Durch Krieg in der Ukraine drohen digitale Konsequenzen
Sich wappnen gegen russische Cyberangriffe
Das Internet hat die Welt geschrumpft, alles ist nur noch einen Mausklick entfernt – auch ein Krieg. So warnen Security-Experten, darunter zum Beispiel Sophos, Eset oder die Unit 42 des US-amerikanischen Security-Schwergewichts Palo Alto Networks, vor drohenden Cyberangriffen von russischer Seite auf Länder, die Russland als Unterstützer der Ukraine wahrnimmt – somit auch auf Deutschland. Derlei Aktionen könnten in Form von Ransomware-Angriffen erfolgen, aber auch als destruktive Angriffe, die darauf abzielen, die betroffene Organisation zu schädigen, Prozesse zu stören sowie Systeme und Daten unbenutzbar zu machen.
Am 23. Dezember 2015 wurde – daran erinnerte jüngst der Security-Anbieter Sophos – etwa der Hälfte der Einwohner von Iwano-Frankiwsk (Ukraine) abrupt der Strom abgestellt. Es sei anzunehmen, dass dies das Werk staatlich unterstützter russischer Akteure war. „Den Angreifern gelang es, sich Fernzugriffsdaten für das Scada-Netzwerk zu verschaffen und die Kontrolle über die Steuerungen der Umspannwerke zu übernehmen, um die Leistungsschalter zu öffnen,“ so Sophos. „Fast ein Jahr später, am 17. Dezember 2016, gingen in Kiew erneut die Lichter aus. Ein Zufall? Wahrscheinlich nicht.“
Mitte Januar dieses Jahres war die Ukraine erneut das Ziel zerstörerischer Malware: Der als Ransomware getarnte Wiper namens WhisperGate erinnerte an den NotPetya-Angriff, der die Ukraine im Juni 2017 befiel, bevor er weltweit für Verwüstung sorgte. Eine neue Welle von DDoS-Angriffen hat kürzlich, wie die Security-Experten berichteten, Regierungsbehörden und Banken in der Ukraine lahmgelegt. Diese Woche folgten laut dem Security-Anbieter Eset aus Bratislava Angriffe mit einer neuen zerstörerischen Malware namens HermeticWiper.
Das Schadprogramm löscht laut Eset-Angaben Daten und habe bereits Hunderte von Computern in der Ukraine befallen. Den Schädling habe man erstmals am Mittwoch entdeckt, der Zeitstempel der Malware (28.12.21) lasse aber darauf schließen, dass der Angriff schon seit einiger Zeit vorbereitet wurde.
Derlei Cyberangriffe müssen – das zeigt das Beispiel NotPetya – nicht auf die Ukraine beschränkt bleiben. Vor diesem Hintergrund empfiehlt Palo Alto Networks den IT-Organisationen, Präventionsmaßnahmen in den folgenden vier Bereichen zu priorisieren:
1. Schwachstellen-Management: Unternehmen sollten laut den Security-Fachleuten Patches installieren für jede Software, die Sicherheitslücken enthält – nicht nur für solche, von denen bekannt ist, dass sie in freier Wildbahn ausgenutzt werden. Am dringendsten sei dies bei Software, die mit dem Internet verbunden und für den Betrieb des Unternehmens notwendig ist, darunter Web-Mail, VPNs und andere Fernzugriffslösungen.
2. Vorbereitung auf Ransomware und Datenzerstörung: Bei Cyberangriffen werde entweder Ransomware zum Einsatz kommen oder ein zerstörerischer Angriff stattfinden, der sich als Ransomware ausgibt. Wie bei den NotPetya-Angriffen im Jahr 2017 und den WhisperGate-Angriffen im letzten Monat zu beobachten war, so Palo Alto, handle es sich bei einer Lösegeldforderung möglicherweise gar nicht um klassische Ransomware: Die bei diesen Angriffen verwendete Malware zerstörte Daten ohne jede Chance auf Wiederherstellung und nutzte die Lösegeldforderung lediglich, um die eigentliche Absicht der Täter zu verschleiern. Um solche Angriffe zu verhindern und gegebenenfalls Daten wiederherstellen zu können, sind laut den Experten in beiden Fällen ähnliche Vorbereitungen erforderlich. Nicht nur das Testen von Backup- und Wiederherstellungsplänen sei von entscheidender Bedeutung: Dies gelte ebenso für das Testen des Plans zur Aufrechterhaltung der Betriebsabläufe für den Fall, dass ein Angriff das Netzwerk oder andere wichtige Systeme deaktivert.
3. Krisen-Management: Unternehmen sollten Krisenreaktionsprozesse nicht erst in einer echten Krise testen, so Palo Alto. Daher gelte es, für den Fall eines Security Incidents oder einer Unterbrechung kritischer Infrastruktur Ansprechpartner in den wichtigsten Bereichen zu benennen. Die Unternehmen sollten ihr Kommunikationsprotokoll wie auch ihre Sicherungsprotokolle testen, um zu vermeiden, ohne einen klaren Mechanismus zur Verbreitung wichtiger Informationen dazustehen. Sinnvoll sei es, eine Table-Top-Übung mit allen wichtigen Beteiligten durchzuführen und durchzuspielen, wie im Falle des Falles zu reagieren wäre.
4. Netzwerkrichtlinien: Kleine Änderungen der Richtlinien können die Wahrscheinlichkeit eines erfolgreichen Angriffs auf das Netzwerk verringern, mahnt der Security-Anbieter. Zum Beispiel habe die Angreiferseite bei den jüngsten Attacken beliebte Chat-Anwendungen wie Trello und Discord missbraucht, um schädliche Dateien zu verbreiten. Die Angreifer nutzten einfach die Plattformen, um Links zu den Dateien zu hosten, ohne dass die Benutzer die Software verwenden mussten. Viele Anwendungen lassen sich, wie Palo Alto warnt, auf diese Weise missbrauchen. Benötigt ein Unternehmen diese Funktionen nicht, könne es diese blockieren, um seine Sicherheit zu erhöhen.
Unabhängig von solchen Ratschlägen von Anbieterseite ist es natürlich stets ratsam, den Empfehlungen des BSI für die Vorfallsvermeidung und -bewältigung zu folgen, die das Bundesamt samt Anleitungen und Checklisten hier gebündelt hat. Der Maßnahmenkatalog des BSI bei Befall mit Ransomware findet sich hier.
Lesen Sie mehr zum Thema
