiz).

• Was die Schweizer IT-Bedrohungslandschaft im Januar geprägt hat, lesen Sie hier (eine Einschätzung von Marc Etienne Cortesi, CISO bei der Baloise Group).

Was die Schweizer Bedrohungslandschaft in den vergangenen Jahren geprägt hat, lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.