Geschrieben von Uwe Sievers
Bisher blieb der befürchtete Cyberwar aus, was sich jedoch täglich ändern kann. Es kann daher nicht schaden, sich auf eventuelle Eskalationen vorzubereiten. Dazu gehören auch Prozesse, um auf einen Schadensfall reagieren zu können.
Die durch den Ukraine-Konflikt entstandene Gefahrenlage gibt den deutschen Sicherheitsbehörden Anlass zur Sorge. Sie warnen jedoch nicht nur vor möglichen direkten Angriffen, etwa auf die kritische Infrastruktur (KRITIS), sondern auch vor „Spill-over-Effekten“. Was bedeutet, dass es durch ungerichtete Angriffe zu Kollateralschäden kommen kann, die auch Unternehmen in Deutschland in Mitleidenschaft ziehen könnten. Die zahlreich aufgetretenen Wiper-Angriffe verdeutlichen eindrucksvoll, wie leicht solche Schäden eintreten können. Die dabei eingesetzte Malware funktioniert meist ziemlich ähnlich wie Ransomware. Auch bei Ransomware-Angriffen wurden Löschoperationen beobachtet. Ransomware ist immer noch die häufigste Malware-Variante und nach wie vor bei Cyber-Kriminellen sehr beliebt, weil sie einfach einzusetzen ist. Inzwischen hat sich ein regelrechtes Ransomware-Marktsegment gebildet, bei dem einzelne Schädlinge für unterschiedliche Aktionen zum Kauf oder zur Miete angeboten werden. Es treten jedoch ständig andere neue Malware-Typen auf, da ist es nicht leicht, sich einen Überblick über die verschiedenen Varianten zu verschaffen.
Basis aller Schutzkonzepte sind funktionierende Backups. Auch im Security-Bereich gelten sie als die wichtigste Maßnahme. Sie schützen nicht nur vor IT-Ausfällen durch technische Defekte und Fehlbedienung, sondern auch gegen bösartige Aktivitäten im IT-Netz. Sowohl Wiper als auch Ransomware versuchen jedoch, auch Backups zu löschen, wenn sie diese erreichen können. Dazu warten sie beispielsweise, bis eine externe Disk angeschlossen oder ein Remote-Device zugänglich wird.
Backups allein sind aber nicht genug. Wie zuletzt Log4J zeigte, geht von Supply-Chain-Angriffen eine eigene Gefahr aus, insbesondere auch für den KRITIS-Sektor. Zumal Angriffe auf eine Supply-Chain-Kette meistens sehr schwer zu erkennen seien, wie der Sicherheitsexperte Christian Avram im Interview mahnte.
Große Bedeutung kommt nach wie vor auch den klassischen Schutzformen zu, allen voran der Endgeräteschutz. Endgeräte besitzen im Unternehmen häufig nebenbei eine Sensorfunktion, denn hier fällt der Angriff oft zuerst auf. Wenn er daraufhin von der Endpoint Protection festgestellt und weitergemeldet wird, kann das Unternehmen die Schutzmaßnahmen hochfahren. Schon deshalb sollte die Wirkung dieses Schutzes nicht unterschätzt werden. Gleichzeitig kann ein infiziertes Endgerät das Einfallstor ins IT-Netz bilden und sich Malware darüber schnell weiterverbreiten.
Da Angriffe auf Endgeräte häufig über Phishing-Attacken gefahren werden und im Rahmen des Ukraine-Konflikts bereits entsprechende Phishing-Kampagnen aufgetaucht sind, sollten auch für diese Variante Vorkehrungen getroffen werden. Der Schutz von Zugangsdaten steht dabei an erster Stelle. Ein wichtiger Baustein dabei ist die Multifaktor-Authentifizierung (MFA), denn durch sie wird ein erbeutetes Passwort in der Regel wertlos. Doch die Etablierung einer unternehmensweiten MFA-Lösung ist nicht ganz einfach, wie Angelika Steinacker, Europa-Chefin für den Bereich Identitäts- und Zugriffsmanagment (IAM) bei IBM, im Gespräch erläuterte.
Viele Unternehmen bemerken erst sehr spät, dass sie von einem Sicherheitsproblem betroffen sind. Deshalb greifen sie häufig auf SOC-Anbieter zurück. Größere Unternehmen richten stattdessen meist ein eigenes SOC ein, ganz einfach ist das allerdings nicht. Eine Aufgabe des SOC ist die Reaktion auf Sicherheitsvorfälle, auch als Incident-Response oder Incident-Management bezeichnet. Ist kein SOC vorhanden, muss sich darum die Security-Abteilung kümmern. Dieser Prozess wird typischerweise in drei Phasen unterteilt, die genauer an anderer Stelle erläutert werden. Wichtige Hinweise dazu liefert auch das BSI, insbesondere der BSI Standard 100-4 beziehungsweise dessen Überarbeitung 200-4, die demnächst erscheinen soll. Einzelheiten zu den Änderungen und wichtige Punkte des Notfall-Managements haben uns die dafür verantwortlichen Experten des BSI verraten. Tritt der Notfall ein, befindet sich der Sicherheitsvorfall jedoch bereits in der Eskalationsphase. Schon an diesem Punkt empfiehlt es sich eventuell, über die Einsetzung eines Krisenstabes nachzudenken, damit einer möglichen weiteren Eskalation sinnvoll begegnet werden kann. Für die Arbeit und Zusammensetzung eines Krisenstabes existieren unterschiedliche Ansätze. Unternehmen, die über ein Incident-Management, Notfallpläne und einen Krisenstab verfügen, sollten auch in der aktuellen Situation gut aufgestellt sein.
