Kommentar: Grenzen zwischen Vorfällen in Cyberraum und realer Welt verschwimmen

Cybersicherheitsvorfälle schlagen in der Realität auf – auch in Deutschland. In der Tat ist das schon öfter geschehen. Jüngste Beispiele sind die Cyberangriffe auf die Mainzer Stadtwerke und das Energieunternehmen ENTEGA. Beide Unternehmen kämpfen immer noch damit, ihre E-Mail-Systeme und Websites wieder zum Laufen zu bringen.

Die jüngst getroffenen Unternehmen nutzen beide denselben Anbieter von IT-Lösungen, Count+Care, dessen Website derzeit ebenfalls nicht zugänglich ist, ebenso wie die von Mainzer Mobilität, Mainzer Stadtwerke, Mainzer Netze Gesellschaft und Taubertsbergbad. „Dieser umfangreiche Angriff ist nur der jüngste in einer Flut von Cyberangriffen in Deutschland und dem übrigen Europa, die seit Beginn des Krieges zwischen Russland und der Ukraine mit staatlich unterstützten russischen Bedrohungsakteuren in Verbindung gebracht werden – und es wird wahrscheinlich nicht der letzte sein“, so Alon Schwartz, Cyber Security Researcher bei Logpoint Global Services.

Schwartz weiter: „Mit dem Einmarsch Russlands in die Ukraine haben sich die Regeln geändert. Die staatlich gesponserten Bedrohungsakteure sind nicht mehr auf finanziellen Gewinn aus, sondern wollen Schaden und Zerstörung anrichten. Man kann davon ausgehen, dass die Angreifer die Netzwerke dieser Unternehmen schon vor geraumer Zeit infiltriert haben – vielleicht sogar noch vor Beginn des Krieges, um genügend Zeit für Erkundungen, das Sammeln von Informationen und das Ausweichen auf andere Unternehmen zu haben, bis sie ihr Ziel erreicht haben. Es würde nicht überraschen, wenn es eine nächste Angriffsphase geben wird. Die vom russischen Staat gesponserten Angreifer könnten die erlangten E-Mails nutzen, um weitere Daten und Informationen zu sammeln und zu versuchen, weitere kritische Infrastrukturen auszuschalten. Wie wahrscheinlich es ist, dass die betroffenen Unternehmen die Situation bereinigen können, hängt davon ab, wie gut sie auf diese Angriffe vorbereitet waren.“

Um sich erfolgreich auf einen Cyberangriff vorzubereiten, müssen Unternehmen forensische Daten so weit wie möglich zurück speichern, um den ursprünglichen Angriffsvektor bestimmen zu können, da die meisten Cyberangriffe erst lange Zeit nach der ersten Kompromittierung entdeckt werden. „Forensische Daten wie Protokolle und Audit-Trails ermöglichen es ihnen, Untersuchungen durchzuführen und angemessen zu reagieren. EDR- und SIEM-Lösungen sowie Threat Hunting helfen bei der frühzeitigen Erkennung von lauernden Cyberangriffen im Netzwerk, bevor sie explodieren“, so Schwartz. „Neben der Erkennung ist ein detaillierter und vorzugsweise automatischer Plan für die Reaktion auf einen Vorfall unerlässlich, um die Auswirkungen eines Angriffs und Kollateralschäden zu minimieren. Unternehmen müssen darauf vorbereitet sein und regelmäßig Cyber-Übungen und Personalschulungen durchführen, angefangen von der Führungsebene bis hin zur IT-Verwaltung. Wenn sie dies tun, besteht eine gute Chance, dass sie sich von Cyberangriffen mit minimalem Schaden erholen können. Ist dies nicht der Fall, kann dies schwerwiegende Folgen haben, und wenn es um kritische Infrastrukturen geht, bedeutet dies, dass die Bewohner mit Engpässen bei der Versorgung mit Strom, Wasser, Gas und anderen wichtigen Gütern konfrontiert werden könnten.“