Cisco Talos zu „Lessons Learned“ aus dem Ukraine-Krieg

Schutz vor staatlichen IT-Angriffen


23. November 2022, 9:00 Uhr | Wilhelm Greiner
Cisco Talos
© Cisco Talos

Russlands Krieg gegen die Ukraine ist vor allem ein konventioneller. Zugleich aber findet im Hintergrund auch Cyberkriegsführung statt. Dabei ist es Russland offenbar nicht gelungen, die IT-Infrastruktur der Ukraine dauerhaft lahmzulegen. Ciscos Security-Division Talos unterstützt die Regierung der Ukraine bei IT-Security und Forensik. Auf der Basis dieser Erkenntnisse gibt Holger Unterbrink von Talos Tipps, wie sich Unternehmen und Organisationen vor staatlich unterstützten IT-Angriffen schützen können.

Cisco unterstützt die Ukraine laut eigenen Angaben durch humanitäre Hilfe wie auch durch Unterstützung beim Schutz von IT-Systemen: Gemeinsam mit ukrainischen Behörden stelle man seit über sechs Jahren Informationen und Ressourcen zur Verfügung, um Cyberangriffe abzuwehren. So habe Talos zum Beispiel ein Security Operations Center (SOC) in der Ukraine eingerichtet, um mehr als 30 kritische Infrastrukturen und Organisationen in der Ukraine zu schützen.

Anbieterkompass Anbieter zum Thema

zum Anbieterkompass
„Die Ukraine hat aus den vielen Angriffen der letzten Jahre die richtigen Konsequenzen gezogen“, so Holger Unterbrink, Technical Leader von Cisco Talos in Deutschland.
„Die Ukraine hat aus den vielen Angriffen der letzten Jahre die richtigen Konsequenzen gezogen“, so Holger Unterbrink, Technical Leader von Cisco Talos in Deutschland.
© Cisco

„Der Krieg gegen die Ukraine zeigt der Cybersicherheitsgemeinschaft, wie wirksam vorbeugende IT-Sicherheitsmaßnahmen sein können“, sagt Holger Unterbrink, Technical Leader von Cisco Talos in Deutschland. „Die Ukraine hat aus den vielen Angriffen der letzten Jahre die richtigen Konsequenzen gezogen und hatte darum in den letzten neun Monaten vergleichsweise wenig erfolgreiche Cyberangriffe zu beklagen. Das sollte Vorbild für viele Unternehmen sein, um die eigenen Sicherheitssysteme kontinuierlich zu härten und auch kleinste Vorfälle zu überprüfen.“
 
Aus den Erfahrungen bei der Verteidigung der Ukraine leiten die Security-Spezialisten von Talos die folgenden drei Grundregeln für Unternehmen weltweit ab, wie sie bei der Abwehr stattlich unterstützter Cyberangriffe vorgehen sollten:
 
1. Schutzmaßnahmen fokussieren und anpassen: Unternehmen sollten überflüssige Netzwerkverbindungen, Dienste, Anwendungen und Systeme entfernen. Es muss alles raus, was nicht mehr benötigt wird oder mehrfach vorhanden ist. Unternehmen müssen den Zugang auf Anwendungen und Daten auf diejenigen User beschränken, die ihn wirklich brauchen. Zudem sollten sie die wertvollsten Daten und Systeme besonders gut schützen, kritische Daten regelmäßig sichern und diese im Schadensfall schnell und vollständig wiederherstellen.
 
2. Spuren gibt es immer – ständig wachsam bleiben: Selbst die raffiniertesten Angreifer wie die aus Russland hinterlassen Spuren. Vor allem den Zugriff auf die wertvollsten Daten und Systeme muss ständig überwacht und überprüft werden. Bei einem Vorfall sollten Unternehmen jederzeit den Incident-Response-Prozess starten können, um den Vorfall schnell einzudämmen. Dazu müssen Teams regelmäßig die erforderlichen Schritte üben und optimieren. Anschließend sollten sie feststellen, für welche Systeme der Angreifer Zugang hatte und wie er die Sicherheitsmaßnahmen umgehen konnte. Zudem gilt es, die entsprechenden Schwachstellen schnellstmöglich zu beheben.
 
3. Proaktiv Maßnahmen ergreifen: Um auf dem neuesten Stand zu bleiben, sollten IT-Security-Teams auf aktuelle Berichte zu Angriffen, insbesondere aus Russland, achten. Anschließend müssen sie prüfen, ob die eingesetzten Sicherheitssysteme solche oder ähnliche Attacken erkennen und abwehren. Zu den proaktiven Maßnahmen gehört auch die Suche nach anormalem Verhalten als Hinweis auf mögliche Angriffe. Zudem sollte man die Betriebsteams in die Bedrohungssuche einbinden. Denn diese wissen oft, wo potenzielle Schwachstellen sind und wie Benutzer Beschränkungen umgehen.


Verwandte Artikel

Cisco Systems GmbH

Cybersecurity

Cyberangriff