Lehren aus dem Kaseya-Vorfall
Die Vertrauensfrage im MSP-Modell
Die Verletzlichkeit der IT bringt vor allem MSSPs in Erklärungsnot. Auch der Whitelabel-MSP steht blamiert da, wenn er nun mit dem Finger auf die verwundbare Software-Lieferkette zeigt. Aus jeder Krise, auch einer schweren IT-Krise, können indes Chancen entstehen.
„Diese Art von Bedrohung ist nicht neu, nimmt aber mit der Verbreitung von MSP aktuell stark zu“, beobachtet Thomas Uhlemann, Security-Experte bei Eset. Alleine im Zeitraum von November 2020 bis Februar 2021 habe Eset vier größere Supply-Chain-Attacken entdeckt und analysiert. „Nicht immer werden, wie im Falle von Solarwinds und Kaseya, Managementplattformen das Ziel der Gangster sein".
Entwicklungsumgebungen gehören ebenfalls zu den Top-Zielen", sagt Uhlemann. Ohne konsequente Umsetzung des „Zero-Trust“-Prinzips werde uns das Thema „definitiv weiter beschäftigen". Plattformanbieter oder Softwarehersteller würden zu Unrecht als „automatisch vertrauenswürdig“ gesehen, was Kriminelle derzeit gezielt ausnützen würden.
Steht das MSP-Modell in einer Vertrauenskrise? Welche Lehren sollten MSPs aus dem aktuellen Vorfall ziehen? Zumal, wenn sie sich, wie RMM-Anbieter seit einigen Jahren empfehlen, als MSSP (Managed Security Service Provider) ihren Kunden empfehlen und dieses spezielle Vertrauen in Sachen IT-Security nicht zu enttäuschen vorgeben. Uhlemann sieht das generelle MSP-Modell nicht erschüttert. Neben einer sehr gut aufgestellten Security-Strategie inklusive Krisenreaktionsplänen sei Transparenz „sicherlich ein entscheidender Faktor in der Zusammenarbeit zwischen MSP und Kunde", sagt der Eset-Experte. „Wenn ich als Dienstleister schnellstmöglich sagen kann, was, wann, und wie passiert ist, mit welchen Konsequenzen, und wenn diese keine Gefahr für das Unternehmen der Kunden darstellt, ist das natürlich entscheidend für langfristige Zusammenarbeit und entsprechende Umsätze". Das gelinge aber nur, wenn die entsprechenden Tools, Sicherheitsvorkehrungen und andere Pläne existieren würden.
Restrisiko betonen
Dass es keinen 100-prozentigen Schutz vor Cyberattacken geben kann, böten innovative Security-Technologien wie Zero-Trust auch noch so ein hohes Schutzniveau, gelte es Kunden zu vermitteln, ist sich Synaxon-CEO Frank Roebers sicher. MSPs rät er, bei Beginn der Zusammenarbeit über die Risiken von RMM-Software aufzuklären, das „Restrisiko" nicht unter den Tisch fallen zu lassen, gleichwohl aber die Vorteile von RMM – „die sicherste und beste Möglichkeit, sich zu schützen" – hervorzuheben.
Ein Vertrauensverlust des MSP-Modells könnte laut Roebers dauerhaft beschädigt werden, wenn Anbieter die Haftungsumfänge im Vorfeld einer Vertragsbindung nicht klar benennen würden. „Nur so ist im Fall des Falles auch klar, wer für potentielle Schäden oder Erpressungen die Haftung übernehmen muss". Das Wichtigste sei und bleibe eine regelmäßige Durchführung eines Backups. „Die 3-2-1 Regel sollte stets beachtet werden: drei Kopien, mindestens zwei verschiedene Medien und eine Kopie extern ablegen".
Whitelabel-MSPs in besonderer Erklärungsnot
In besondere Erklärungsnot im Falle eines Security-Vorfalls wie bei Kaseya kommen aber nicht nur MSSPs, sondern auch jene Provider, die sich entschieden haben, gegenüber Kunden mit ihrer Marke die eigenen Remote-Infrastruktur zu betonen, den Einsatz von Plattformen etablierter Anbieter also bewusst im Hintergrund zu lassen. Im Fall von Kaseya dürfte vielen Unternehmen aktuell gar nicht bewusst sein, dass sie die Lösung einsetzen, wenn der MSP sie als Whitelabel-Lösung verwendet. Dann auf die brüchige Software-Lieferkette zu verweisen und auf Kaseya zu zeigen, fördert nicht gerade das Verständnis von Kunden. „Das erschwert ein Compromise Assessment im aktuellen Fall natürlich sehr", gibt Security Evangelisten Tim Berghoff von G Data zu bedenken.
Notfallplan
Wie immer bei schweren Cyberattacken, die wie im Fall von Kaseya von der Tagesschau zu besten Sendezeit um 20 Uhr zum Thema gemacht werden, wird der Ruf nach Konsequenzen seitens der Politik laut. Spätestens jetzt sollten sie „alarmieren und für die gestiegene Bedeutung der IT-Sicherheit in der gesamten Wirtschaft sensibilisieren", fordert Norbert Pohlmann, Vorstand IT-Sicherheit im eco – Verband der Internetwirtschaft. Ähnlich wie es Security-Auflagen für Kritis-Unternehmen gibt, fordert er grundsätzlich einen Notfallplan, „der alle Prozesse abdeckt und anhand diesem die Mitarbeiter geschult werden, um auf solche Sicherheitsvorfälle vorbereitet zu sein".
In jeder Krise liegt auch eine Chance, heißt es bekanntlich. Womöglich trifft das auch für einen MSP-GAU zu, wenn die externen IT-Dienstleister dafür technisch und kommunikativ sehr gut gerüstet sind. Denn „Kunden wollen beruhigt werden und so schnell wie möglich wieder zum Alltagsgeschäft übergehen", weiß Berghoff. Ohne zusätzliche Ressourcen für solche Notfalleinsätze wird es wohl nicht gehen. Einen solchen Krisenplan hatte man bei Kaseya in der Schublade. MSPs sollten sich daran ein Beispiel nehmen.
- Die Vertrauensfrage im MSP-Modell
- Chronologie einer schweren Krise
Lesen Sie mehr zum Thema
