Es gibt ein altes Sprichwort: „Der Sohn des Schuhmachers geht immer barfuß.“ Es ist eine merkwürdige Wendung des Schicksals, dass diejenigen, die der Quelle am nächsten stehen, oft die Vorteile verpassen. In einem modernen Echo dieses Sprichworts befand sich die Cybersecurity and Infrastructure Security Agency (CISA) in einer schwierigen Situation.
Was ist der Grund für die CISA-Datenpanne?
Bereits im Februar stellten sie fest, dass zwei ihrer Systeme kompromittiert worden waren. Der Schuldige? Sicherheitslücken in Ivanti-Produkten. Dies zwang CISA zu dem drastischen Schritt, diese Systeme abzuschalten, die allem Anschein nach eine Schlüsselrolle bei der Unterstützung der US-Infrastruktur spielten.
CISA ist nicht irgendeine Agentur. Es ist der Wachhund der Nation für Cybersicherheit. Die im November 2018 vom Heimatschutzministerium gegründete Einrichtung war eine direkte Reaktion auf die wachsende Besorgnis über Cyberbedrohungen und die Sicherheit der lebenswichtigen Infrastruktur des Landes. Die Idee war einfach, aber ehrgeizig: Amerikas Verteidigung in der digitalen Welt zu stärken.
Ein Sprecher von CISA bestätigte den Verstoß und nannte den Einstiegspunkt der Hacker: Schwachstellen in den internen Tools von Ivanti. Ivanti mit Hauptsitz in Utah ist ein wichtiger Akteur im IT-Sicherheitssektor und bietet seine Systemverwaltungs- und Sicherheitssoftware an beeindruckende Liste von 40.000 Kunden. Diese reichen von Schwergewichtsorganisationen bis hin zu Regierungsbehörden, die auf der ganzen Welt verstreut sind, wie auf der Website des Unternehmens gepriesen wird.
CISA hat schnell gehandelt, um den Schaden zu begrenzen.
„Die Auswirkungen beschränkten sich auf zwei Systeme, die wir sofort offline nahmen. Wir aktualisieren und modernisieren unsere Systeme weiterhin und es gibt derzeit keine Auswirkungen auf den Betrieb“, erklärte CISA. Allerdings behielten sie die Karten geheim, Es wird nicht offengelegt, ob auf Daten zugegriffen wurde.
Der Datensatz war der erste, der die Wahrheit über die Bresche verriet. Sie bekamen die Nachricht von einem Eingeweihten, der enthüllte, dass sich die Cyber-Eindringlinge in zwei Systeme eingedrungen hatten, die in das Infrastructure Protection (IP) Gateway integriert sind. Dieses Gateway ist keine gewöhnliche Datenbank; Es handelt sich um eine Fundgrube wichtiger Daten und Tools, die für die Dimensionierung der Infrastruktur des Landes von entscheidender Bedeutung sind. Und das Chemical Security Assessment Tool (CSAT)? Dort bewahren die USA ihre am besten gehüteten Industriegeheimnisse auf, darunter die Liste der Chemieanlagen, die als Hochrisikoanlagen eingestuft sind, und detaillierte Bewertungen von Sicherheitslücken.
Dennoch herrscht in diesem Bereich eine gewisse Unklarheit. CISA hat die Idee, dass diese spezifischen Systeme vom Netz genommen wurden, nicht ausdrücklich bestätigt oder zurückgewiesen. Die Identität der Angreifer bleibt weiterhin im Dunkeln, aber der Weg des Verstoßes war klar und nutzte jüngste Schwachstellen in den Produkten Ivanti Connect Secure VPN und Ivanti Policy Secure aus. Und wer hat diese Schwachstellen gemeldet? CISA selbst, in einer etwas ironischen Wendung.
CISA war schon lange vor diesem Vorfall auf die Softwareprobleme von Ivanti aufmerksam geworden. Am ersten Februar wurde nicht nur eine Flagge gehisst; Es erließ eine Anweisung an alle US-Regierungsbehörden, Ivanti Connect Secure und Ivanti Policy Secure vom Netz zu trennen. Damit nicht genug, schlug das Unternehmen einige Wochen später Alarm, dass Bedrohungsakteure aktiv drei Ivanti-Schwachstellen mit den Tags CVE-2023-46805, CVE-2024-21887 und CVE-2024-21893 ausnutzten. Es ist, als ob CISA gesehen hätte, wie sich die Gewitterwolken zusammenzogen, aber trotzdem vom Regen erfasst wurde.
Niemand ist vor Cyber-Bedrohungen gefeit
Es ist ein Dilemma des digitalen Zeitalters, das eine universelle Wahrheit unterstreicht: niemand ist immun. Die Herausforderung für Branchen auf der ganzen Welt besteht nicht nur darin, auf Verstöße zu reagieren, sondern sie auch zu antizipieren und zu vereiteln und so das Blatt in diesem anhaltenden Kampf um die Cybersicherheit zu wenden.
Eine Liste schwergewichtiger Namen aus verschiedenen Sektoren – denken Sie Cencora, Prudential Financial, Bank of America, HPE, KreditDepot, Trello, U-Bahn, Fußball Australien, GesundheitECUnd Fidelity National Financial– alle sind im Jahr 2024 in das Netz der Datensicherheitsvorfälle geraten.
Bildnachweis: Kerem Gülen/Midjourney
