Sicherung der Cyber-Zukunft Australiens Teil 1: Der große Alptraum der Sicherheitsverletzungen

Die Angriffe reichten von großen Unternehmen wie Optus und Medibank bis hin zu kleineren Firmen und haben CISOs und Vorstände verunsichert.
Während die Regierung über neue Maßnahmen nachdenkt, müssen die Unternehmen auf ihre Sicherheit achten. Doch welche Lehren können wir aus dieser Welle von Cyberangriffen ziehen, und wie kann der australische Cybersicherheitssektor am besten reagieren?

Einige der Verstöße in diesem Jahr waren kolossal

Die Sicherheitsverletzungen haben bekannte Namen schwer getroffen und die Cybersicherheit in einem ganz neuen Ausmaß in den Blickpunkt der Öffentlichkeit gerückt. Ende September deckte der Telekommunikationsriese Optus auf, dass die Daten von rund 10 Millionen Kunden offengelegt wurden, darunter Namen, Kontaktdaten und mehrere Millionen Reisepass- und Führerscheinnummern. Es wird vermutet, dass die Daten aus der Sicherheitslücke bereits für mehrere Betrügereien verwendet wurden.

Wochen später gab Medibank einen "Cybervorfall" bekannt und bestätigte später, dass die Daten von 9,7 Millionen Australiern betroffen waren, darunter Medicare-Nummern, Geburtsdaten und Codes, die Diagnose und Behandlung angeben. Ein Teil der Nutzerdaten wurde inzwischen von einem mutmaßlichen Hacker veröffentlicht. Der Krankenversicherer enthüllte auch, dass er nicht durch eine Cyberversicherung gedeckt war, und seine Aktien fielen auf den niedrigsten Stand seit zwei Jahren.

Doch die Verstöße waren damit noch nicht beendet. Bei einem Angriff auf Medlab Pathology, der acht Monate lang nicht gemeldet wurde, wurden die Daten von mehr als 200.000 Personen preisgegeben, und bei der Immobilienfirma Harcourts wurde die Datenbank für Mietobjekte in Melbourne angegriffen; auch Telstra, MyDeal, der Weinhändler Vinomofo, das Australian Music Examinations Board und EnergyAustralia waren betroffen.

Die Verstöße hätten (theoretisch) vermieden werden können

Im Nachhinein sieht es so aus, als hätten diese Verstöße leicht vermieden werden können. Die Ermittlungen laufen noch, aber wir wissen bereits, wie es zu einigen Übergriffen kam:

1. Optus - eine falsch konfigurierte API verschaffte einem Hacker einen einfachen Zugang
2. Medibank - kompromittierte Anmeldedaten wurden verwendet, um auf die Dateien von Medibank zuzugreifen, wahrscheinlich durch eine ausgeklügelte Ransomware-Gruppe
3. Vinomofo - Kundendaten wurden beim Testen einer digitalen Plattform offengelegt
4. MyDeal - Kompromittierte Anmeldedaten wurden ausgenutzt
5. Australian Music Examinations Board - ein wichtiger Patch wurde nicht installiert, so dass der Online-Shop für bösartige Skripte anfällig war
6. EnergyAustralia - in Ermangelung einer Multi-Faktor-Authentifizierung (MFA) wurden mehrere Kundenkonten übernommen

"Keines der Eindringlinge ist das Ergebnis von unhaltbaren Exploits", bemerkt Jeremy Kirk von der Information Security Media Group. "Die Leute, die hinter diesen Angriffen stecken, sind höchstwahrscheinlich gewöhnliche Cyberkriminelle und keine Angreifer auf höchster Ebene."

Die Lehre, die man daraus ziehen kann, ist jedoch, dass es immer irgendwo Lücken geben wird, egal wie groß oder gut finanziert die Cybersicherheitsfunktion ist. Das ist eine unvermeidliche Tatsache, die mit jeder technikgestützten Organisation einhergeht.

Was wir kontrollieren können, ist die Wahrscheinlichkeit, ein Ziel zu werden. Deshalb sollte der Schwerpunkt darauf liegen, sicherzustellen, dass Sicherheitsgrundlagen wie Sensibilisierungsschulungen, Sicherheitskonfigurationen und Patches regelmäßig durchgeführt werden. Diese Maßnahmen garantieren zwar keine 100-prozentige Sicherheit, aber sie verringern das Risiko, von einer Datenschutzverletzung überrascht zu werden, erheblich.

Diese Vorfälle sind nur die Spitze des Cyber-Eisbergs

Auch wenn viele Angriffe nicht besonders raffiniert sind, so ist der Schaden, den sie verursachen, doch sehr real. Die schiere Anzahl der Angriffe und Versuche bedeutet, dass es früher oder später zu einem größeren Verstoß kommen kann und wird. Das australische Finanzamt hat enthüllt, dass es jeden Monat drei Millionen Hackversuche erlebt, während die Website der Volkszählung im Jahr 2021 rund eine Milliarde Angriffe abwehren musste. Wenn wir auch die Zahl der versuchten Hackerangriffe und die große Zahl erfolgreicher Verstöße berücksichtigen, die nie gemeldet wurden (oder einfach noch nicht entdeckt worden sind), sind die diesjährigen Schlagzeilen nur die Spitze des Eisbergs.

Der Bericht 2022 des Australian Cyber Security Centre (ACSC) verzeichnet einen Anstieg der Cyberangriffe um 13 % in den letzten 12 Monaten. Sie zeigt den Anstieg von staatlich gelenkten Akteuren, Angriffe auf kritische Infrastrukturen, die zunehmende Zerstörungskraft von Ransomware und die Kosten von Business Email Compromise (BEC), deren Verluste sich auf 98 Millionen Dollar beliefen.

Warum Australien in der Schußlinie steht

Die Zunahme der Fernarbeit und die Einführung von IoT-Geräten haben die Angriffsfläche eines durchschnittlichen Unternehmens in relativ kurzer Zeit drastisch vergrößert. Dieser rasche Wandel hat Cyberkriminellen weltweit neue Möglichkeiten eröffnet. Aber warum wurden australische Organisationen in den letzten Monaten so häufig Opfer von Sicherheitsverletzungen? Die ACSC stellt fest, dass der Wohlstand Australiens mit dem weltweit höchsten Durchschnittsvermögen pro Erwachsenem für Cyberkriminelle attraktiv ist. Dieser Reichtum könnte besser geschützt werden: 16 Länder, darunter die APAC-Mitglieder Malaysia, Singapur und Japan, rangieren im globalen Cybersicherheitsindex auf einem höheren Platz; noch bedenklicher ist, dass der Index für die digitale Lebensqualität Australien auf den 36.

Die langsame Einführung der Cloud-Sicherheit, Schwierigkeiten bei der Einstellung von Fachleuten für Cybersicherheit und Lücken in der staatlichen Politik sind allesamt Faktoren, die dazu beitragen. Hinzu kommt, dass sowohl feindliche Staaten als auch gewöhnliche Cyberkriminelle die jüngsten Sicherheitsverletzungen als Chance sehen könnten.

"Die Sorge für Australien sollte sein, dass nationalstaatliche Akteure Australien sehr wohl als weiches Ziel sehen könnten", sagt Jeremy Kirk von der Information Security Media Group. "Wenn die alltäglichen Cyber-Kriminellen jetzt so viel Erfolg haben, könnte Australien eine harte Zeit bevorstehen."

Die Regierung ergreift Maßnahmen, aber es gibt Bedenken

Innenministerin Clare O'Neil kritisierte Optus dafür, dass das Unternehmen "das Fenster offen gelassen" und es versäumt habe, Kundendaten zu schützen. Eine Überarbeitung der Maßnahmen zum Schutz der Privatsphäre und höhere Strafen für Unternehmen, die von schweren Verstößen betroffen sind, wurden ebenfalls angekündigt. Die Meldung von Cyber-Vorfällen ist jetzt für Unternehmen in mehreren Branchen obligatorisch.

Fachleute für Cybersicherheit sind sich einig, dass die Regierung eine wichtige Rolle zu spielen hat, wollen aber auch die Freiheit haben, ihre eigene Reaktion auf Vorfälle zu verwalten. "Wir wollen Klarheit über die Rolle der Regierung", sagte ein Mitglied des Kundenbeirats von Mimecast. "Wir wollen nicht, dass sie sich einmischen und alles übernehmen - bei einigen Dingen können sie helfen, bei anderen sollten sie es nicht. Es ist wichtig, dass diese Szenarien von den richtigen Leuten mit den richtigen Verfahren gehandhabt werden.

Die Debatte darüber, wie weit die staatliche Aufsicht und Kontrolle in den privaten Sektor hineinreichen sollte, ist noch nicht abgeschlossen, aber es ist klar, dass die Sicherheit von buchstäblich Millionen von Menschen auf dem Spiel steht, wenn man bedenkt, wie viele persönliche Daten private Organisationen über ihre Kunden speichern.

Aus den Verstößen lassen sich einige positive Aspekte ableiten

Trotz dieser Welle von Sicherheitsverletzungen gibt es nicht nur schlechte Nachrichten aus der Welt der Sicherheit. Diese Vorfälle waren auch ein Weckruf für viele Führungskräfte, und wir beobachten einige positive Veränderungen auf den höchsten Führungsebenen sowohl in öffentlichen als auch in privaten Organisationen.

Positiv sind:

1. Engagiertere Vorstände, die die Auswirkungen einer Sicherheitsverletzung auf die Gewinne und den Ruf des Unternehmens verstehen. "Die jüngsten Sicherheitsverletzungen haben dazu geführt, dass der Beirat unsere Bedürfnisse sehr unterstützt, weil er weiß, dass wir so gut wie möglich vorbereitet sein müssen, denn es geht um das Wann, nicht um das Ob", so ein Beiratsmitglied.
2. Dieses Umdenken ist ein großer Vorteil für CISOs und hat dazu geführt, dass Budgets für Cyber-Versicherungen, bessere Tools und Neueinstellungen freigegeben wurden.
3. Stärkeres Engagement für die Cybersicherheit innerhalb von Organisationen. Dazu kann gehören, dass die Sicherheitskräfte zu Abteilungsbesprechungen eingeladen werden, dass Sicherheitskennzahlen für mehrere Teams eingeführt werden und dass der Schwerpunkt erneut auf Sensibilisierungsschulungen, Reaktionsplänen für Zwischenfälle und Tabletop-Übungen für Sicherheitsverletzungen liegt.
4. Die Vereinheitlichung der Cyber-Community. "Früher war es nie so eng", sagte ein anderes Vorstandsmitglied. "Früher haben wir von der Seitenlinie aus geurteilt, aber jetzt ist es an unseren Ufern und hat Auswirkungen auf uns alle". Es gibt auch eine wachsende Offenheit für den Austausch von Erfahrungen und Informationen innerhalb der Cybersicherheits-Community, wodurch eine unterstützende Kultur des Cyber-Bewusstseins in verschiedenen Sektoren gefördert wird.
5. Verstärkte Impulse für ehrgeizige neue Strategien und Maßnahmen und für die Einhaltung von Standards wie der Allgemeinen Datenschutzverordnung (GDPR).

Machen Sie die Grundlagen richtig und konzentrieren Sie sich auf die Reaktion auf Vorfälle

Es ist leicht, sich von den Unkenrufen anstecken zu lassen, aber man sollte auch nicht vergessen, dass die meisten der jüngsten Sicherheitsverletzungen nicht besonders raffiniert waren. Unternehmen, die die grundlegenden Dinge richtig machen, indem sie APIs absichern, Patches auf dem neuesten Stand halten, MFA durchsetzen und eine wirksame, mehrschichtige Cybersicherheit aufbauen, sind einem viel geringeren Risiko solcher Angriffe ausgesetzt - und diejenigen, die der Reaktion auf Zwischenfälle Priorität einräumen, können schneller wieder auf die Beine kommen und dafür sorgen, dass sich der Cybersicherheits-Albtraum wie ein schlechter Traum anfühlt.