Cyberangriffe auf Managed Service Software So senken MSP das Risiko durch Drittanbieter

Autor: Melanie Staudacher

Managed Service Provider nutzen Produkte von Drittanbietern als Werkzeuge für ihr Geschäft. Doch diese können zum Risiko werden, da Cyberangreifer zunehmend darauf abzielen. Die Schäden sind nicht nur für die Endkunden groß, sondern auch für die Dienstleister.

Firmen zum Thema

Cyberangreifer zielen zunehmend auf Lieferketten ab. Deswegen müssen MSP die Risiken beim Einsatz von Drittanbieter-Produkten so gering wie möglich halten.
Cyberangreifer zielen zunehmend auf Lieferketten ab. Deswegen müssen MSP die Risiken beim Einsatz von Drittanbieter-Produkten so gering wie möglich halten.
(Bild: © Romolo Tavani-stock.adobe.com)

Fernwartungslösungen, Rechenzentren, Analysetools für Managed Detection and Response: Für Managed Service Provider (MSP) sind dies die Werkzeuge, mit denen sie Dienstleistungen für ihre Kunden erbringen. Und Managed Services bringen gute Geschäfte, egal ob mit Security oder mit Cloud.

Doch durch den Einsatz dieser Werkzeuge erhalten deren Hersteller, die sogenannten Drittanbieter, Zugriff auf personenbezogene Daten von Endkunden, die der MSP betreut. Wird der Hersteller Opfer eines Cyberangriffs, kann es passieren, dass die Informationen über die Endkunden offengelegt werden.

Da MSP größtenteils Produkte nutzen, die über eine zentrale Verwaltung und umfassende Zugriffsberechtigungen in die Umgebungen ihrer Kunden verfügen, sind sie die idealen Multiplikatoren für Ransomware. Deswegen sind die Provider ein beliebtes Ziel für Cyberangreifer. Ein erschreckendes Beispiel war die Verschlüsselung von Daten über die IT-Management-Software des Herstellers Kaseya, der die Lösung für MSP anbietet.

Was ist ein Supply-Chain-Angriff?

Unternehmen sind oft von Drittanbietern abhängig, die Dienste für sie übernehmen. Diese sind damit Teil der Lieferkette. Bei einem Supply-Chain-Angriff schmuggeln die Täter Ransomware in den Code einer Software, die ein Unternehmen über Drittanbieter erwirbt. Dafür nutzen die Cyberkriminellen Schwachstellen in der Software aus. Der Administrator des Unternehmens installiert den Code im Netzwerk, weshalb die meisten Abwehrmechanismen und netzwerkbasierten Überwachungssysteme nicht anschlagen. Deshalb sind Supply-Chain-Angriffe schwer zu erkennen und bleiben lange unentdeckt.

Detaillierte Informationen über den Ablauf eines Supply-Chain-Angriffs erhalten Sie in unseren Partnerportalen Security-Insider und Industry of Things.

Helge Bienkowski, Business Unit Manager Security beim auf MSP spezialisierten Distributor Acmeo
Helge Bienkowski, Business Unit Manager Security beim auf MSP spezialisierten Distributor Acmeo
(Bild: Acmeo)

„Auf den ersten Blick ist für den Endkunden der IT-Dienstleister die Quelle der Kompromittierung“, sagt Helge Bienkowski, Business Unit Manager Security bei Acmeo, in einem Blog-Beitrag. Deshalb stellt sich die Frage, welche technischen und vertraglichen Maßnahmen Systemhäuser ergreifen sollten, wenn sie ins MSP-Geschäft einsteigen möchten.

Haften MSP bei Sicherheitsvorfällen?

Gelangen Fälle wie Kaseya und Solarwinds an die Öffentlichkeit, erwarten die Endkunden von ihren IT-Dienstleistern Antworten, auch hinsichtlich der Haftung. Wer haftet für Schäden durch einen Angriff auf Drittanbieter-Produkte?

Bienkowski weist in dem Blog-Beitrag darauf hin, dass jeder Fall einzeln geprüft werden muss. Für MSP sei es schwer bis unmöglich, Regressansprüche gegenüber dem Hersteller geltend zu machen, da dieser die Haftung über die EULA (End User License Agreement) bereits größtenteils ausschließt.

Deswegen müssen MSP bei der Vertragsgestaltung besonders aufmerksam sein, damit sie nicht in die Haftung für die eingesetzten Produkte kommen. Da bei MSP-Verträgen keine Standard-AGB verwendet werden können, sollten die Anbieter versuchen ein „mehrstufiges Abwehrmodell“ in die Verträge einzubauen:

  • 1. Haftung ablenken: MSP können versuchen, den Kunden direkt in den Vertrag mit dem Hersteller aufzunehmen. Zumindest sollte der Kunde die EULA akzeptieren.
  • 2. Haftung ausschließen: MSP können die Haftung für Softwarefehler ausschließen.
  • 3. Haftung beschränken: MSP können Haftungsgrenzen einbauen.
  • 4. Haftung absichern: Wenn die Haftungsgrenzen definiert sind, können MSP diese über Versicherungen absichern.

Hilfe bei der Vertragsgestaltung bieten Distributoren und Hersteller. Acmeo bietet Schulungen zu dem Geschäftsmodell sowie Leitfäden und Vertragsvorlagen. Auch Sophos unterstützt mit einem Whitepaper dazu, wie MSP Verträge zwischen Anbieter und Kunden rechtssicher gestalten.

Wie können MSP das Drittanbieter-Risiko senken?

Das Risikomanagement beim Einsatz von Drittanbieter-Lösungen ist komplex. Dennoch gibt es einige Tipps, um das Risiko zu senken. Zum einen sollten IT-Dienstleister bei sich und ihren Kunden das Schwachstellen- und Patchmanagement für alle Applikationen konsequent anwenden. „Damit wird nicht nur das Zeitfenster für eine mögliche Ausnutzung einer Schwachstelle eines Drittanbieters reduziert, sondern erschwert einem Angreifer auch die weitere Ausbreitung, selbst wenn ihm der initiale Einstieg gelungen ist,“ sagt Bienkowski.

Zum anderen sollten MSP alle Zugänge von Administratoren, Hersteller-Mitarbeitern oder anderen privilegierten Usern über Maßnahmen wie Multifaktor-Authentifizierung und IP-Adressbeschränkungen absichern. Das betrifft vor allem Systeme, die aus dem Internet erreicht werden können.

Bienkowski fasst zusammen: „Generell sollte man, wann immer möglich, den Prinzipien von Zero Trust und Least Privilege folgen. Dies bedeutet, User und Applikationen nur mit den minimal notwendigen Rechten zu versehen und diese sogar zeitlich zu limitieren. Neben präventiven Maßnahmen sollte auch die reaktive Seite aufgerüstet werden. EDR- und XDR-Lösungen helfen, die Folgeaktivitäten eines Cyberangreifers, der über einen Drittanbieter-Hack Zugriffe erlangt hat, aufzuspüren und zu stoppen. Kommt es zum Super-GAU ist es wichtig, dass die Disaster-Recovery-Strategie funktioniert, sodass eine schnelle Systemwiederherstellung auch von kompletten Netzwerksegmenten möglich ist. Und zu guter Letzt kann eine Cyberversicherung die potenziellen finanziellen Schäden absichern, die aus Systemausfällen und Datenverlusten resultieren.“

Sollten Unternehmen komplett auf Drittanbieter verzichten?

Auf die Leistungen eines MSP und damit auf Drittanbieter-Lösungen zu verzichten, ist wohl für die wenigsten Unternehmen eine Möglichkeit, da dafür oft die Ressourcen fehlen. Wenn sie in der Lage sind Open-Source-Lösungen selbst zu entwickeln, kann dies eine Alternative zu einem gekauften Produkt sein. Unternehmen können auch Rechenzentren selbst betreiben, anstatt die Infrastruktur eines Cloud Providers zu nutzen.

Bienkowski weist jedoch darauf hin, dass unter den Aspekten von Sicherheit und Haftung das Outsourcing an einen externen, spezialisierten Anbieter meist vorteilhafter ist.

(ID:47581460)

Über den Autor

 Melanie Staudacher

Melanie Staudacher

Volontärin, Vogel IT-Medien GmbH