IT-Sicherheit in Zeiten des Ukrainekrieges

IT-Sicherheit in Zeiten des Ukrainekrieges

Beitrag teilen

Noch ist unklar, ob zum analogen Ukraine-Krieg ein regelrechter Cyberkonflikt dazu kommt – wenn sich ein solcher denn überhaupt exakt definieren lässt. Die aktuelle kriegerische Auseinandersetzung stellt aber in jedem Fall ein Risiko für die IT-Sicherheit von Unternehmen dar, auch wenn abzuwarten bleibt, wie sich die weitere Gefahrenlage entwickelt.

Um sich wirksam zu schützen, sollten Unternehmen zum einen aktuelle Gefahren im Blick haben und zum anderen Sicherheitsstandards noch strenger befolgen. Das unternehmenseigene Risikopotential bemisst sich dabei an der geographischen, geschäftlichen oder auch digitalen Nähe einer Organisation zur Ukraine.

Anzeige

Eine Abwehr aufbauen, bevor die Angriffe konkret werden

Aktuell ist es zu weniger Sicherheitsvorfällen im Zusammenhang mit dem Krieg gekommen als befürchtet. In der Mehrzahl handelte es sich um Denial-of-Service (DDoS)-Attacken. Bis jetzt liegen den Experten auch noch keine bestätigten Berichte von Angriffen auf Lücken in industriellen Steuerungssystemen (Industrial Control Systems, ICS) vor. Solche Aktionen hatten 2015 und 2016 die ukrainische Stromversorgung gelähmt. Einen stets aktualisierten Überblick der Geschehnisse bietet die Website von Curated Intelligence. Wie sich die Lage entwickelt, ist natürlich nicht absehbar. Aber weil der Krieg nach Europa zurückgekommen ist, müssen sich Unternehmen, Behörden und KRITIS-Betreiber auf die Ankunft eines Cyberwar vorbereiten.

Je vernetzter mit der Ukraine, desto gefährdeter

Es liegt nahe, dass das Risiko für die IT-Sicherheit durch einen Angriff mit der räumlichen oder digitalen Nähe zur Ukraine steigt. Die potenziellen Opfer lassen sich in drei Risikoklassen einteilen.

Risikoklasse 1

Unternehmen und Institutionen mit Sitz in der Ukraine: Sie sollten sich darauf vorbereiten, dass die Angreifer versuchen, Prozesse vollständig zu unterbrechen. Das zeigen Aktivitäten in der Vergangenheit. Zugleich gerät die Verfügbarkeit von Diensten und IT-Systemen ins Visier. DDoS-Angriffe und das Löschen von Daten sind ebenso zu befürchten wie Ausfallzeiten der Netzwerk-Infrastruktur. Die „Initial Access Broker“ genannten Kriminellen, die kontinuierlich nach Sicherheitslücken für den Weiterverkauf suchen und im Vorfeld von Angriffen die Zugangsdaten zu Netzwerken und Systemen zur Verfügung stellen, haben nun die Gelegenheit, ihre Ergebnisse an den Meistbietenden zu verkaufen. Im Waffenarsenal der Angreifer befinden sich Cybertools, die irreparable Schäden hervorrufen sollen.

Dazu zählen beispielsweise die Malwares CrashOverride oder NotPetya oder der Datenlöscher HermeticWiper aus der KillDisk-Malware-Familie. Mit HermeticWiper können sich die Urheber gezielt ihre Opfer aussuchen oder Angriffe breit über einen IP-Adressraum streuen, um für so viel Schaden wie möglich zu sorgen. Viele APT-Cyberkriminelle wären in der Lage, einen solchen Angriff wie etwa Gamaredon, UNC1151 (Ghostwriter), APT29, APT28, Sandworm, oder Turla durchzuführen. Bekannt ist die Absicht der Conti-Gruppe, gegen Ziele in der Ukraine vorzugehen. Doch auch die Interventionen von pro-ukrainischen Gruppen wie Anonymous und GhostSec können IT-Infrastrukturen gefährden.

Risikoklasse 2

Unternehmen und Institutionen mit Verbindung in die Ukraine: Bisher sind Cyberattacken auf die Ukraine beschränkt. Aber es ist davon auszugehen, dass auch die Nachbarländer und Organisationen, die mit der Ukraine verbunden sind, betroffen sein werden. Wer über VPN oder auch über die Supply Chain an Organisationen in das Land angebunden ist, sollte sein IT-Sicherheitsteam in Alarmbereitschaft versetzen und sich auf die Abwehr vorbereiten. In diesem Zug sollten die Verantwortlichen auch die Art der Vernetzung und damit das spezifische Risiko bewerten.

Risikoklasse 3

Unternehmen und Institutionen in Ländern, welche die Ukraine unterstützen: Dazu gehören alle Mitgliedsstaaten der NATO und der EU. Hier besteht das Risiko von Racheakten staatlicher Gruppen oder digitaler Söldner. Die Möglichkeit, dass eine Wiper-ähnliche Malware bereits eingesetzt wurde, ist groß, wenn auch bisher keine Beweise vorliegen. Die Verantwortlichen stehen in der Pflicht, die Widerstandsfähigkeit von Sicherheitssystemen und Abwehrplänen jetzt zu evaluieren, bevor es zum tatsächlichen Angriff kommt.

Abwehrmaßnahmen gegen Angreifer

Jörg von der Heydt, Regional Director DACH bei Bitdefender (Bild: Bitdefender).

Die Sicherheitslage bleibt unklar, Unternehmen können sich aber auf potenzielle Risiken vorbereiten. IT-Sicherheitslösungen und Dienste wie Endpoint Detection and Response (EDR) oder Managed Detection and Response (MDR) helfen und sind unverzichtbar. Aber es gibt auch konkrete Hausaufgaben, die IT-Sicherheit zu optimieren. Die folgenden Ratschläge gelten für alle Organisationen in den gerade definierten Risikoklassen:

  • Höchste Priorität haben Patches von Schwachstellen, die bekanntermaßen von staatlich unterstützten APT-Gruppen bereits ausgenutzt wurden. Eine Liste relevanter und bekannter Schwachstellen ist hier zu finden.
  • Der sichere Standort von Backups und der Test der Abläufe sowie die geprüfte lückenlose Wiederherstellung einer Disaster Recovery stehen angesichts der Gefahr durch Wiper auf der Agenda. Besonders gefährdete Unternehmen sollten alle Rechner und Server abschalten, die nicht IT-systemkritisch sind, um die Auswirkungen eines Angriffs einzuschränken.
  • Die Infrastruktur, das Netzwerk und auch die Konnektivität der Unternehmens-IT zu externen Partnern sind permanent zu überwachen. Nur so lassen sich potenzielle Angriffe frühzeitig erkennen und Abwehrpläne umsetzen.
  • Phishing-Kampagnen im Zusammenhang mit der Ukraine haben aktuell Hochkonjunktur. Cyberkriminelle nutzen die Hilfsbereitschaft in der Öffentlichkeit mit einem Repertoire immer besser gemachter Scams aus, die auch sicherheitsrelevante Auswirkungen haben können: Die erbeuteten Zugangsdaten sind dann die Eintrittskarte zu Systemen und Prozessen. Dieser Gefahr muss sich jeder Mitarbeiter bewusst sein.
  • Standardmaßnahmen der IT-Sicherheit sind wichtige Säulen für eine Abwehr. Dazu zählt die Mehrfaktor-Authentifikation für alle Remote-, privilegierten oder Admin-Zugänge auf das Netz, das Updaten von Software, das Deaktivieren von Ports und Protokollen, die für das Geschäft notwendig sind, sowie die Kontrolle und Bewertung in Anspruch genommener Cloud-Dienste.

Wer zu spät zur Abwehr kommt, den bestrafen die Cyberangreifer. Ob dies im Rahmen des laufenden Konflikts eintreten wird, ist jedoch noch unklar. Die Meinungen der Experten über das Ausmaß eines Cyberangriffs gehen auch auseinander. So mancher Experte argumentiert nicht unplausibel, dass es nach dem Kriegsausbruch einfacher ist, eine Fabrik zu bombardieren oder zu erobern, als ihre Server lahmzulegen. Denn Angriffe auf Produktion und Versorgungseinrichtungen wollen vorbereitet sein, wenn sie wirklich Wirkung zeigen sollen. Attraktiver, weil effizienter, seien DDoS-Attacken oder Desinformationskampagnen, die zur Verunsicherung beitragen. EU- und Nato-Länder wären sicher ein Ziel für unterschwellige Angriffe, die man bereits aus Friedenszeiten kennt. Die Gefahr zu unterschätzen, bedeutet aber, einem mitunter großen Risiko unvorbereitet entgegenzugehen.

Mehr bei Bitdefender.com

 


Über Bitdefender

Bitdefender ist ein weltweit führender Anbieter von Cybersicherheitslösungen und Antivirensoftware und schützt über 500 Millionen Systeme in mehr als 150 Ländern. Seit der Gründung im Jahr 2001 sorgen Innovationen des Unternehmens regelmäßig für ausgezeichnete Sicherheitsprodukte und intelligenten Schutz für Geräte, Netzwerke und Cloud-Dienste von Privatkunden und Unternehmen. Als Zulieferer erster Wahl befindet sich Bitdefender-Technologie in 38 Prozent der weltweit eingesetzten Sicherheitslösungen und genießt Vertrauen und Anerkennung bei Branchenexperten, Herstellern und Kunden gleichermaßen. www.bitdefender.de


 

Passende Artikel zum Thema

RAG: Innovative KI-Technologien bringen Gefahren mit sich

Seit der Einführung von ChatGPT 2022 wollen immer mehr Unternehmen KI-Technologien nutzen – oft mit spezifischen Anforderungen. Retrieval Augmented Generation ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Test: Schutz vor Malware unter MacOS Sonoma 14.6

Hunderte Exemplare besonders gefährlicher MacOS-Malware attackieren im Labortest Schutzprodukte für Unternehmen unter Sonoma 14.6. Der Q3/2024-Test zeigt starke Lösungen für ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen

2025: Wer will IT-Security-Verantwortlicher sein?

Wie jedes Jahr haben die IT-Security-Spezialisten von WatchGuard Technologies auch Ende 2024 einen Blick in die Zukunft gewagt und ihre ➡ Weiterlesen

Active-Directory-Sicherung und -Wiederherstellung

Ransomware-Bedrohungen oder auch aktive Angriffe sind für Unternehmen längst Bestandteil ihres Alltags. Viele Attacken auf Identity-Systeme und allen voran Active ➡ Weiterlesen

Neue Gefahren durch Ransomware-Gruppe RansomHub

Ein Anbieter einer KI-gestützten, Cloud-basierten Cyber-Sicherheitsplattform hat einen Bericht zu Ransomware-Aktivitäten und -Trends aus dem vergangenen Monat September 2024 veröffentlicht. ➡ Weiterlesen

Cybersecurity-Trends 2025

Die Cybersecurity befindet sich derzeit in einem dramatischen Wandel. Während Cyberkriminelle zunehmend KI-gestützte Angriffsmethoden entwickeln und ihre Taktiken verfeinern, stehen ➡ Weiterlesen