Cyber Readiness und der Russland-Ukraine-Krieg

Die CISA (Cybersecurity and Infrastructure Security Agency), eine Bundesbehörde des US-Ministeriums für Innere Sicherheit, hat den Konflikt zwischen der Ukraine und Russland genau beobachtet. In Zusammenarbeit mit dem FBI hat sie einige sehr wertvolle Ressourcen zusammengestellt, die überall von Interesse sind.

„Es war ermutigend zu sehen, wie Microsoft eingriff (Link auf ein kostenpflichtiges Angebot der New York Times – 50 Cent/Woche; d. Red.), als mit dem Einmarsch in der Ukraine auch die russischen Cyberangriffe deutlich zunahmen. Spätestens jetzt war an der Zeit, über die kollektive Bereitschaft nachzudenken, Cyberangriffe abzuwehren“, erklärt Hendrik Schless, Senior ManagercSecurity Solutions bei Lookout. Er erläutert das Phänomen der Cyber Readiness mit den wichtigsten Empfehlungen der CISA vor dem Hintergrund der aktuellen Geschehnisse:

Wir sind alle miteinander verbunden

„Wir leben heute in einer eng vernetzten Welt, in der kein Land weniger vernetzt ist als ein anderes. Daher können die Cyberbedrohungen, die sich ursprünglich gegen ukrainische Regierungsstellen und Infrastrukturen richteten, leicht auf andere Länder übertragen werden, sei es durch Angriffe auf Lieferketten oder den Einsatz von Ransomware und anderer hochentwickelter Malware.

Vor fast fünf Jahren war eine Reihe von Ransomware mit russischem Hintergrund, die auf ukrainische Unternehmen abzielte, auf Bürger in mehr als 60 Ländern übergesprungen und hatte 49.000 Computer zerstört, wobei Organisationen aller Größenordnungen – von Schifffahrtsunternehmen bis zu Krankenhäusern – betroffen waren. Die von den Russen eingesetzte Waffe war NotPetya, eine Malware, die sich wie Ransomware verhält, deren eigentliches Ziel jedoch die Zerstörung von Systemen ist.

Cyber Readiness erfordert einen ganzheitlichen Ansatz

Damit Russland oder andere nationale Angreifer Lieferketten gefährden oder Ransomware einsetzen können, müssen sie sich Zugang zu fremder Infrastruktur verschaffen und sich seitlich bewegen. Diese Risiken können gemindert werden, indem diese Angriffe frühzeitig in der Angriffskette identifiziert und gestoppt werden. Dies bedeutet, dass der Zugriff von risikoreichen oder kompromittierten Endpunkten und Konten blockiert, seitliche Bewegungen gestoppt und eine kontinuierliche Überwachung durchgeführt wird, um potenzielle Angriffsziele bei der Suche nach Bedrohungen zu unterstützen.

Fruchtbarer Boden für Phishing-Angriffe

Ähnlich wie die COVID-19-Pandemie ist auch der Krieg in der Ukraine ein Ereignis, das Angreifer für Social-Engineering-Angriffe nutzen werden. Ob Clickbait-Schlagzeilen, gefälschte humanitäre Aktionen oder Konten, die sich als Medien ausgeben: Angreifer werden kreativ bei den Aufhängern, die sie verwenden, um Einzelpersonen und Unternehmensnutzer dazu zu bringen, Malware herunterzuladen oder Zugangsdaten zu übermitteln.

Jeder sollte vor Phishing-Kampagnen auf der Hut sein, die den Krieg als Lockthema nutzen. Es gilt jetzt Mitarbeiter zu warnen, sie darüber aufzuklären, wie diese Angriffe aussehen könnten und wie sie ihre Geräte am besten schützen können. Es empfiehlt sich außerdem, auf jedem Gerät, das für die Verbindung von Anwendungen und Daten verwendet wird, ein Anti-Phishing-System einzurichten.

Segmentierung schützt vor Seitwärtsbewegungen

Bevor Angreifer Schaden anrichten können, müssen sie sich zunächst seitlich in der fremden Infrastruktur bewegen, um weitere Schwachstellen zu finden, die sie ausnutzen können, oder um sensible Daten zu stehlen oder zu verschlüsseln. Aus diesem Grund benötigen Unternehmen eine Zero-Trust-Architektur, um granulare Zugangskontrollen einzurichten.

Um eine Zero-Trust-Denkweise effektiv anzuwenden, gilt es die Risikobewertung der Benutzer und der von ihnen verwendeten Endgeräte zu automatisieren und den Zugriff auf Anwendungen und Daten entsprechend der Sensibilitätsstufe anzupassen. Unterm Strich sollte ein Unternehmen keinen unnötigen Zugang gewähren. Wenn es beispielsweise einem Benutzer über ein virtuelles privates Netzwerk (VPN) Zugang gewährt, hat er Zugriff auf das gesamte Netzwerk, obwohl er vielleicht nur eine Verbindung zu einer einzigen Anwendung benötigt. Falls ein Benutzerkonto oder ein Endpunkt kompromittiert wird, lässt sich die seitliche Bewegung durch Segmentierung des Zugangs einschränken. Dadurch wird sichergestellt, dass ein Bedrohungsakteur mit seinem Konto oder Gerät sich nicht in der restlichen Infrastruktur bewegen und auf weitere Anwendungen und sensible Daten zugreifen kann.

Kontinuierliche Überwachung kann die Bedrohungsjagd verbessern

Die kontinuierliche Überwachung aller angesprochenen Aktivitäten ist von entscheidender Bedeutung. Die Risikostufe eines Benutzers oder Geräts kann sich in einem Augenblick ändern. Durch kontinuierliche Protokollierung und Risikobewertung können Unternehmen die Sicherheitsbereitschaft erhöhen, ohne die Produktivität einzuschränken.

Während viele Vorfälle schnell behoben werden können, erfordert das Aufspüren und Blockieren fortgeschrittener anhaltender Bedrohungen (Advanced Persistent Threats, APTs) oft eine proaktive Bedrohungsjagd. Wie die CISA in ihrem Leitfaden betont, ist dies besonders wichtig für Unternehmen, die über Verbindungen in die Ukraine verfügen. Mit einer kontinuierlichen Protokollierung haben sie auch die Möglichkeit, forensische Untersuchungen durchzuführen, wenn etwas passiert.

Cyberbedrohungen sind nicht auf Konfliktgebiete beschränkt

In einer vernetzten Welt können sich regionale Konflikte leicht anderswo ausbreiten, insbesondere im Cyberspace. Cyber Readiness sollte daher nicht nur auf Unternehmen und Institutionen begrenzt sein. Auch Einzelpersonen müssen vorbereitet sein, zumal Angreifer diese Gelegenheit nutzen, um Phishing-Angriffe durchzuführen.“ Die Hinweise der CISA gibt es hier.