Grundsätzlich gilt auch bei der IT-Sicherheit „Vorsicht ist die Mutter der Porzellankiste“, denn zumindest zwei Nachrichten aus den letzten Wochen geben zu denken: So hat etwa Enercon, ein Hersteller von Windenergieanlagen, den Fernzugriff auf fast 6.000 Windräder verloren, nachdem eine Satelliteninternetverbindung zusammenbrach. Mit hoher Wahrscheinlichkeit handelt es sich hier um einen Kollateralschaden im Zuge eines Angriffs, der eigentliche die ukrainischen Streitkräfte treffen sollte, denn der Anbieter der Satellitenanbindung hat auch das ukrainische Militär als Kunden.
Der russische Energiekonzern Rosneft wurde ebenfalls Opfer von Cyberattacken; interessant ist in diesem Zusammenhang, dass das Unternehmen auch nennenswerte Beteiligungen an drei deutschen Raffinerien hält, wodurch auch deutsche Firmen zumindest mittelbar in das Visier der Angreifer gerieten.
Wer sind die Opfer?
Das zeigt auch, dass die Angreifer im Moment eher Ziele in den kriegführenden Ländern angreifen, aber auch Unternehmen, die diesen Ländern nahestehen. Zu den Zielen gehören kritische Infrastrukturen, Rundfunk, Medien, Banken und Behörden. Doch auch wenn Unternehmen nicht direkt das Ziel eines Cyberangriffs sind, besteht die Gefahr, dass Angriffswerkzeuge aus dem Ruder laufen oder die Zerstörung von Daten Unbeteiligter billigend in Kauf genommen wird, wie es etwa mit sogenannten Wipern passieren kann, etwa wenn sie etwa als Ransomware getarnt auftreten.
Ein Beispiel aus der Vergangenheit ist die Schadsoftware NotPetya, die zwar gegen die Ukraine gerichtet war, aber weltweit Schäden anrichtete – etwa beim Logistikgiganten Maersk.
Wer sind die Täter?
Auf die Frage nach der Herkunft der Angreifer gibt es ebenfalls kaum konkrete Antworten. Das liegt daran, dass es keine klar definierten Fronten gibt. In den letzten Tagen haben zahlreiche freiwillige „Online-Guerillas“ aus allen Teilen der Welt damit begonnen, sich mit in das Geschehen einzubringen, um die Ukraine oder Russland zu unterstützen.
Diese sind nur sehr lose organisiert und ihre Aktivitäten eher unkoordiniert. Auch das Erfahrungslevel ist sehr unterschiedlich. Und nicht jede Aktion gegen ein vermeintliches Ziel entpuppt sich als sinnvoll, im Gegenteil. Die Tatsache, dass selbst innerhalb etablierter Cybercrime-Gruppen nicht immer Einigkeit in Bezug auf das Handeln der russischen Regierung herrscht, erschwert den Überblick.
Tipps zum Schutz
Um jetzt und in Zukunft gegen Cyberkriminelle gewappnet zu sein, müssen unbedingt die Maßnahmen umgesetzt werden, die eigentlich schon immer selbstverständlich sein sollten, aber oft zu wenig ernst genommen wurden.
Tipp 1: Schwachstellen zeitnah schließen
Ein Angriff folgt generell immer dem gleichen Muster: Um Netzwerke erfolgreich anzugreifen, klopfen Angreifer diese in der Regel vorher auf Schwachstellen ab. Das geschieht mit Hilfe spezialisierter Scanprogramme, die etwa nach offenen Netzwerk-Ports Ausschau halten. Systeme, die zum Internet hin exponiert sind, werden so zumindest potenziell zum Ziel. Erhöhte Scanaktivitäten können sogar Systeme überlasten.
Zudem ist es jetzt wichtiger denn je, zu prüfen ob alle Systeme auf dem aktuellsten Stand sind. Auch eine vermeintlich alte Sicherheitslücke, für die bereits Patches existieren, die aber nicht installiert sind, kann schnell zur Achillesferse des Unternehmens werden.
Tipp 2: Angriffsfläche verkleinern
Deshalb gelten jetzt erst recht die seit Jahren immer wieder dringend empfohlenen Maßnahmen zur Verbesserung der IT-Sicherheit: Systeme, die zum Internet hin exponiert sind, bieten eine potenzielle Angriffsfläche. Daher muss etwa im Zuge einer gründlichen Bestandsaufnahme sorgfältig geprüft werden, ob ein bestimmtes System generell aus dem Internet erreichbar sein muss. Wenn es keinen triftigen Grund gibt, warum es über das Internet erreichbar sein muss, dann sollte es auch nicht auf diese Weise exponiert sein.
Zudem gelten die ebenfalls unverändert empfohlenen Vorsichtsmaßnahmen für Mitarbeitende im Umgang mit Mails und Dateianhängen – gerade jetzt vielleicht in noch weiter gesteigertem Maß, da mittlerweile auch Betrüger damit begonnen haben, den Ukraine-Konflikt als Vorwand für vermeintliche Spenden zu erschließen. Hier kann die Belegschaft zu einem kritischen Bestandteil der Sicherheitsstrategie werden. Wer Mitarbeitende entsprechend schult, hat hier einen Vorteil.
Angriffe auf businesskritische Anwendungen haben gezeigt, dass allein die Geschwindigkeit, mit der Patches installiert werden, den entscheidenden Unterschied zwischen einem verhinderten Angriff und einem ausgewachsenen Sicherheitsvorfall machen kann. Auch eine installierte Schutzlösung kann nur so gut sein, wie es ihr erlaubt ist. Wer beispielsweise einzelne proaktive Komponenten aus irgendeinem Grund deaktiviert, nimmt sich selbst ohne Not die Chance, Angriffe rechtzeitig zu erkennen und zu unterbinden.
Tipp 3: Notfallplan in der Schublade
Sollte es doch zu einem erfolgreichen Cyberangriff auf das eigene Unternehmen kommen, muss ein fertiger Notfallplan aktiviert werden. Falls es noch keinen solchen Plan gibt, ist es jetzt höchste Zeit, einen zu entwickeln. Selbst einfachste Informationen sind im Notfall wertvoll: Zum Beispiel, die Kontaktdaten der internen Ansprechpartner oder externen Dienstleister, an die sich Mitarbeitende wenden können.
Bei der Entwicklung eines wirksamen Notfallplans können spezialisierte Anbieter unterstützen. Falls möglich, sollte dieser Plan auch den Weiterbetrieb für den Fall vorsehen, dass kurzfristig keine externe Unterstützung verfügbar ist. Dabei nicht zu unterschätzen: Der Notfallplan muss zwingend auch in gedruckter Form vorliegen, denn wenn dieser nur als Datei auf einem Server existiert, dann ist er im schlimmsten Fall ebenso wenig zugänglich wie der Rest der Unternehmensdaten.
Nie ohne Schutz dastehen
Grundsätzlich gilt es, auch in der aktuellen IT-Sicherheitslage kühlen Kopf zu bewahren und die beschriebenen Maßnahmen umzusetzen beziehungsweise ihre Umsetzung zu überprüfen und rasch abzuschließen. Hektischer Aktionismus ist hier nicht zielführend. Wer in dieser Situation den Anbieter seiner Sicherheits-Software wechseln will, dem sei empfohlen, dies erst zu tun, wenn das Ersatzsystem bereitsteht. Ohne Schutz dazustehen, selbst wenn es sich nur um ein bis zwei Tage handelt, ist keine Option.
Auch das BSI rät ausdrücklich: „Ablösen statt abschalten“. Außerdem sollten Sicherheitsverantwortliche sich über neueste Entwicklungen auf dem Laufenden zu halten, um etwaige neue Faktoren mit in ihre Überlegungen einbeziehen zu können. Die Weltlage ist nicht nur geopolitisch dynamisch, sondern auch in punkto IT-Sicherheit