Home » News » Security Management » Cyber Readiness und der Russland-Ukraine-Krieg

Cyber Readiness und der Russland-Ukraine-Krieg

Die CISA (Cybersecurity and Infrastructure Security Agency), eine Bundesbehörde des US-Ministeriums für Innere Sicherheit, hat den Konflikt zwischen der Ukraine und Russland genau beobachtet.

4 Min. Lesezeit
Foto: ©AdobeStock/adam121

Die CISA (Cybersecurity and Infrastructure Security Agency), eine Bundesbehörde des US-Ministeriums für Innere Sicherheit, hat den Konflikt zwischen der Ukraine und Russland genau beobachtet. In Zusammenarbeit mit dem FBI hat sie einige sehr wertvolle Ressourcen zusammengestellt, die überall von Interesse sind.

„Es war ermutigend zu sehen, wie Microsoft eingriff (Link auf ein kostenpflichtiges Angebot der New York Times – 50 Cent/Woche; d. Red.), als mit dem Einmarsch in der Ukraine auch die russischen Cyberangriffe deutlich zunahmen. Spätestens jetzt war an der Zeit, über die kollektive Bereitschaft nachzudenken, Cyberangriffe abzuwehren“, erklärt Hendrik Schless, Senior ManagercSecurity Solutions bei Lookout. Er erläutert das Phänomen der Cyber Readiness mit den wichtigsten Empfehlungen der CISA vor dem Hintergrund der aktuellen Geschehnisse:

Wir sind alle miteinander verbunden

„Wir leben heute in einer eng vernetzten Welt, in der kein Land weniger vernetzt ist als ein anderes. Daher können die Cyberbedrohungen, die sich ursprünglich gegen ukrainische Regierungsstellen und Infrastrukturen richteten, leicht auf andere Länder übertragen werden, sei es durch Angriffe auf Lieferketten oder den Einsatz von Ransomware und anderer hochentwickelter Malware.

Vor fast fünf Jahren war eine Reihe von Ransomware mit russischem Hintergrund, die auf ukrainische Unternehmen abzielte, auf Bürger in mehr als 60 Ländern übergesprungen und hatte 49.000 Computer zerstört, wobei Organisationen aller Größenordnungen – von Schifffahrtsunternehmen bis zu Krankenhäusern – betroffen waren. Die von den Russen eingesetzte Waffe war NotPetya, eine Malware, die sich wie Ransomware verhält, deren eigentliches Ziel jedoch die Zerstörung von Systemen ist.

Cyber Readiness erfordert einen ganzheitlichen Ansatz

Damit Russland oder andere nationale Angreifer Lieferketten gefährden oder Ransomware einsetzen können, müssen sie sich Zugang zu fremder Infrastruktur verschaffen und sich seitlich bewegen. Diese Risiken können gemindert werden, indem diese Angriffe frühzeitig in der Angriffskette identifiziert und gestoppt werden. Dies bedeutet, dass der Zugriff von risikoreichen oder kompromittierten Endpunkten und Konten blockiert, seitliche Bewegungen gestoppt und eine kontinuierliche Überwachung durchgeführt wird, um potenzielle Angriffsziele bei der Suche nach Bedrohungen zu unterstützen.

Fruchtbarer Boden für Phishing-Angriffe

Ähnlich wie die COVID-19-Pandemie ist auch der Krieg in der Ukraine ein Ereignis, das Angreifer für Social-Engineering-Angriffe nutzen werden. Ob Clickbait-Schlagzeilen, gefälschte humanitäre Aktionen oder Konten, die sich als Medien ausgeben: Angreifer werden kreativ bei den Aufhängern, die sie verwenden, um Einzelpersonen und Unternehmensnutzer dazu zu bringen, Malware herunterzuladen oder Zugangsdaten zu übermitteln.

Jeder sollte vor Phishing-Kampagnen auf der Hut sein, die den Krieg als Lockthema nutzen. Es gilt jetzt Mitarbeiter zu warnen, sie darüber aufzuklären, wie diese Angriffe aussehen könnten und wie sie ihre Geräte am besten schützen können. Es empfiehlt sich außerdem, auf jedem Gerät, das für die Verbindung von Anwendungen und Daten verwendet wird, ein Anti-Phishing-System einzurichten.

Segmentierung schützt vor Seitwärtsbewegungen

Bevor Angreifer Schaden anrichten können, müssen sie sich zunächst seitlich in der fremden Infrastruktur bewegen, um weitere Schwachstellen zu finden, die sie ausnutzen können, oder um sensible Daten zu stehlen oder zu verschlüsseln. Aus diesem Grund benötigen Unternehmen eine Zero-Trust-Architektur, um granulare Zugangskontrollen einzurichten.

Um eine Zero-Trust-Denkweise effektiv anzuwenden, gilt es die Risikobewertung der Benutzer und der von ihnen verwendeten Endgeräte zu automatisieren und den Zugriff auf Anwendungen und Daten entsprechend der Sensibilitätsstufe anzupassen. Unterm Strich sollte ein Unternehmen keinen unnötigen Zugang gewähren. Wenn es beispielsweise einem Benutzer über ein virtuelles privates Netzwerk (VPN) Zugang gewährt, hat er Zugriff auf das gesamte Netzwerk, obwohl er vielleicht nur eine Verbindung zu einer einzigen Anwendung benötigt. Falls ein Benutzerkonto oder ein Endpunkt kompromittiert wird, lässt sich die seitliche Bewegung durch Segmentierung des Zugangs einschränken. Dadurch wird sichergestellt, dass ein Bedrohungsakteur mit seinem Konto oder Gerät sich nicht in der restlichen Infrastruktur bewegen und auf weitere Anwendungen und sensible Daten zugreifen kann.

Kontinuierliche Überwachung kann die Bedrohungsjagd verbessern

Die kontinuierliche Überwachung aller angesprochenen Aktivitäten ist von entscheidender Bedeutung. Die Risikostufe eines Benutzers oder Geräts kann sich in einem Augenblick ändern. Durch kontinuierliche Protokollierung und Risikobewertung können Unternehmen die Sicherheitsbereitschaft erhöhen, ohne die Produktivität einzuschränken.

Während viele Vorfälle schnell behoben werden können, erfordert das Aufspüren und Blockieren fortgeschrittener anhaltender Bedrohungen (Advanced Persistent Threats, APTs) oft eine proaktive Bedrohungsjagd. Wie die CISA in ihrem Leitfaden betont, ist dies besonders wichtig für Unternehmen, die über Verbindungen in die Ukraine verfügen. Mit einer kontinuierlichen Protokollierung haben sie auch die Möglichkeit, forensische Untersuchungen durchzuführen, wenn etwas passiert.

Cyberbedrohungen sind nicht auf Konfliktgebiete beschränkt

In einer vernetzten Welt können sich regionale Konflikte leicht anderswo ausbreiten, insbesondere im Cyberspace. Cyber Readiness sollte daher nicht nur auf Unternehmen und Institutionen begrenzt sein. Auch Einzelpersonen müssen vorbereitet sein, zumal Angreifer diese Gelegenheit nutzen, um Phishing-Angriffe durchzuführen.“ Die Hinweise der CISA gibt es hier.

Hendrik Schless, Senior ManagercSecurity Solutions bei Lookout (Foto: Lookout)

Andere interessante News

Bitkom: Data Act braucht dringend Nachbesserungen

Das europäische Parlament hat das Datengesetz (Data Act) verabschiedet. Mit dem Data Act soll unter anderem der Datenaustausch zwischen Unternehmen und von Unternehmen an die öffentliche Hand vorangebracht werden. Er soll die Innovation fördern, indem Barrieren, die den Zugang zu industriellen Daten versperren, entfernt werden. Der Bitkom-Verband hält das neue Gesetz für zu schwammig und an vielen Stellen nicht zielführend.

Was für den Schutz vor russischen Bedrohungsakteuren jetzt wichtig ist

Das ukrainische CERT hat Berichte veröffentlicht, wonach der russische Bedrohungsakteur Gamaredon, auch bekannt als UAC-0010, Primitive Bear, BlueAlpha, ACTINIUM und Trident Ursa, seine Angriffsaktivitäten erneut hochfährt. Angeblich operiert die Gruppe von Sewastopol von der Krim aus und folgt den Anweisungen des FSB-Zentrums für Informationssicherheit in Moskau.

BSI-Studie: Onlineshops bergen oft Risiken

Kaum ein Unternehmen kann es sich heute noch leisten, auf die Präsentation der eigenen Produkte in einem Web-Shop zu verzichten. Bei der Wahl der Onlineshopping-Plattformen scheint jedoch Sicherheit nicht sehr weit oben zu stehen: Im Rahmen einer nun veröffentlichten Studie hat das BSI Software-Produkte für Onlineshops auf Schwachstellen untersucht und dabei insgesamt 78 Sicherheitslücken gefunden – teilweise mit gravierenden Auswirkungen auf das IT-Sicherheitsniveau von Daten der Verbraucherinnen und Verbraucher.