Eine Stellungnahme unseres CSO (Sicherheitsbeauftragter): Der Kaseya VSA Ransomware-Vorfall

Anmerkung: Diese Stellungnahme wurde ursprünglich am 03. Juli 2021 in der Community für Partner von NinjaOne veröffentlicht und in unserer App kommuniziert. Die Veröffentlichung in unserem Blog soll dazu beitragen, die Sichtbarkeit zu erhöhen und es unseren Partnern erleichtern, diese Stellungnahme an Ihre Endkunden weiter zu leiten.

Sehr geehrte NinjaOne-Benutzer,

Die meisten von Ihnen haben sicher inzwischen von den Ransomware-Vorfällen im Zusammenhang mit Kaseya VSA gehört, von denen MSP’s und Ihre Endkunden betroffen sind. Wie auch Sie, beobachten wir die Entwicklungen sehr genau und wir möchten Ihnen versichern, dass wir keinerlei Anhaltspunkte dafür gefunden haben, dass NinjaOne oder Partner von NinjaOne von dieser oder einer ähnlichen Attacke betroffen sind. Zur Klarstellung: NinjaOne verwendet keine Produkte, Services oder Komponenten von Kaseya in seinem Stack.

Verständlicherweise möchten unsere Partner nicht nur erfahren, ob NinjaOne von den aktuellen Ereignissen direkt betroffen ist, sondern wir erhalten darüber hinaus viele Fragen zu den Sicherheitsvorkehrungen, die NinjaOne umsetzt, um seine Partner zu schützen.

Wir möchten die Gelegenheit nutzen, Ihnen diesbezüglich einige Details mitzuteilen. Zuerst jedoch möchten wir klarstellen, dass wir in uneingeschränkter Solidarität hinter Kaseya stehen und diesen Akt des Terrorismus gegen Unternehmen und Ihre Kunden verurteilen. Es sind Vorfälle wie diese, die uns alle nachts nicht schlafen lassen und wir sind der festen Überzeugung, dass wir diesen Kampf gemeinsam führen müssen. Daher sind wir jederzeit bereit Kaseya und ihr Team zu unterstützen.

In Bezug auf unsere eigenen internen Sicherheitsbemühungen: Als Softwareanbieter sind wir uns darüber im Klaren, dass Sie Ihre Sicherheit in unsere Hände legen, und wir nehmen diese Verantwortung extrem ernst. Seit unserer Unternehmensgründung hat der Schutz unserer Infrastruktur für uns höchste Priorität. Wir passen unsere Sicherheitsprozesse und -initiativen ständig an, bewerten sie neu, verstärken und ergänzen sie und sehen unsere Arbeit im Bereich der Sicherheit als permanente Aufgabe an, die niemals ganz abgeschlossen sein wird.

Um einen Einblick in unsere Bemühungen zu geben, ist im Folgenden eine kurze Auswahl der Maßnahmen aufgeführt, die wir ergriffen haben, um NinjaOne und unsere Partner zu schützen:

  • NinjaOne’s Online-Dienstleistungen und unser Quellcode werden routinemäßigen Scans unterzogen sowie regelmäßigen Stresstests durch renommierte, externe Firmen ausgesetzt, um eventuelle Sicherheitslücken aufzudecken. NinjaOne wird konstant mit “SEHR SICHER” (“highly secure”) bewertet.
  • Unser Agenten-basiertes Verwaltungsportal wird in einer sicheren, isolierten Cloud-Umgebung mit einer leistungsstarken Verschlüsselung für alle im Ruhezustand befindlichen Daten gehostet. Unsere Cloud-Infrastruktur verfügt über zahlreiche integrierte Sicherheitsebenen und wird nur bei branchenführenden Cloud-Anbietern gehostet, die sich Audits unterzogen haben, welche in SSAE18 SOC1/SOC2/SOC3 Berichten resultieren..
  • Darüber hinaus ist der Zugang zu all unseren Cloud-Ressourcen, -Diensten und -Umgebungen streng reglementiert. Es werden VPNs benötigt (unter Verwendung von Verschlüsselung), wir setzen eine zweistufige MFA/2FA Authentifizierung in Verbindung mit SSL-Zertifikaten durch und überwachen alle Systeme auf ungewöhnliche Aktivitäten und unbefugte Versuche des Eindringens.
  • NinjaOne unterzieht sich außerdem jährlichen unabhängigen SSAE18 SOC2-Audits, aus denen im Ergebnis ein Bericht resultiert, den wir unseren Kunden auf Anfrage zur Verfügung stellen.
  • Wir unterziehen alle Systeme nicht nur unabhängigen Penetrationstests und Sicherheitsbewertungen, sondern haben Anfang des Jahres auch ein eigenes internes “Red Team” ins Leben gerufen, das kontinuierlich nach Schwachstellen sucht und uns hilft, diese zu beseitigen.
  • Abschließend hat NinjaOne Sicherheitskontrollen implementiert, um verschiedene Cyber-Sicherheitsstandards der US-Regierung zu erfüllen, dazu zählen:
    • NIST Cyber Security Framework (CSF) Revision 1.1
    • NIST Special Publication 800-171 Revision 2
    • NIST Special Publication 800-53 Revision 5
    • US Department of Defense Federal Acquisition Regulation Supplement (DFARS) clause 204-7012
    • US Department of Defense Cybersecurity Maturity Model Certification Level (CMMC) 3 (Anmerkung: Ein Zertifizierungsprozess hat nicht stattgefunden)

Angesichts dieses aktuellen Ereignisses sind unsere Mitarbeiter und insbesondere unser Sicherheitsteam äußerst wachsam. Wir werden alle zusätzlichen Informationen über die Art des Angriffs auswerten und unsere eigenen Sicherheitspraktiken jetzt und in Zukunft genaustens überprüfen, anpassen und verbessern. Wir leben nach dem Kodex, dass Sicherheit immer eine Momentaufnahme ist und wir werden Ihre Sicherheit und die Ihrer Partner auch zukünftig zu unserer Mission machen und unermüdlich dafür arbeiten.

Sie können sich mit Fragen oder Bedenken jederzeit gerne an unser Team wenden. Sie erreichen uns unter [email protected].

Vielen Dank, für Ihr Vertrauen in NinjaOne.

Mit freundlichen Grüßen,

Lewis Huynh

Chief Security Officer / Sicherheitsbeauftragter

Nächste Schritte

Für MSPs ist die Wahl eines RMM entscheidend für ihren Geschäftserfolg. Das Hauptversprechen eines RMM besteht darin, Automatisierung, Effizienz und Skalierbarkeit zu bieten, damit Sie profitabel wachsen können. NinjaOne ist seit mehr als 3 Jahren in Folge die Nummer 1 unter den RMMs – weil wir eine schnelle, benutzerfreundliche und leistungsstarke Plattform für MSPs jeder Größe bieten.
Erfahren Sie mehr über NinjaOne, sehen Sie sich eine Live-Tour an oder starten Sie Ihre kostenlose Testversion der NinjaOne-Plattform.

Das könnte Sie auch interessieren

Sind Sie bereit, ein IT-Ninja zu werden?

Erfahren Sie, wie Sie mit NinjaOne Ihren IT-Betrieb vereinfachen können.
×

Sehen Sie NinjaOne in Aktion!

Mit dem Absenden dieses Formulars akzeptiere ich die Datenschutzerklärung von NinjaOne.

NinjaOne Allgemeine Geschäftsbedingungen für Skripte

Indem Sie unten auf die Schaltfläche “Ich akzeptiere” klicken, erklären Sie Ihr Einverständnis mit den folgenden rechtlichen Bedingungen sowie mit unseren Nutzungsbedingungen:

  • Eigentumsrechte: NinjaOne besitzt und wird weiterhin alle Rechte, Titel und Interessen an dem Skript (einschließlich des Urheberrechts) behalten. NinjaOne gewährt Ihnen eine eingeschränkte Lizenz zur Nutzung des Skripts in Übereinstimmung mit diesen rechtlichen Bedingungen.
  • Einschränkung der Nutzung: Sie dürfen das Skript nur für Ihre legitimen persönlichen oder internen Geschäftszwecke verwenden und es nicht an Dritte weitergeben.
  • Verbot der Wiederveröffentlichung: Sie sind unter keinen Umständen berechtigt, das Skript in einer Skriptbibliothek, die einem anderen Softwareanbieter gehört oder von diesem kontrolliert wird, erneut zu veröffentlichen.
  • Gewährleistungsausschluss: Das Skript wird “wie gesehen” und “wie verfügbar” bereitgestellt, ohne jegliche Garantie. NinjaOne gibt keine Versprechen oder Garantien, dass das Skript frei von Fehlern ist oder dass es Ihre speziellen Bedürfnisse oder Erwartungen erfüllt.
  • Risikoübernahme: Die Verwendung des Skripts erfolgt auf eigene Gefahr. Sie erkennen an, dass die Nutzung des Skripts mit bestimmten Risiken verbunden ist, und Sie verstehen und übernehmen jedes dieser Risiken.
  • Verzicht und Freigabe: Sie machen NinjaOne nicht für nachteilige oder unbeabsichtigte Folgen verantwortlich, die sich aus Ihrer Nutzung des Skripts ergeben, und Sie verzichten auf alle gesetzlichen oder billigkeitsrechtlichen Rechte oder Rechtsmittel, die Sie gegen NinjaOne im Zusammenhang mit Ihrer Nutzung des Skripts haben könnten.
  • EULA: Wenn Sie ein NinjaOne-Kunde sind, unterliegt Ihre Nutzung des Skripts dem für Sie geltenden Endbenutzer-Lizenzvertrag (EULA).