Don’t Panic! You are f*cked!

Verzeiht mir die etwas rüde Ansprache – ich zitiere hier nur den Podcast der ARD You are fucked – Deutschlands erste Cyberkatastrophe · Podcast in der ARD Audiothek über den Cybervorfall im Landkreis Anhalt-Bitterfeld.

Dieser Podcast stammt aus dem letzten Jahr (2023) – und es gibt mittlerweile vom Deutschlandfunk einen ähnlichen (deutlich kürzeren) Podcast zum Cybervorfall der Südwestfalen IT Zero Day in Südwestfalen (1/5) – Hackeralarm bei Nacht (deutschlandfunk.de).

a person holding a towel in one hand, a shield in the other, and a book with the words "Don't Panic" on the cover in the third hand. The towel should represent inadequate cybersecurity measures, while the shield represents advanced cybersecurity tools that are not widely used. The book should represent the importance of staying calm in the face of cyber threats. The cityscape in the background should symbolize the vast digital landscape we inhabit and the potential for both

Bei dem Anhören von beiden Podcasts hatte ich physische Schmerzen! Und das aus zwei Gründen:

1. Durch meine unentwegten Schläge mit der flachen Hand gegen meine Stirn – auch bekannt aus den Simpsons als „Doh!“  und

2. Durch das Verkrampfen meines Magens bei den vielen, versäumten Möglichkeiten, die es sowohl bei der Gefahrenabwehr, als auch bei einer schnellen Recovery aus der Katastrophe gegeben hätte.

Doch der Reihe nach. Ich möchte hier mehrere Dinge aufzeigen, über die ich zwar schon einzeln gebloggt habe, die ich hier aber mal in ein Big Picture zusammenführen möchte. Und danach kann wirklich keiner mehr sagen „habe ich nicht gewusst“ oder „echt, das geht heute schon!?“.

Ich habe doch ein Handtuch – was kann mir schon passieren!?

Genau diese Haltung haben immer noch viel zu viele Menschen, Organisationen, Firmen, Behörden, Verwaltungen – und es wird gefühlt nicht besser!
🙁☹️😢😭
Übrigens, für die, die mich nicht so gut kennen kurz die Übersetzung: „Handtuch“ sind die Anti-Virusprodukte, Firewalls und VPNs dieser Welt!

Denn viele Menschen verstehen nicht, dass dieses Handtuch seit langem (falls überhaupt irgendwann mal) nicht mehr ausreicht, um sich gegen moderne Cyber-Angriffe zu verteidigen!

Wir müssen dabei zwei grobe Kategorien unterscheiden:

1. Clients (also Desktops, Notebooks, Handies)
2. Server (also Frontends, Backends, Middleware, Datenbanken,…)

Clients – die Wurzel allen Übels

Ja, natürlich geht es nicht ohne, ABER…! Die modernen Angriffe erfolgen im ersten Schritt IMMER über User und Clients! Ohne Ausnahme! Und nein, es sind in aller Regel keine Zero Days! Zero Days sind für großflächige Angriffe viel zu wertvoll, als dass diese dafür hergenommen würden! Es ist viel billiger, schneller, aufwandsärmer über die User und ihre Maschinen zu gehen!

Ich habe das in meinem Blogpost Kein Mitleid mit Ransomware ausgiebig erklärt, bitte gerne noch einmal lesen! 😉 (Und mal aus dem Nähkästchen geplaudert, eigentlich fehlt in dem Titel etwas, das war mir damals „zu viel“, vielleicht sollte ich das heute anpassen, denn der Titel hieß ursprünglich: „Kein Mitleid mehr mit Ransomware-Opfern“!)

TLDR> Ziel muss es sein die Clients aus der Cyber-Rechnung herauszunehmen. Dazu zählt, dass diese gemäß „Zero Trust“ immer als feindselig anzusehen sind, dass diese nie in direkter Verbindung zu Servern/Services stehen dürfen (=> kein VPN, keine direkte Anbindung, immer über definierte Schnittstellen und einer angemessenen Schnittstellenüberwachung) und, dass automatisierte Prozesse existieren müssen um schadhafte Clients zu identifizieren, quarantänisieren und asap wieder von Scratch neu aufzubauen.
Das war übrigens einer dieser Momente im „Zero Day“ Podcast, wo ich wirklich Schmerzen hatte, als davon erzählt wurde, wie alle Clients in einem großen Raum gesammelt wurden und per Turnschuh-Administration neu aufgesetzt werden sollten -> das hat man schon vor 20 Jahren nicht so gemacht!

Server – die Heiligtümer der IT

Wie sehen denn Heiligtümer in Kirchen o.ä. typischerweise aus? Richtig! Angestaubt, ausgeblichen, vielleicht mal mit einer Kette oder Glas geschützt. Weder eine Kette noch Glas reicht aber aus. Außerdem, wenn sie einmal da sind, dann bekommen sie meist nicht die Liebe und Pflege, die sie bräuchten!

Was hat das jetzt mit Servern zu tun? Diese werden oft ähnlich behandelt. Dabei gibt es heute schon Möglichkeiten es besser zu machen und zentrales Werkzeug dazu ist Mikrosegmentierung und Umstellung auf Cloudserver/services.
Wie und warum eine Mikrosegmentierung für Server/Services notwendig ist und umgesetzt werden kann, habe ich in Zero Trust und was das für die Infrastruktur bedeutet beschrieben und warum ein solches Vorgehen Kosten sparen und die eigene digitale Transformation und vor allem Resilienz stärkt, habe ich in Wie Cybersecurity dazu beitragen kann, die digitale Transformation voranzutreiben ausgeführt.

Ich möchte insbesondere auf das Thema Resilienz hier noch einmal kurz eingehen:

In beiden o.g. Podcasts – und leider auch in den meisten Firmen, bei denen ein Cyberangriff stattgefunden hat – ist Resilienz und vor allem auch ein „wie komme ich schnellst möglich wieder in einen Business Betrieb“ – überhaupt nicht vorbereitet!
Wenn, wie von mir beschrieben, die „Service Blackboxen“ umgesetzt werden, dann dauert es nicht einige hundert Tage bis meine grundsätzlichen Dienste wieder verfügbar sind, sondern nur Sekunden bis Minuten. Wenn dann noch ein verlässlicher Backupprozess für die Daten existiert, dann ist die Ausfallszeit pro Blackbox fast vernachlässigbar UND dadurch, dass die einzelnen Dienste von einander gekapselt sind, ist die Wahrscheinlichkeit, dass alle betroffen sind, deutlich reduziert, wenn nicht sogar nahe 0 (wenn man es richtig macht)! Bei best practice Umsetzung sind vermutlich die Datenlayer meist auch noch nicht mal betroffen und müssen gar nicht erst wiederhergestellt werden!

Und davon, dass überhaupt kein Inventory über alle Server/Services/Fachverfahren mit einer Priorisierung und Reihenfolge existiert, davon will ich gar nicht anfangen. Klassisches Thema „ITIL“, ISO 27001, etc. werden nicht gelebt und vor allem auch eine Übersicht, bzw. Maßnahmen gegen SchattenIT (siehe Welche Cloud Apps werden bei mir im Unternehmen verwendet und wie kann ich diese kontrollieren und steuern? ) sollten dringendst und schleunigst erstellt werden.

Liebe und Zuneigung

Ich sprach oben schon davon, dass die Server (aber auch viele Clients/Clientapplikationen) nicht die Liebe bekommen, die sie bräuchten.

Damit meine ich vor allem, dass weder eine Application Lifecycle Planung/Strategie überlegt wurde/wird, noch, dass brauchbare Pläne für (Notfall)Patching etabliert sind.
Das heißt, dass wie im Fall der SüdwestfalenIT die Ursache für den eigentlichen Angriff eine bereits gepatchte Sicherheitslücke war. (Mal ganz davon ab, dass ich Zugriffe ohne MFA als grob fahrlässig einschätzen würde und alles andere als „aktueller Stand der Technik“ sind, doch dazu gleich noch mehr).

Auch hier wieder die Zweiteilung:

1. Clients => es gibt hier wirklich KEINEN Grund, nicht sofort zu patchen! Gerne in Wellen, aber bitte immer „sofort“ loslegen und den Prozesse nicht aufschieben!
2. Server => wenn wie oben und in Wie Cybersecurity dazu beitragen kann, die digitale Transformation voranzutreiben beschrieben, die Dienste beschreib- und automatisierbar sind, dann muss und kann auch hier immer sofort gehandelt werden, vor allem, wenn es sich um wirklich kritische Lücken/Patches handelt! Durch das Vorgehen ist das Risiko eines Ausfalls minimal, weil, wenn es nicht funktioniert hat, dann kann ich sofort per Knopfdruck auf den alten Stand gehen und mir andere Maßnahmen und Vorgehensweisen überlegen.
   Zur Verdeutlichung frage ich auf der Bühne und in Meetings immer gerne: „Wie patcht Microsoft eigentlich die Exchange Online Server?“ und die überraschende Antwort ist „gar nicht!“ 😮
   Wie das geht? Ganz einfach: gehen wir mal davon aus, dass in einer Region z.B. (die Zahl ist willkürlich gewählt und eher zu klein als zu groß) 10.000 EXO Server existieren, dann werden die nicht gepatcht, weil das viel zu teuer, viel zu Zeitaufwändig und mit viel zu viel Downtime verbunden wäre. Statt dessen werden – ganz im Sinne von „wir haben verstanden, wie Cloud funktioniert“ – einfach sagen wir 2.000 Server mit neuem Patchlevel hochgefahren und die Workloads verteilt, damit kann auch überprüft werden „ob es funktioniert“, dann werden von den alten 10.000 vielleicht 2.000 Stück heruntergefahren und gleich mit neuem Patchstand wieder hochgefahren; und so weiter, bis alle Server auf dem neuesten Patchlevel sind.
   Durch dieses Vorgehen haben wir genau 0 Downtime, genau null Userimpact und damit einen perfekten Service für die Nutzenden!

Ja, aber!

Das kommt immer! 😉 Vor allem, was ist eigentlich mit dem Datenschutz?

Ich möchte da wieder auf zwei Dinge aus den o.g. Podcasts verweisen: in dem ersten Podcast kann man den Kommentar hören (aus dem Kopf zitiert):
„…und stellen sie sich vor, wir haben die Emails der letzten 20 Jahre verloren…“ – das einzige, was mir dazu einfällt: „Lieber Landesdatenschützer, ich habe Fragen!“ (=> nach DSGVO müssen Daten, die ihren Zweck verloren haben, gelöscht werden. Ich glaube nicht, dass eine 20 Jahre alte Email noch einen Zweck haben kann!).
Und aus dem zweiten: „…um die Bürger erreichen zu können, haben wir sie in Whatsapp Gruppen eingeladen…“ – auch hier habe ich Fragen, es zeigt aber eine Sache ganz besonders:
In der Krise ist Recht und Datenschutz hinfällig! Mein Vorschlag: wie wäre es, wenn wir uns vorher darüber Gedanken machen und das auf dem Boden von Recht und Gesetz planen und umsetzen?

Denn, wenn man es richtig macht – auf „aktuellem Stand der Technik“ – dann ist davon nicht nur die Cybersecurity positiv beeinflusst, sondern auch die Themen Digitalisierung, Resilienz, Fachkräftemangel, etc!

(Und auch, warum es in beiden Fällen so lange gebraucht hat, bis wieder für alle Mitarbeitenden eine funktionale Emailinfrastruktur existierte, erschließt sich für mich nicht, im worst-case brauche ich 5 Minuten dafür! Aber Cloud ist ja böse! )

Fazit

Ich habe nicht gerne körperliche Schmerzen!

Lasst uns bitte daran arbeiten, dass grade im öffentlichen Raum (mit dem Thema „Schulen“ hab ich noch gar nicht angefangen… 😀), aber auch bei allen Firmen – egal wie groß – wir dazu kommen, dass die Cybersicherheit, Resilienz und auch die „time to normal“ endlich sinnvoll angegangen wird!

Genau aus dem Grund befürworte ich auch die NIS-2 Bestrebungen der EU und kann jedem, egal wie „betroffen“ (ich mag das Wort in dem Kontext überhaupt nicht, da es so negativ ist und nicht die Chancen darstellt) eine Firma formal ist, nur dazu raten es auf jeden Fall anzugehen und die guten Ideen, die in NIS-2 grundsätzlich eingebaut sind, zu beherzigen und umzusetzen! (Microsoft und Microsoft Partner können helfen!)