IT-Sicherheit in Zeiten des Ukrainekrieges

15. April 2022
| Keine Kommentare
IT-Sicherheit in Zeiten des Ukrainekrieges

Beitrag teilen

Noch ist unklar, ob zum analogen Ukraine-Krieg ein regelrechter Cyberkonflikt dazu kommt – wenn sich ein solcher denn überhaupt exakt definieren lässt. Die aktuelle kriegerische Auseinandersetzung stellt aber in jedem Fall ein Risiko für die IT-Sicherheit von Unternehmen dar, auch wenn abzuwarten bleibt, wie sich die weitere Gefahrenlage entwickelt.

Um sich wirksam zu schützen, sollten Unternehmen zum einen aktuelle Gefahren im Blick haben und zum anderen Sicherheitsstandards noch strenger befolgen. Das unternehmenseigene Risikopotential bemisst sich dabei an der geographischen, geschäftlichen oder auch digitalen Nähe einer Organisation zur Ukraine.

Eine Abwehr aufbauen, bevor die Angriffe konkret werden

Aktuell ist es zu weniger Sicherheitsvorfällen im Zusammenhang mit dem Krieg gekommen als befürchtet. In der Mehrzahl handelte es sich um Denial-of-Service (DDoS)-Attacken. Bis jetzt liegen den Experten auch noch keine bestätigten Berichte von Angriffen auf Lücken in industriellen Steuerungssystemen (Industrial Control Systems, ICS) vor. Solche Aktionen hatten 2015 und 2016 die ukrainische Stromversorgung gelähmt. Einen stets aktualisierten Überblick der Geschehnisse bietet die Website von Curated Intelligence. Wie sich die Lage entwickelt, ist natürlich nicht absehbar. Aber weil der Krieg nach Europa zurückgekommen ist, müssen sich Unternehmen, Behörden und KRITIS-Betreiber auf die Ankunft eines Cyberwar vorbereiten.

Je vernetzter mit der Ukraine, desto gefährdeter

Es liegt nahe, dass das Risiko für die IT-Sicherheit durch einen Angriff mit der räumlichen oder digitalen Nähe zur Ukraine steigt. Die potenziellen Opfer lassen sich in drei Risikoklassen einteilen.

Risikoklasse 1

Unternehmen und Institutionen mit Sitz in der Ukraine: Sie sollten sich darauf vorbereiten, dass die Angreifer versuchen, Prozesse vollständig zu unterbrechen. Das zeigen Aktivitäten in der Vergangenheit. Zugleich gerät die Verfügbarkeit von Diensten und IT-Systemen ins Visier. DDoS-Angriffe und das Löschen von Daten sind ebenso zu befürchten wie Ausfallzeiten der Netzwerk-Infrastruktur. Die „Initial Access Broker“ genannten Kriminellen, die kontinuierlich nach Sicherheitslücken für den Weiterverkauf suchen und im Vorfeld von Angriffen die Zugangsdaten zu Netzwerken und Systemen zur Verfügung stellen, haben nun die Gelegenheit, ihre Ergebnisse an den Meistbietenden zu verkaufen. Im Waffenarsenal der Angreifer befinden sich Cybertools, die irreparable Schäden hervorrufen sollen.

Dazu zählen beispielsweise die Malwares CrashOverride oder NotPetya oder der Datenlöscher HermeticWiper aus der KillDisk-Malware-Familie. Mit HermeticWiper können sich die Urheber gezielt ihre Opfer aussuchen oder Angriffe breit über einen IP-Adressraum streuen, um für so viel Schaden wie möglich zu sorgen. Viele APT-Cyberkriminelle wären in der Lage, einen solchen Angriff wie etwa Gamaredon, UNC1151 (Ghostwriter), APT29, APT28, Sandworm, oder Turla durchzuführen. Bekannt ist die Absicht der Conti-Gruppe, gegen Ziele in der Ukraine vorzugehen. Doch auch die Interventionen von pro-ukrainischen Gruppen wie Anonymous und GhostSec können IT-Infrastrukturen gefährden.

Risikoklasse 2

Unternehmen und Institutionen mit Verbindung in die Ukraine: Bisher sind Cyberattacken auf die Ukraine beschränkt. Aber es ist davon auszugehen, dass auch die Nachbarländer und Organisationen, die mit der Ukraine verbunden sind, betroffen sein werden. Wer über VPN oder auch über die Supply Chain an Organisationen in das Land angebunden ist, sollte sein IT-Sicherheitsteam in Alarmbereitschaft versetzen und sich auf die Abwehr vorbereiten. In diesem Zug sollten die Verantwortlichen auch die Art der Vernetzung und damit das spezifische Risiko bewerten.

Risikoklasse 3

Unternehmen und Institutionen in Ländern, welche die Ukraine unterstützen: Dazu gehören alle Mitgliedsstaaten der NATO und der EU. Hier besteht das Risiko von Racheakten staatlicher Gruppen oder digitaler Söldner. Die Möglichkeit, dass eine Wiper-ähnliche Malware bereits eingesetzt wurde, ist groß, wenn auch bisher keine Beweise vorliegen. Die Verantwortlichen stehen in der Pflicht, die Widerstandsfähigkeit von Sicherheitssystemen und Abwehrplänen jetzt zu evaluieren, bevor es zum tatsächlichen Angriff kommt.

Abwehrmaßnahmen gegen Angreifer

Jörg von der Heydt, Regional Director DACH bei Bitdefender (Bild: Bitdefender).

Die Sicherheitslage bleibt unklar, Unternehmen können sich aber auf potenzielle Risiken vorbereiten. IT-Sicherheitslösungen und Dienste wie Endpoint Detection and Response (EDR) oder Managed Detection and Response (MDR) helfen und sind unverzichtbar. Aber es gibt auch konkrete Hausaufgaben, die IT-Sicherheit zu optimieren. Die folgenden Ratschläge gelten für alle Organisationen in den gerade definierten Risikoklassen:

  • Höchste Priorität haben Patches von Schwachstellen, die bekanntermaßen von staatlich unterstützten APT-Gruppen bereits ausgenutzt wurden. Eine Liste relevanter und bekannter Schwachstellen ist hier zu finden.
  • Der sichere Standort von Backups und der Test der Abläufe sowie die geprüfte lückenlose Wiederherstellung einer Disaster Recovery stehen angesichts der Gefahr durch Wiper auf der Agenda. Besonders gefährdete Unternehmen sollten alle Rechner und Server abschalten, die nicht IT-systemkritisch sind, um die Auswirkungen eines Angriffs einzuschränken.
  • Die Infrastruktur, das Netzwerk und auch die Konnektivität der Unternehmens-IT zu externen Partnern sind permanent zu überwachen. Nur so lassen sich potenzielle Angriffe frühzeitig erkennen und Abwehrpläne umsetzen.
  • Phishing-Kampagnen im Zusammenhang mit der Ukraine haben aktuell Hochkonjunktur. Cyberkriminelle nutzen die Hilfsbereitschaft in der Öffentlichkeit mit einem Repertoire immer besser gemachter Scams aus, die auch sicherheitsrelevante Auswirkungen haben können: Die erbeuteten Zugangsdaten sind dann die Eintrittskarte zu Systemen und Prozessen. Dieser Gefahr muss sich jeder Mitarbeiter bewusst sein.
  • Standardmaßnahmen der IT-Sicherheit sind wichtige Säulen für eine Abwehr. Dazu zählt die Mehrfaktor-Authentifikation für alle Remote-, privilegierten oder Admin-Zugänge auf das Netz, das Updaten von Software, das Deaktivieren von Ports und Protokollen, die für das Geschäft notwendig sind, sowie die Kontrolle und Bewertung in Anspruch genommener Cloud-Dienste.

Wer zu spät zur Abwehr kommt, den bestrafen die Cyberangreifer. Ob dies im Rahmen des laufenden Konflikts eintreten wird, ist jedoch noch unklar. Die Meinungen der Experten über das Ausmaß eines Cyberangriffs gehen auch auseinander. So mancher Experte argumentiert nicht unplausibel, dass es nach dem Kriegsausbruch einfacher ist, eine Fabrik zu bombardieren oder zu erobern, als ihre Server lahmzulegen. Denn Angriffe auf Produktion und Versorgungseinrichtungen wollen vorbereitet sein, wenn sie wirklich Wirkung zeigen sollen. Attraktiver, weil effizienter, seien DDoS-Attacken oder Desinformationskampagnen, die zur Verunsicherung beitragen. EU- und Nato-Länder wären sicher ein Ziel für unterschwellige Angriffe, die man bereits aus Friedenszeiten kennt. Die Gefahr zu unterschätzen, bedeutet aber, einem mitunter großen Risiko unvorbereitet entgegenzugehen.

Mehr bei Bitdefender.com

 

Über Bitdefender

Bitdefender ist ein weltweit führender Anbieter von Cybersicherheitslösungen und Antivirensoftware und schützt über 500 Millionen Systeme in mehr als 150 Ländern. Seit der Gründung im Jahr 2001 sorgen Innovationen des Unternehmens regelmäßig für ausgezeichnete Sicherheitsprodukte und intelligenten Schutz für Geräte, Netzwerke und Cloud-Dienste von Privatkunden und Unternehmen. Als Zulieferer erster Wahl befindet sich Bitdefender-Technologie in 38 Prozent der weltweit eingesetzten Sicherheitslösungen und genießt Vertrauen und Anerkennung bei Branchenexperten, Herstellern und Kunden gleichermaßen. www.bitdefender.de

 

Passende Artikel zum Thema

Kryptografie und Quantencomputing

Kryptografie ist seit geraumer Zeit eines der besten Mittel, um digitale Informationen vor unberechtigtem Zugriff zu schützen – beispielsweise, um ➡ Weiterlesen

Löchriges LG WebOS gefährdet Präsentations-TVs in Unternehmen 

On vielen Unternehmen stehen in Konferenzräumen inzwischen große TV-Geräte für Events oder Video-Konferenzen. Das dies unerwartet auch Schwachstellen hinter die ➡ Weiterlesen

KMU im Visier: Cyberangriffe auf Lieferketten

Partnerschaften, Dienstleistungen, Kundenbeziehungen – keine Organisation agiert autark. Verträge, Compliances und Gesetze regeln die Zusammenarbeit, doch wie steht es um ➡ Weiterlesen

XZ-Schwachstelle: kostenloser XZ Backdoor Scanner

Die Bitdefender Labs bieten einen kostenlosen Scanner, mit dem Unternehmen ihre IT-Systeme auf die am 29. März 2024 bekannt gewordene ➡ Weiterlesen

Ursachen für Datenverluste in deutschen Unternehmen

Datenverlust ist ein Problem, das im Zusammenspiel zwischen Menschen und Maschinen auftritt: „Unvorsichtige Benutzer“ sind mit viel größerer Wahrscheinlichkeit die ➡ Weiterlesen

Warum Cyberkriminelle extra auf Backups zielen

Es gibt im Wesentlichen zwei Möglichkeiten, verschlüsselte Daten nach einem Ransomware-Angriff wiederherzustellen: die Wiederherstellung aus Backups und die Zahlung des ➡ Weiterlesen

Report: Mehr E-Mail-Server-Angriffe und Evasive Malware

WatchGuard Internet Security Report dokumentiert einen dramatischen Anstieg der sogenannten „Evasive Malware“, was zu einer deutlichen Erhöhung des Malware-Gesamtvolumens beiträgt. ➡ Weiterlesen

Dynamische Angriffsflächen in der Cloud schützen

Immer mehr Unternehmen verlagern digitale Assets in die Cloud. In der Folge erweitert sich die Angriffsfläche der IT und wird, ➡ Weiterlesen

Bitdefender, Storys
, , , , ,