Anfang März 2021 hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Alarmstufe Rot ausgerufen: Alleine in Deutschland waren zu diesem Zeitpunkt Zehntausende von Exchange Mail-Servern anfällig für einen Angriff durch Schad-Software.
Als Microsoft den Patch und damit auch die Sicherheitslücke öffentlich macht, beginnt auf der ganzen Welt ein Wettrennen. Einerseits versuchen Hacker die Gelegenheit zu nutzen, um sich schnell noch Zugang zu fremden Servern zu verschaffen, solange dies noch möglich ist. Anderseits sind IT-Administratoren und Sicherheitsteams bei den Anwenderunternehmen bestrebt, ihre Server schnellstmöglich durch Einspielen des Updates zu sichern.
In so einer Situation kann es tatsächlich um Minuten gehen. Wer kein eigenes IT-Security-Team beschäftigt, begibt sich somit in eine gefährliche Situation. Denn häufig spielen Hacker die Schad-Software zunächst unbemerkt auf die fremden Server, um dann Tage, Wochen oder Monate später zuzuschlagen. Dies widerfuhr etwa der Uni-Klinik Düsseldorf im Jahr 2020. Hier nutzten Cyber-Kriminelle das Zeitfenster zwischen Bekanntwerden der Lücke und der Installation des schützenden Updates, um eine Backdoor zu installieren. Monate später kehrten die Angreifer über diese zurück, verschlüsselten massenhaft Daten und erpressten die Uni-Klinik.
IT-Sicherheit als externe Leistung beziehen
Wer sich kein umfassendes Team aus eigenen Security-Spezialisten leisten kann oder will, greift auf externe Dienstleister zurück, die Leistungen rund um die Analyse und den Schutz vor Cyber-Angriffen als Service bieten. Materna betreibt hierfür ein Security Operations Center (SOC) mit erfahrenen Experten für IT-Sicherheit und sichert von dort aus Kundensysteme vor Cyber-Attacken. In dem SOC arbeiten hochspezialisierte Experten, die sieben Tage in der Woche rund um die Uhr die IT-Sicherheit der betreuten IT-Systeme überwachen.
Im SOC bei Materna begann unmittelbar nach der Veröffentlichung von Microsoft die Analyse. Welche Kunden betreiben Microsoft Exchange Server, und handelt es sich bei den eingesetzten Systemen um die betroffenen Versionen? Welche verdächtigen Aktivitäten hat der Server in seinen Logfiles schon erfasst?
In Zusammenarbeit mit den Incident Respondern von Materna waren die Kundensysteme nur wenige Stunden nach Microsofts Veröffentlichung erfolgreich gepatcht. Zudem konnten die Forensiker des SOCs nach ausführlichen Untersuchungen ausschließen, dass die Server bereits infiltriert waren. Anschließend mussten die Firewalls mit neuen Regeln aktualisiert werden, damit ähnliche Angriffe in Zukunft geblockt werden. Auch für die SIEM Lösung (Security Information and Event Management) wurden neue Regeln erstellt, um ähnliche Angriffe in Zukunft noch zuverlässiger zu erkennen und nützliche Informationen über die Angreifer zu erhalten. Während des gesamten Vorgangs informiert das SOC fortlaufend die Verantwortlichen auf Kundenseite mit verständlichen Berichten über alle Schritte.
Tatsächlich stellten die Experten im SOC schon kurze Zeit nach dem Patchen fest, dass erste Angreifer versuchten, die Kundensysteme zu infiltrieren. Diese Versuche schlugen jedoch fehl, da die Systeme schon gepatcht waren und die Angriffe bereits auf der Firewall geblockt wurden – die Security war schneller!
Materna bietet die Leistungen seines Security Operations Centers als komplett gemanagten Service an, der individuell auf die Anforderungen der Kunden anpassbar ist. Unternehmen erhalten somit Zugriff auf das Fachwissen der Security-Experten von Materna, die über langjährige Erfahrung verfügen und 24/7 im Einsatz sind.
Für weitere Details besuchen Sie unsere Webseiten zum Thema IT-Sicherheit und erfahren Sie, wie Sie Ihre IT-Infrastruktur dauerhaft vor Angriffen schützen.