Cisco-Roundtable zu Security in Krisenzeiten

Die Ukraine als Vorbild

21. Dezember 2022, 7:00 Uhr | Wilhelm Greiner
Cisco-SOC
© Cisco

Beim Überfall Russlands auf die Ukraine erwarteten viele, dass digitale Angriffe stark zunehmen würden. Dies blieb hierzulande, anders als in der Ukraine selbst, weitgehend aus – zumindest bislang. Vor diesem Hintergrund diskutierte LANline die Bedrohungslage mit Michael von der Horst, Security Lead bei Cisco Deutschland, und Sarah Wambach, Cybersecurity Sales Specialist bei Cisco Deutschland. Die drei häufigsten Bedrohungen für die breite Masse der Unternehmen hierzulande sind laut von der Horst Ransomware, generische Malware und kompromittierte Accounts. Beachtenswert: Die Ukraine hält russischen Cyberangriffen erstaunlich gut stand.

Die Angreifergruppen, die Unternehmen mit Ransomware attackieren, sind laut Michael von der Horst „im Wesentlichen kommerziell geprägte Organisationen“ – sprich: professionelle Erpresserbanden. Trotz der Häufigkeit solcher Angriffe mit Verschlüsselungstrojanern seien „viele Unternehmen nach wie vor nicht oder nur sehr dünn vorbereitet“.

Anbieter zum Thema

zu Matchmaker+
Die Ransomware-Gruppierungen sind „im Wesentlichen kommerziell geprägte Organisationen“, so Michael von der Horst, Security Lead bei Cisco Deutschland.
Die Ransomware-Gruppierungen sind „im Wesentlichen kommerziell geprägte Organisationen“, so Michael von der Horst, Security Lead bei Cisco Deutschland.
© Cisco

Russische Cybercrime-Gruppen sind offenbar derzeit sehr mit der Ukraine beschäftigt. Deshalb beobachte man in Deutschland, so der Cisco-Mann unter Berufung auf Erkenntnisse des BKA, statt der zunächst befürchteten zerstörerischen Cyberkriegsführung vor allem Falschmeldungen und Propaganda: „Die Anzahl der Fehlinformationen, die auch gesteuert sind, ist massiv angestiegen“, so von der Horst, „aber nicht die aktiven Attacken.“

Laut den Security-Spezialisten von Ciscos Security-Truppe Talos waren Ransomware-Angriffe im Jahr 2022 gegenüber den Vorjahren weltweit „etwas rückläufig“. So habe der Anteil von Ransomware am Angriffsaufkommen im zweiten Quartal bei 15 Prozent gelegen, im ersten Quartal noch bei 25 Prozent. Insgesamt habe sich die Ransomware-Szene dieses Jahr im Umbruch befunden.

Dennoch sind die Angriffe mittels Verschlüsselungstrojanern laut von der Horst nach wie vor die „geschäftskritischste Bedrohung“: Im dritten Quartal habe der Anteil am Angriffsaufkommen wieder höher gelegen, nämlich bei 40 Prozent. Zudem habe es Fälle gegeben, in denen die Angreifer Daten exfiltriert, weiterverkauft und das Opfer damit erpresst haben, ohne dabei aber je Daten im Unternehmensnetz zu verschlüsseln.

Laut von der Horst könnte der beobachtete Rückgang aber auch nur ein Täuschungsmanöver der Angreifergruppen sein: „Die Gretchenfrage ist: Sind sie drin (bereits ins Netzwerk eingedrungen, d.Red.) und warten nur auf das Scharfschalten?“ Bei Unternehmen, die Anomalieerkennung betreiben, sei aber auch hier keine auffällig hohe Aktivität zu erkennen, so der Security-Fachmann.

Massive Cyberangriffe in der Ukraine

In der Ukraine hingegen sei in Sachen Cyberangriffe „die Hölle los“, sagt von der Horst. Hier habe man eine massive Zunahme festgestellt, beispielsweise bei DDoS-Angriffen (Distributed Denial of Service). Cisco Talos unterstützt – neben anderen Security-Anbietern, darunter Radware zur DDoS-Mitigation – die Regierung der Ukraine schon seit geraumer Zeit bei der Abwehr russischer Cyberattacken. Deshalb seien diese zu Beginn des Kriegs weitgehend verpufft (siehe auch hier).

Bei einem Befall mit Ransomware jedoch sind die Probleme für das betroffene Unternehmen laut von der Horst „signifikant“ – Ausfälle der IT von ein bis vier Wochen seien hier an der Tagesordnung. Außerdem gelte: „Der Spuk ist nicht vorbei, wenn man gezahlt hat.“ Dies habe man „bei einer Vielzahl von Kunden“ gesehen, die entgegen der Empfehlung von Fachleuten das Lösegeld gezahlt hatten. Doch bei unzureichender Vorbereitung sei gegebenenfalls die Zahlung von Lösegeld die einzige Möglichkeit, das Unternehmen zu vertretbaren Kosten weiterzuführen. In zahlreichen Fällen – laut von der Horsts Schätzung 30 bis 40 Prozent – gebe es dann weitere Attacken. Dabei gehe die Angreiferseite heute intelligenter vor und attackiere zum Beispiel gezielt Backups oder Cloud-Services.

Sarah Wambach, als Cybersecurity Sales Specialist zuständig für die Gesundheitsbranche, beobachtet bei ihrer Klientel die Verbreitung jener doppelten Erpressung, von der auch LANline schon mehrfach berichtet hat: die Exfiltration interner Daten vor der Verschlüsselung, um nach Bedarf einen zweiten Erpresungsversuch starten zu können. Im Gesundheitsbereich werde das Lösegeld oft „relativ ‚human‘“ angesetzt, denn die Angreiferseite wisse, dass die Träger der Einrichtungen nicht sonderlich liquide sind. Im Fall einer Zahlung gebe es dann aber dann mitunter noch Nachforderungen.


  1. Die Ukraine als Vorbild
  2. Digitales Warnzeichen

Verwandte Artikel

Cisco Systems GmbH

Cybercrime

Cyberangriff