IT-Sicherheit in Zeiten des Ukrainekrieges

IT-Sicherheit in Zeiten des Ukrainekrieges

Beitrag teilen

Noch ist unklar, ob zum analogen Ukraine-Krieg ein regelrechter Cyberkonflikt dazu kommt – wenn sich ein solcher denn überhaupt exakt definieren lässt. Die aktuelle kriegerische Auseinandersetzung stellt aber in jedem Fall ein Risiko für die IT-Sicherheit von Unternehmen dar, auch wenn abzuwarten bleibt, wie sich die weitere Gefahrenlage entwickelt.

Um sich wirksam zu schützen, sollten Unternehmen zum einen aktuelle Gefahren im Blick haben und zum anderen Sicherheitsstandards noch strenger befolgen. Das unternehmenseigene Risikopotential bemisst sich dabei an der geographischen, geschäftlichen oder auch digitalen Nähe einer Organisation zur Ukraine.

Anzeige

Eine Abwehr aufbauen, bevor die Angriffe konkret werden

Aktuell ist es zu weniger Sicherheitsvorfällen im Zusammenhang mit dem Krieg gekommen als befürchtet. In der Mehrzahl handelte es sich um Denial-of-Service (DDoS)-Attacken. Bis jetzt liegen den Experten auch noch keine bestätigten Berichte von Angriffen auf Lücken in industriellen Steuerungssystemen (Industrial Control Systems, ICS) vor. Solche Aktionen hatten 2015 und 2016 die ukrainische Stromversorgung gelähmt. Einen stets aktualisierten Überblick der Geschehnisse bietet die Website von Curated Intelligence. Wie sich die Lage entwickelt, ist natürlich nicht absehbar. Aber weil der Krieg nach Europa zurückgekommen ist, müssen sich Unternehmen, Behörden und KRITIS-Betreiber auf die Ankunft eines Cyberwar vorbereiten.

Je vernetzter mit der Ukraine, desto gefährdeter

Es liegt nahe, dass das Risiko für die IT-Sicherheit durch einen Angriff mit der räumlichen oder digitalen Nähe zur Ukraine steigt. Die potenziellen Opfer lassen sich in drei Risikoklassen einteilen.

Risikoklasse 1

Unternehmen und Institutionen mit Sitz in der Ukraine: Sie sollten sich darauf vorbereiten, dass die Angreifer versuchen, Prozesse vollständig zu unterbrechen. Das zeigen Aktivitäten in der Vergangenheit. Zugleich gerät die Verfügbarkeit von Diensten und IT-Systemen ins Visier. DDoS-Angriffe und das Löschen von Daten sind ebenso zu befürchten wie Ausfallzeiten der Netzwerk-Infrastruktur. Die „Initial Access Broker“ genannten Kriminellen, die kontinuierlich nach Sicherheitslücken für den Weiterverkauf suchen und im Vorfeld von Angriffen die Zugangsdaten zu Netzwerken und Systemen zur Verfügung stellen, haben nun die Gelegenheit, ihre Ergebnisse an den Meistbietenden zu verkaufen. Im Waffenarsenal der Angreifer befinden sich Cybertools, die irreparable Schäden hervorrufen sollen.

Dazu zählen beispielsweise die Malwares CrashOverride oder NotPetya oder der Datenlöscher HermeticWiper aus der KillDisk-Malware-Familie. Mit HermeticWiper können sich die Urheber gezielt ihre Opfer aussuchen oder Angriffe breit über einen IP-Adressraum streuen, um für so viel Schaden wie möglich zu sorgen. Viele APT-Cyberkriminelle wären in der Lage, einen solchen Angriff wie etwa Gamaredon, UNC1151 (Ghostwriter), APT29, APT28, Sandworm, oder Turla durchzuführen. Bekannt ist die Absicht der Conti-Gruppe, gegen Ziele in der Ukraine vorzugehen. Doch auch die Interventionen von pro-ukrainischen Gruppen wie Anonymous und GhostSec können IT-Infrastrukturen gefährden.

Risikoklasse 2

Unternehmen und Institutionen mit Verbindung in die Ukraine: Bisher sind Cyberattacken auf die Ukraine beschränkt. Aber es ist davon auszugehen, dass auch die Nachbarländer und Organisationen, die mit der Ukraine verbunden sind, betroffen sein werden. Wer über VPN oder auch über die Supply Chain an Organisationen in das Land angebunden ist, sollte sein IT-Sicherheitsteam in Alarmbereitschaft versetzen und sich auf die Abwehr vorbereiten. In diesem Zug sollten die Verantwortlichen auch die Art der Vernetzung und damit das spezifische Risiko bewerten.

Risikoklasse 3

Unternehmen und Institutionen in Ländern, welche die Ukraine unterstützen: Dazu gehören alle Mitgliedsstaaten der NATO und der EU. Hier besteht das Risiko von Racheakten staatlicher Gruppen oder digitaler Söldner. Die Möglichkeit, dass eine Wiper-ähnliche Malware bereits eingesetzt wurde, ist groß, wenn auch bisher keine Beweise vorliegen. Die Verantwortlichen stehen in der Pflicht, die Widerstandsfähigkeit von Sicherheitssystemen und Abwehrplänen jetzt zu evaluieren, bevor es zum tatsächlichen Angriff kommt.

Abwehrmaßnahmen gegen Angreifer

Jörg von der Heydt, Regional Director DACH bei Bitdefender (Bild: Bitdefender).

Die Sicherheitslage bleibt unklar, Unternehmen können sich aber auf potenzielle Risiken vorbereiten. IT-Sicherheitslösungen und Dienste wie Endpoint Detection and Response (EDR) oder Managed Detection and Response (MDR) helfen und sind unverzichtbar. Aber es gibt auch konkrete Hausaufgaben, die IT-Sicherheit zu optimieren. Die folgenden Ratschläge gelten für alle Organisationen in den gerade definierten Risikoklassen:

  • Höchste Priorität haben Patches von Schwachstellen, die bekanntermaßen von staatlich unterstützten APT-Gruppen bereits ausgenutzt wurden. Eine Liste relevanter und bekannter Schwachstellen ist hier zu finden.
  • Der sichere Standort von Backups und der Test der Abläufe sowie die geprüfte lückenlose Wiederherstellung einer Disaster Recovery stehen angesichts der Gefahr durch Wiper auf der Agenda. Besonders gefährdete Unternehmen sollten alle Rechner und Server abschalten, die nicht IT-systemkritisch sind, um die Auswirkungen eines Angriffs einzuschränken.
  • Die Infrastruktur, das Netzwerk und auch die Konnektivität der Unternehmens-IT zu externen Partnern sind permanent zu überwachen. Nur so lassen sich potenzielle Angriffe frühzeitig erkennen und Abwehrpläne umsetzen.
  • Phishing-Kampagnen im Zusammenhang mit der Ukraine haben aktuell Hochkonjunktur. Cyberkriminelle nutzen die Hilfsbereitschaft in der Öffentlichkeit mit einem Repertoire immer besser gemachter Scams aus, die auch sicherheitsrelevante Auswirkungen haben können: Die erbeuteten Zugangsdaten sind dann die Eintrittskarte zu Systemen und Prozessen. Dieser Gefahr muss sich jeder Mitarbeiter bewusst sein.
  • Standardmaßnahmen der IT-Sicherheit sind wichtige Säulen für eine Abwehr. Dazu zählt die Mehrfaktor-Authentifikation für alle Remote-, privilegierten oder Admin-Zugänge auf das Netz, das Updaten von Software, das Deaktivieren von Ports und Protokollen, die für das Geschäft notwendig sind, sowie die Kontrolle und Bewertung in Anspruch genommener Cloud-Dienste.

Wer zu spät zur Abwehr kommt, den bestrafen die Cyberangreifer. Ob dies im Rahmen des laufenden Konflikts eintreten wird, ist jedoch noch unklar. Die Meinungen der Experten über das Ausmaß eines Cyberangriffs gehen auch auseinander. So mancher Experte argumentiert nicht unplausibel, dass es nach dem Kriegsausbruch einfacher ist, eine Fabrik zu bombardieren oder zu erobern, als ihre Server lahmzulegen. Denn Angriffe auf Produktion und Versorgungseinrichtungen wollen vorbereitet sein, wenn sie wirklich Wirkung zeigen sollen. Attraktiver, weil effizienter, seien DDoS-Attacken oder Desinformationskampagnen, die zur Verunsicherung beitragen. EU- und Nato-Länder wären sicher ein Ziel für unterschwellige Angriffe, die man bereits aus Friedenszeiten kennt. Die Gefahr zu unterschätzen, bedeutet aber, einem mitunter großen Risiko unvorbereitet entgegenzugehen.

Mehr bei Bitdefender.com

 


Über Bitdefender

Bitdefender ist ein weltweit führender Anbieter von Cybersicherheitslösungen und Antivirensoftware und schützt über 500 Millionen Systeme in mehr als 150 Ländern. Seit der Gründung im Jahr 2001 sorgen Innovationen des Unternehmens regelmäßig für ausgezeichnete Sicherheitsprodukte und intelligenten Schutz für Geräte, Netzwerke und Cloud-Dienste von Privatkunden und Unternehmen. Als Zulieferer erster Wahl befindet sich Bitdefender-Technologie in 38 Prozent der weltweit eingesetzten Sicherheitslösungen und genießt Vertrauen und Anerkennung bei Branchenexperten, Herstellern und Kunden gleichermaßen. www.bitdefender.de


 

Passende Artikel zum Thema

Identitätssicherheit: Viele Unternehmen sind noch am Anfang

Ein Anbieter von Identity Security für Unternehmen, hat seine aktuelle Studie „Horizons of Identity Security“ vorgestellt. Unternehmen mit fortschrittlicher Identitätssicherheit stehen ➡ Weiterlesen

NIS2-Compliance verstärkt IT-Fachkräftemangel

Eine neue Umfrage zur EU-weiten Umsetzung von NIS2 zeigt die erheblichen Auswirkungen auf Unternehmen bei der Anpassung an diese zentrale ➡ Weiterlesen

Datenverlust Klassifizierung: Wie verheerend ist er wirklich?

Ein Datenverlust ist immer ein Problem. Aber wie schwerwiegend der Verlust ist, hängt von den verlorenen Daten ab. Um das ➡ Weiterlesen

E-Mails: Sicherheit in den meisten Unternehmen mangelhaft

Jede achte Organisation war im letzten Jahr von einer Sicherheitsverletzung im E-Mail-Bereich betroffen, so die Studie “Email Security Threats Against ➡ Weiterlesen

Studie: SOC-Teams haben wenig Zutrauen in ihre Sicherheitstools

Ein führender Anbieter von KI-gestützter erweiterter Erkennung und Reaktion (XDR), hat die Ergebnisse seines neuen Forschungsberichts "2024 State of Threat ➡ Weiterlesen

Geräte und Nutzerkonten – darauf zielen Cyberangreifer

Der neue Cyber Risk Report zeigt die kritischen Schwachstellen in Unternehmen auf und bietet somit aber auch neue Möglichkeiten der ➡ Weiterlesen

NIS2-Richtlinie: Ziele und Herausforderungen bei der Umsetzung

Ziel der NIS-Direktive war es, für eine hohe Cyberresilienz in Unternehmen mit kritischer Infrastruktur in allen Mitgliedsstaaten der EU zu ➡ Weiterlesen

Wie CISOs höhere Cyberresilienz sicherstellen können

Die Cybersicherheit in Unternehmen hat sich in den vergangenen Jahren deutlich weiterentwickelt – die Techniken der Cyberkriminellen allerdings ebenso. Aber ➡ Weiterlesen