Krieg in der Ukraine bereitet Sorgen
Schreckgespenst Cyberangriff
Fortsetzung des Artikels von Teil 2
Abstrakt erhöhte Bedrohungslage
Auch hierzulande ist die Sorge verbreitet, dass Deutschlands Unterstützung für die Ukraine eine Welle russischer Cyberangriffe zur Folge haben könnte – auf Unternehmen wie auch auf kritische Infrastruktur (Kritis). Das BSI stufte die Situation Anfang März aber lediglich als „abstrakt erhöhte Bedrohungslage“ ein: Es sei „aktuell keine akute unmittelbare Gefährdung der Informationssicherheit in Deutschland im Zusammenhang mit der Situation in der Ukraine ersichtlich“. Die Bewertung könne sich allerdings jederzeit ändern.
„Es besteht eine erhöhte Bedrohungslage, ja klar. Aber das ist aktuell keine fatale Lage“, kommentierte Manuel Atug, Sprecher der AG Kritis, einer Arbeitsgemeinschaft unabhängiger Security-Fachleute, gegenüber LANline. Er setzte die Lage in den historischen Kontext: „Das BSI existiert seit über 30 Jahren und hat in dieser Zeit dreimal die Alarmstufe rot ausgesprochen: einmal vor vielen Jahren, zweimal letztes Jahr, und zwar im März wegen der Hafnium-Problematik aufgrund der Exchange-Lücken und im Dezember wegen der Log4j-Lücke. Also einmal wegen Enterprise-Software von Microsoft, einmal wegen Open-Source-Software.“ Derzeit hingegen gebe es die Warnstufe orange.
Atugs Einschätzung der aktuellen Situation: „Das Risiko für erfolgreiche Angriffe auf kritische Infrastruktur ist definitiv gegeben und durch die Kriegslage höher als sonst, aber die Eintrittswahrscheinlichkeit ist sehr überschaubar. Zum Vergleich: Auch beim Hochwasser im Ahrtal wurde kritische Infrastruktur zerstört, und Klimakatastrophen werden in den nächsten Jahren, so wie auch Ransomware-Angriffe, deutlich zunehmen.“
Laut Atug sind längst nicht alle Kritis-Betreiber in Sicherheitsfragen ausreichend gut aufgestellt. Jenen Kritis-Unternehmen, die ihre IT-Sicherheit jetzt erhöhen müssen, rät der Experte: „Hier geht es um die langweiligen Basics wie Backups und die Fragen, wie schnell sich Daten wiederherstellen lassen und ob man das Wiedereinspielen von Backups schon mal ausprobiert hat. Es geht um die Frage, ob Backups auch offline vorliegen, denn wenn sie online sind, wird Ransomware sie mitverschlüsseln. Und es geht zum Beispiel darum, Firewall-Regeln jedes halbe Jahr zu überprüfen, zu aktualisieren und zu dokumentieren.“ Kurz: Es gehe um Grundschutz gemäß BSI-Vorgaben.
Kein „Cyberkrieg“
„Angesichts der humanitären Katastrophe, die sich gerade durch den kinetischen Krieg in der Ukraine entwickelt, sollten wir den ‚Cyberkrieg auf deutschem Boden‘ nicht herbeireden“, mahnt Tim Berghoff, Security Evangelist beim Bochumer Security-Anbieter G Data. „Die Lage in Deutschland ist dennoch angespannt und es gibt viel Unsicherheit.“ Zudem warnt Berghoff: „Freiwillige Online-Guerillas aus aller Welt greifen mit DDoS-Angriffen und Wipern auf beiden Seiten ebenfalls in den Konflikt ein, und nicht jede ihrer Aktionen ist sinnstiftend.“ Unternehmen sollten sich deshalb laut dem G-Data-Fachmann für Cyberattacken wappnen: „Die beste Zeit, hier Vorbereitungen zu treffen, wäre vor fünf oder sechs Jahren gewesen. Die zweitbeste Zeit ist genau jetzt.“
Cybervorfälle könnten also nicht nur in der Ukraine, sondern international zunehmen. In jüngster Zeit gab es erfolgreiche Angriffe auf den IT-Giganten Samsung – hier erbeuteten die Angreifer 190 GByte Daten inklusive Samsung-Quellcode – sowie auf den US-amerikanischen Chiphersteller Nvidia. Bei Letzterem gelangten die Angreifer an vertrauliche Informationen sowie Zugangsdaten der Beschäftigten. Nvidia ist vor allem für seine Grafikprozessoren (GPUs) bekannt, die für alles von Videospielen bis hin zum KI-Modelltraining zum Einsatz kommen – das Schadenspotenzial ist also enorm. Als Akteur hinter beiden Angriffen gab sich die südamerikanische Gruppe Lapsus$ zu erkennen. Ob irgendeine Verbindung zu Russland besteht, ist unklar – auch das „ganz normale“ Cyberverbrechen geht schließlich weiter.
Und dann ist da auch noch China, der sicher aufmerksam beobachtende Dritte in der Dreierkonstellation der Weltmächte. So gab es zum Beispiel kürzlich Berichte, dass APT41, eine Angreifergruppe aus dem Umfeld des chinesischen Staates, mittels Log4j und Zero-Day-Schwachstellen in die Netzwerke von sechs US-Behörden vorgedrungen ist – auch die „ganz normale“ Cyberspionage schreitet also voran.
Die IT-Sicherheitslage war – Stichwort: Ransomware – schon vor dem Ukraine-Krieg ernst, und sie wird weiterhin ernst bleiben – unabhängig davon, wann der Krieg endet. Unternehmen sollten die aktuelle Bedrohungslage deshalb zum Anlass nehmen, ihr IT-Sicherheitskonzept wie auch ihre Notfallpläne auf den Prüfstand zu stellen – in aller Ruhe und ohne Alarmismus. Denn das Schreckgespenst, das im Hinterkopf spukt, mag der plötzlich über uns hereinbrechende „Cyberkrieg“ sein. Doch wirklich gespenstisch wird die Lage für IT-Organisationen, wenn sich das Backup nach einem Vorfall doch nicht wie geplant wieder einspielen lässt – und dann ist es unerheblich, ob der Anlass eine Ransomware-Attacke, ein gezielter Wiper-Angriff oder eine Überschwemmung war.
- Schreckgespenst Cyberangriff
- Lange Phase der Vorbereitung
- Abstrakt erhöhte Bedrohungslage
Lesen Sie mehr zum Thema
