Informationen
7 Minuten lesen

Was der CDK Global Breach Windows ISVs lehren kann

Zuletzt aktualisiert:
März 25, 2025
Zurück zum Blog
Was der CDK Global Breach Windows ISVs lehren kann

Was der CDK Global Breach Windows ISVs lehren kann

Am 18. Juni 2024 wurde CDK Global, ein SaaS-Anbieter, der fast 15.000 nordamerikanische Autohäuser mit Verkaufs-, Service-, Finanzierungs- und Versicherungssoftware versorgt, Opfer eines massiven Cyberangriffs durch die Ransomware-Gang BlackSuit, die wichtige Dateien und Systeme verschlüsselte. BlackSuit forderte von CDK Global ein Lösegeld im Austausch für die verschlüsselten Kundendaten.

Am19. Juni schaltete CDK Global seine IT-Systeme ab und leitete Maßnahmen ein, um sich von dem Angriff zu erholen. Während dieser Bemühungen griff BlackSuit CDK Global mit einem zweiten Angriff an.

Die Abschaltung von CDK legte die Kunden der Autohäuser lahm, die nicht in der Lage waren, Verkaufs- und Servicetermine zu vereinbaren, Servicekunden an- und abzumelden und Autos über CDK-Systeme zu verkaufen und zu finanzieren. Die Autohäuser waren fast zwei Wochen lang gezwungen, auf papiergestützte Systeme umzusteigen, um überhaupt Geschäfte tätigen zu können.

Am21. Juni zahlte CDK Global etwa 25 Millionen Dollar in Bitcoin an BlackSuit, um die Kontrolle über die verschlüsselten Dateien und Systeme wiederzuerlangen, aber es dauerte bis zum4. Juli, bis alle Autohäuser wieder betriebsbereit waren.

Neben der Lösegeldzahlung in Höhe von 25 Millionen Dollar sieht sich CDK Global mit mindestens acht Klagen von Autohauskunden konfrontiert, die Schäden aus dem Angriff geltend machen.

Wir werden vielleicht nie genau erfahren, wie BlackSuit in die Systeme von CDK Global eindringen konnte, aber viele Cybersicherheitsunternehmen haben in Blogbeiträgen das wahrscheinlichste Angriffsszenario skizziert.

BlackSuit's wahrscheinliches Angriffsszenario

Cybersecurity-Experten zufolge nutzen Angreifer die Schwachstellen in den IT-Systemen von Unternehmen am häufigsten in einem stufenweisen Ansatz aus.

  1. Sie verleiten Mitarbeiter durch Phishing oder Social Engineering dazu, Malware auf ihrem Computer zu installieren oder Benutzerdaten preiszugeben, damit die Angreifer einen ersten Zugang zum System des Zielunternehmens erhalten.
  2. Sobald sie in das System eingedrungen sind, erweitern die Angreifer ihre Position, um sich seitlich durch das System zu bewegen, indem sie Techniken wie Credential Dumping (Diebstahl von Benutzerdaten aus einem Betriebssystem oder einer Software) und die Ausnutzung schwacher Berechtigungen (z. B. wenn ein Benutzer mit geringen Privilegien die Berechtigung hat, Dienstkonfigurationen zu ändern) nutzen, um auf weitere Systeme/Server zuzugreifen und an sensible Daten oder kritische Systeme zu gelangen, für die es sich lohnt, Lösegeld zu zahlen.
  3. Zu den weiteren Techniken der Seitwärtsbewegung gehört die Ausnutzung von Systemschwachstellen, wie ungepatchte Software und anfällige Infrastruktur, um an wertvolle Daten zu gelangen.

BlackSuit koordinierte seine Bemühungen, die Schwachstellen von CDK auszunutzen, mit Hilfe eines ausgefeilten technischen Verständnisses der Systeme, auf die sie während des Angriffs stoßen würden, und der allzu häufigen Angriffsmöglichkeiten, die entstehen, wenn sich ein Unternehmen nicht auf die Cybersicherheit konzentriert. Die Erfahrung und das Fachwissen der BlackSuit-Angreifer ermöglichten es ihnen, die in den Systemen und der Infrastruktur von CDK versteckten Möglichkeiten sofort zu erkennen und auszunutzen.

{{CTAEMBED_IDENTIFIER}}

Was können Windows ISVs aus dem CDK Global Breach lernen?

Die Sicherheitsverletzung war nicht nur ein finanzielles Desaster für CDK Global, sondern verursachte auch landesweite Störungen in der Autohandels- und Dienstleistungsbranche und ist ein abschreckendes Beispiel für jedes Softwareunternehmen, das seinen Kunden Anwendungen über ein SaaS-Modell anbietet. Die folgenden Sicherheitsvorkehrungen für die Cybersicherheit gehören zwar zu den bewährten Standardverfahren, sollten aber dennoch wiederholt werden.

Mitarbeiterschulung: Der erste Schritt bei den meisten Ransomware-Angriffen ist das Versenden von Phishing-E-Mails an Mitarbeiter, um diese zur Preisgabe ihrer Anmeldedaten zu verleiten. Führen Sie regelmäßige Schulungen durch, um Ihre Mitarbeiter über Phishing-Risiken aufzuklären und die Wahrscheinlichkeit zu verringern, dass ein Angreifer aufgrund eines Mitarbeiterfehlers in Ihren Systemen Fuß fassen kann.

Haben Sie einen Plan: Entwickeln Sie einen Notfallplan und überprüfen Sie ihn jährlich. Führen Sie mehrmals im Jahr "Brandschutzübungen" durch, um Mitarbeiter und Management auf einen Vorfall vorzubereiten. Und vergessen Sie nicht, einen Plan für die Kundenkommunikation zu erstellen, damit Sie die Erwartungen Ihrer Kunden während und nach einem Angriff erfüllen können.

Kontrolle des Mitarbeiterzugangs: Führen Sie strenge Kontrollen über den Zugang autorisierter Benutzer zu internen Systemen durch. Beschränken Sie den Zugang jedes Mitarbeiters auf das absolute Minimum, das er für seine Arbeit benötigt. Stellen Sie sicher, dass Mitarbeiter, die Zugang zu internen Systemen benötigen, sichere Passwörter und eine Multi-Faktor-Authentifizierung verwenden. Überprüfen Sie außerdem regelmäßig die Benutzerkonten und schließen Sie alte Konten, die nicht mehr verwendet werden - je älter das Konto ist, desto größer ist die Wahrscheinlichkeit, dass es ein leicht zu erratendes Passwort hat und nicht durch eine Multi-Faktor-Authentifizierung gesichert ist.

Verbesserte Sicherheitsprotokolle: regelmäßige Aktualisierungen und Patches für Softwaresysteme, um bekannte Schwachstellen zu schließen und Angriffe zu verhindern. 

Regelmäßige Datensicherung: Erstellen Sie regelmäßig Sicherungskopien kritischer Daten und Systeme und lagern Sie die Sicherungskopien sicher an einem anderen Ort, damit Sie im Falle eines Angriffs wiederhergestellt werden können. Ihr Plan für die Reaktion auf einen Vorfall sollte ein Verfahren zur schnellen Wiederherstellung von Sicherungskopien enthalten, um zu vermeiden, dass Ihre Kunden lange "auf dem Trockenen sitzen".

Schränken Sie die Verwendung von Microsoft Remote Desktop Protocol (RDP) ein: Laut Sophos, einem britischen Cybersicherheitsunternehmen, wurde das Microsoft® Remote Desktop Protocol (RDP) in 77 % der 2023 verfolgten Angriffe verwendet, um kompromittierte Anmeldeinformationen für den internen Zugriff oder die seitliche Bewegung innerhalb des Systems zu nutzen. Sophos ist der Ansicht, dass RDP nach wie vor "eines der am häufigsten missbrauchten Tools" ist, da es auf den meisten Windows®-Betriebssystemen vorinstalliert ist und vor Windows 11 nicht mit einem Brute-Force-Schutz ausgestattet war.

Um das Risiko zu verringern, rät Sophos Unternehmen, die RDP verwenden (dazu gehören auch Windows ISVs, die Microsoft RDS verwenden, um Anwendungen für Kunden bereitzustellen), dessen Verwendung stark einzuschränken. Wie? Stellen Sie erstens sicher, dass Kunden, die Windows 11 verwenden, die Kontosperrungsrichtlinie nicht deaktiviert haben. Zweitens sollten Sie sicherstellen, dass Kunden, die Windows 10 und 8.1 verwenden, die Kontosperrungsrichtlinie auf ihren Computern aktivieren. Oder Sie können von Ihren Kunden verlangen, dass sie RDP zwischen Remotedesktop-Sitzungen deaktivieren.

Oder...RDP und RDS nicht mehr verwenden.

Wenn Sie RDS und RDP verwenden, um Ihre Windows-Anwendung für Kunden bereitzustellen, und die hohen Risiken beseitigen möchten, die mit der Verwendung von RDP verbunden sind, ohne dass Sie die Windows-Einstellungen auf den Windows-Rechnern Ihrer Kunden vorgeben müssen, sollten Sie RDS und RDP nicht mehr verwenden.

RDS und RDP nicht mehr verwenden? Wie?

Es gibt eine Lösung für die Bereitstellung von Windows-Anwendungen für Kunden an jedem beliebigen Standort, die die Verwendung von RDS und RDP überflüssig macht.

GO-Global® bietet einen vollständigen Ersatz für die Multisession-Funktionalität von Microsoft, die Remotedesktopdienste und das Remotedesktopprotokoll. GO-Global ersetzt RDP durch RapidX Protocol (RXP), ein proprietäres Protokoll mit geringer Bandbreite. Da RXP ein Closed-Source-Protokoll ist, bietet es im Vergleich zum Open-Source-Protokoll von RDP zusätzlichen Schutz vor Angreifern.

Für zusätzliche Sicherheit bietet GO-Global 2FA, das Brute-Force- und Wörterbuch-Passwortsuchen unbrauchbar macht. Und GO-Global + SSO bietet Unterstützung für OpenID Connect, mit dem Unternehmen moderne Identitätsanbieter nutzen können, um Single Sign-on auf GO-Global Windows-Hosts zu ermöglichen.

Um eine GO-Global-Demo anzufordern, klicken Sie hier; für einen kostenlosen 30-Tage-Test von GO-Global klicken Sie hier.

Besorgt über RDS-Sicherheit?

Sehen Sie, wie GO-Global sicheren und einfachen Zugriff auf Windows-Anwendungen bietet

Kostenlose 30-Tage-Testversion
Demo anfordern
Autor
Nannette Vilushis
Direktorin für Marketing

Versuchen Sie GO-Global

Eine einfache, benutzerfreundliche und kostengünstige Lösung

Kostenlose 30-Tage-Testversion
Demo anfordern

Verwandte Beiträge

Alle Beiträge durchsuchen
Client-Server-Anwendungen im Jahr 2025
Informationen
7 Minuten lesen
5 Herausforderungen bei der Verwendung von Remote Desktop Services (RDS)
Informationen
5 Minuten Lesen
Wie funktioniert der virtuelle Desktop?
Informationen
7 Minuten lesen

Reduzieren Sie die Kosten und die Komplexität der Bereitstellung Ihrer Windows-Anwendung

Abonnieren Sie unseren Newsletter
Vielen Dank, dass Sie sich für unseren Newsletter angemeldet haben.
Huch! Beim Absenden des Formulars ist etwas schief gelaufen.