Noch ist unklar, ob zum analogen Ukraine-Krieg ein regelrechter Cyberkonflikt dazu kommt – wenn sich ein solcher denn überhaupt exakt definieren lässt. Die aktuelle kriegerische Auseinandersetzung stellt aber in jedem Fall ein Risiko für die IT von Unternehmen dar, auch wenn abzuwarten bleibt, wie sich die weitere Gefahrenlage entwickelt.
Um sich wirksam zu schützen, sollten Unternehmen zum einen aktuelle Gefahren im Blick haben und zum anderen Sicherheitsstandards noch strenger befolgen. Das unternehmenseigene Risikopotential bemisst sich dabei an der geographischen, geschäftlichen oder auch digitalen Nähe einer Organisation zur Ukraine.
Aktuell ist es zu weniger Sicherheitsvorfällen im Zusammenhang mit dem Krieg gekommen als befürchtet. In der Mehrzahl handelte es sich um Denial-of-Service (DDoS)-Attacken. Bis jetzt liegen den Experten auch noch keine bestätigten Berichte von Angriffen auf Lücken in industriellen Steuerungssystemen (Industrial Control Systems, ICS) vor.
Solche Aktionen hatten 2015 und 2016 die ukrainische Stromversorgung gelähmt. Einen stets aktualisierten Überblick der Geschehnisse bietet die Website von Curated Intelligence. Wie sich die Lage entwickelt, ist natürlich nicht absehbar. Aber weil der Krieg nach Europa zurückgekommen ist, müssen sich Unternehmen, Behörden und KRITIS-Betreiber auf die Ankunft eines Cyberwar vorbereiten.
Je vernetzter mit der Ukraine, desto gefährdeter
Es liegt nahe, dass das Risiko eines Angriffs mit der räumlichen oder digitalen Nähe zur Ukraine steigt. Die potenziellen Opfer lassen sich in drei Risikoklassen einteilen.
- Risikoklasse 1
Unternehmen und Institutionen mit Sitz in der Ukraine: Sie sollten sich darauf vorbereiten, dass die Angreifer versuchen, Prozesse vollständig zu unterbrechen. Das zeigen Aktivitäten in der Vergangenheit. Zugleich gerät die Verfügbarkeit von Diensten und IT-Systemen ins Visier. DDoS-Angriffe und das Löschen von Daten sind ebenso zu befürchten wie Ausfallzeiten der Netzwerk-Infrastruktur.
Die „Initial Access Broker“ genannten Kriminellen, die kontinuierlich nach Sicherheitslücken für den Weiterverkauf suchen und im Vorfeld von Angriffen die Zugangsdaten zu Netzwerken und Systemen zur Verfügung stellen, haben nun die Gelegenheit, ihre Ergebnisse an den Meistbietenden zu verkaufen.
Im Waffenarsenal der Angreifer befinden sich Cybertools, die irreparable Schäden hervorrufen sollen. Dazu zählen beispielsweise die Malwares CrashOverride oder NotPetya oder der Datenlöscher HermeticWiper aus der KillDisk-Malware-Familie. Mit HermeticWiper können sich die Urheber gezielt ihre Opfer aussuchen oder Angriffe breit über einen IP-Adressraum streuen, um für so viel Schaden wie möglich zu sorgen.
Viele APT-Cyberkriminelle wären in der Lage, einen solchen Angriff wie etwa Gamaredon, UNC1151 (Ghostwriter), APT29, APT28, Sandworm, oder Turla durchzuführen. Bekannt ist die Absicht der Conti-Gruppe, gegen Ziele in der Ukraine vorzugehen. Doch auch die Interventionen von pro-ukrainischen Gruppen wie Anonymous und GhostSec können IT-Infrastrukturen gefährden.
- Risikoklasse 2
Unternehmen und Institutionen mit Verbindung in die Ukraine: Bisher sind Cyberattacken auf die Ukraine beschränkt. Aber es ist davon auszugehen, dass auch die Nachbarländer und Organisationen, die mit der Ukraine verbunden sind, betroffen sein werden. Wer über VPN oder auch über die Supply Chain an Organisationen in das Land angebunden ist, sollte sein IT-Sicherheitsteam in Alarmbereitschaft versetzen und sich auf die Abwehr vorbereiten. In diesem Zug sollten die Verantwortlichen auch die Art der Vernetzung und damit das spezifische Risiko bewerten.
- Risikoklasse 3
Unternehmen und Institutionen in Ländern, welche die Ukraine unterstützen: Dazu gehören alle Mitgliedsstaaten der NATO und der EU. Hier besteht das Risiko von Racheakten staatlicher Gruppen oder digitaler Söldner. Die Möglichkeit, dass eine Wiper-ähnliche Malware bereits eingesetzt wurde, ist groß, wenn auch bisher keine Beweise vorliegen. Die Verantwortlichen stehen in der Pflicht, die Widerstandsfähigkeit von Sicherheitssystemen und Abwehrplänen jetzt zu evaluieren, bevor es zum tatsächlichen Angriff kommt.
Abwehrmaßnahmen
Die Sicherheitslage bleibt unklar, Unternehmen können sich aber auf potenzielle Risiken vorbereiten. IT-Sicherheitslösungen und Dienste wie Endpoint Detection and Response (EDR) oder Managed Detection and Response (MDR) helfen und sind unverzichtbar. Aber es gibt auch konkrete Hausaufgaben, die IT-Sicherheit zu optimieren.
Die folgenden Ratschläge gelten für alle Organisationen in den gerade definierten Risikoklassen:
- Höchste Priorität haben Patches von Schwachstellen, die bekanntermaßen von staatlich unterstützten APT-Gruppen bereits ausgenutzt wurden. Eine Liste relevanter und bekannter Schwachstellen ist hier zu finden.
- Der sichere Standort von Backups und der Test der Abläufe sowie die geprüfte lückenlose Wiederherstellung einer Disaster Recovery stehen angesichts der Gefahr durch Wiper auf der Agenda. Besonders gefährdete Unternehmen sollten alle Rechner und Server abschalten, die nicht IT-systemkritisch sind, um die Auswirkungen eines Angriffs einzuschränken.
- Die Infrastruktur, das Netzwerk und auch die Konnektivität der Unternehmens-IT zu externen Partnern sind permanent zu überwachen. Nur so lassen sich potenzielle Angriffe frühzeitig erkennen und Abwehrpläne umsetzen.
- Phishing-Kampagnen im Zusammenhang mit der Ukraine haben aktuell Hochkonjunktur. Cyberkriminelle nutzen die Hilfsbereitschaft in der Öffentlichkeit mit einem Repertoire immer besser gemachter Scams aus, die auch sicherheitsrelevante Auswirkungen haben können: Die erbeuteten Zugangsdaten sind dann die Eintrittskarte zu Systemen und Prozessen. Dieser Gefahr muss sich jeder Mitarbeiter bewusst sein.
- Standardmaßnahmen der IT-Sicherheit sind wichtige Säulen für eine Abwehr. Dazu zählt die Mehrfaktor-Authentifikation für alle Remote-, privilegierten oder Admin-Zugänge auf das Netz, das Updaten von Software, das Deaktivieren von Ports und Protokollen, die für das Geschäft notwendig sind, sowie die Kontrolle und Bewertung in Anspruch genommener Cloud-Dienste.
Wer zu spät zur Abwehr kommt, den bestrafen die Cyberangreifer. Ob dies im Rahmen des laufenden Konflikts eintreten wird, ist jedoch noch unklar. Die Meinungen der Experten über das Ausmaß eines Cyberangriffs gehen auch auseinander. So mancher Experte argumentiert nicht unplausibel, dass es nach dem Kriegsausbruch einfacher ist, eine Fabrik zu bombardieren oder zu erobern, als ihre Server lahmzulegen.
Denn Angriffe auf Produktion und Versorgungseinrichtungen wollen vorbereitet sein, wenn sie wirklich Wirkung zeigen sollen. Attraktiver, weil effizienter, seien DDoS-Attacken oder Desinformationskampagnen, die zur Verunsicherung beitragen. EU- und Nato-Länder wären sicher ein Ziel für unterschwellige Angriffe, die man bereits aus Friedenszeiten kennt. Die Gefahr zu unterschätzen, bedeutet aber, einem mitunter großen Risiko unvorbereitet entgegenzugehen.