Die Unsicherheit im Bezug auf den bewaffneten Konflikt in der Ukraine wirft auch zahlreiche Fragen auf: Wie können sich deutsche Unternehmen davor schützen, zwischen die Fronten zu geraten und zum Ziel zu werden? Soviel vorab: Es gibt im Moment mehr Fragen als Antworten.
Die hier beschriebenen Informationen stellen den zum Zeitpunkt zur Veröffentlichung aktuellen Stand dar. Sollten sich hier Änderungen ergeben, werden diese nachträglich ergänzt und entsprechend kenntlich gemacht.
Es ist insgesamt viel Bewegung im Thema „Ukraine“ und die Warnungen sind bisher wenig konkret. Das BSI spricht von einer „abstrakt erhöhten Bedrohungslage“. Insgesamt ist der Eindruck „Eigentlich wissen wir alle auch nichts Genaues, aber wir müssen vorsichtig sein“. Es scheint gerade niemand so wirklich zu wissen, wie man sich in dieser Situation als Unternehmer*in verhalten soll. Werfen wir allerdings einen Blick auf das Geschehen im Krisengebiet, dann bekommen wir ein anderes Bild. Behörden, Banken und Medien scheinen momentan die Primärziele zu sein. Weitere Angriffe in der Ukraine richten sich gegen die Wasser- und Stromversorgung. In Deutschland hatte die Funke Mediengruppe bereits DDoS-Angriffe zu verzeichnen.
Bürger*innen, Unternehmen und Branchenverbände verlangen - zurecht - Informationen über die Lage, aber genau die sind im Moment dünn gesät. Und die Informationen, die es gibt, stammen nicht immer aus zuverlässigen Quellen oder lassen eine Menge Interpretationsspielraum.
Die Frage bleibt allerdings: Was können und sollen Unternehmen jetzt tun? Nachfolgend finden Sie einige Antworten auf die drängendsten Fragen.
1. Was ist überhaupt die Gefährdungslage?
Die Antwort hierauf hat das BSI bereits gegeben. Die Kurzform ist: Derzeit ist das Bedrohungslevel zwar erhöht, aber es sind bisher keine konkreten Aktivitäten auf breiter Front zu verzeichnen.
Viele hat diese Antwort noch ratloser zurückgelassen und es gibt auch Kritik an der Zurückhaltung des BSI. Das ändert jedoch vorerst nichts an der Lage.
2. Welche Angriffsszenarien sind realistisch?
Die am häufigsten beschriebenen Szenarien aus dem Krisengebiet sind DDoS-Angriffe, die bestimmte Systeme gezielt überlasten sollen. Ziel sind hier in erster Linie die kritischen Infrastrukturen, zu denen auch Rundfunk und Medien sowie Behörden und Banken gehören. Das bedeutet jedoch nicht, dass für andere Geschäftszweige keine Gefahr besteht: Einzelne Unternehmen können zu einem Zufallsopfer werden, wenn ein Angriffswerkzeug aus dem Ruder läuft oder wenn einfach nur die Zerstörung von Daten das Ziel sind. Zu diesem Zweck kamen oft schon so genannte Wiper zum Einsatz, die keine andere Funktion haben, als so viele Daten zu löschen wie möglich. Diese Wiper können sich aber auch als andere Schadprogramme wie etwa Ransomware tarnen.
3. Wer sind die Angreifer?
Diese Frage ist schwerer zu beantworten. Das liegt daran, dass es keine klar definierten Fronten gibt. In den letzten Tagen haben zahlreiche freiwillige „Online-Guerillas“ aus allen Teilen der Welt damit begonnen, sich mit in das Geschehen einzubringen und die einen Beitrag leisten wollen, um die Ukraine oder Russland zu unterstützen. Diese sind nur sehr lose organisiert, und deren Aktivitäten sind eher unkoordiniert. Auch das Erfahrungslevel ist sehr unterschiedlich. Es ist daher gegenwärtig kaum möglich, klare Aussagen über den Ursprung von Angriffen zu treffen. Die Tatsache, dass selbst innerhalb etablierter Cybercrime-Gruppen nicht immer Einigkeit im Bezug auf das Handeln der russischen Regierung herrscht, tut ein Übriges.
Insgesamt ist auch anzumerken, dass nicht jede Aktion von Seiten dieser Hacktivist:innen als sinnvoll zu bewerten ist, weil sie entweder keinen messbaren Effekt erzielt oder Auswirkungen an der falschen Stelle hat.
4. Worauf sollte ich besonders achten?
Um Systeme erfolgreich angreifen zu können, klopfen Angreifer diese in der Regel vorher auf Schwachstellen ab. Das geschieht mit Hilfe spezialisierter Scanprogramme, die etwa nach offenen Netzwerk-Ports Ausschau halten. Systeme, die zum Internet hin exponiert sind, werden so zumindest potenziell zum Ziel. Erhöhte Scanaktivitäten können sogar Systeme überlasten. Zudem ist es jetzt wichtiger denn je, zu prüfen ob alle Systeme auf dem aktuellsten Stand sind. Auch eine vermeintlich alte Sicherheitslücke, für die bereits Patches existieren, die aber nicht installiert sind, kann schnell zur Achillesferse des Unternehmens werden.
5. Wie kann ich meine Angriffsfläche verkleinern?
Es gelten weiterhin die seit Jahren immer wieder dringend empfohlenen Maßnahmen und Empfehlungen zur Verbesserung der Sicherheit. Systeme, die zum Internet hin exponiert sind, bieten eine potenzielle Angriffsfläche. Daher muss sorgfältig geprüft werden, ob ein bestimmtes System generell aus dem Internet erreichbar sein muss. Wenn es keinen triftigen Grund gibt, warum es über das Internet erreichbar sein muss, dann sollte es auch nicht auf diese Weise exponiert werden. Zudem gelten die üblichen Vorsichtsmaßnahmen für Mitarbeitende im Umgang mit Mails und Dateianhängen. Hier kann die Belegschaft zu einem kritischen Bestandteil der Sicherheitsstrategie werden. Wer Mitarbeitende entsprechend schult, hat hier einen Vorteil.
Angriffe auf businesskritische Anwendungen haben gezeigt, dass allein die Geschwindigkeit, mit der Patches installiert werden, den entscheidenden Unterschied zwischen einem verhinderten Angriff und einem ausgewachsenen Sicherheitsvorfall machen kann. Auch eine installierte Schutzlösung kann nur so gut sein, wie es ihr erlaubt ist. Wer beispielsweise einzelne proaktive Komponenten gezielt deaktiviert, nimmt sich selbst ohne Not die Chance, Angriffe rechtzeitig zu erkennen und zu unterbinden.
6. Was kann ich tun, wenn mein Netzwerk angegriffen wird?
Das Wichtigste ist in diesem Fall, den Notfallplan umzusetzen. Falls es noch keinen solchen Plan gibt, ist es jetzt höchste Zeit, einen zu entwickeln. Selbst einfachste Informationen sind im Notfall wertvoll: Zum Beispiel, wer die internen Ansprechpartner:innen oder externen Dienstleister sind, an die sich Mitarbeitende wenden können, zusammen mit den Kontaktdaten. Hierbei können spezialisierte Anbieter unterstützen. Bestehende Notfallpläne sollten auch eine Option beinhalten, die auch dann einen Weiterbetrieb erlaubt, wenn externe Incident Response nicht kurzfristig verfügbar ist und das Unternehmen vorerst allein dasteht.
Entscheidend ist im Moment, nicht in Panik zu verfallen. Hektischer Aktionismus sollte nicht das Handeln diktieren. In einem Informationsvakuum besteht immer das Risiko, dass sich unvollständige oder fehlerhafte Informationen verselbständigen. Halbwissen und eigene Überzeugung verbinden sich unter diesen Umständen schnell zu etwas, das die Situation zum Negativen verändern kann. Wer aufgrund der aktuellen Geschehnisse aus ethischen oder anderen Gründen vor dem Hintergrund des Ukraine-Konflikts den Sicherheitsanbieter wechseln will, ist davon erst einmal nicht abzubringen – aber ein Wechsel darf nicht auf Kosten der Sicherheit stattfinden und vor allem nicht ungeordnet.
Update: Zur Empfehlung des BSI
Nach der Warnung des BSI vor dem Einsatz einiger Mitbewerberprodukte hat der sorgfältige Blick auf die eigene Sicherheitslösung erneut an Dringlichkeit gewonnen. Bemerkenswert ist an der Mitteilung des BSI, dass sie fundamental von allem abweicht, was in der Vergangenheit in ähnlichen Fragestellungen kommuniziert wurde. Vielfach nehmen IT-Verantwortliche und Geschäftsführungen die BSI-Meldung zum Anlass, Mitbewerberprodukte umgehend zu deinstallieren, auch wenn ein Ersatz noch gar nicht bereitsteht. Aus rein technischer Sicht ist diese Art der "Hals über Kopf"-Ablösung nur bedingt sinnvoll, wenn auch politisch nachvollziehbar. Oberstes Ziel von IT-Verantwortlichen sollte jedoch immer der Schutz der Unternehmens-Assets sein. Daher ist ein Wechsel nur dann zu empfehlen, wenn eine Alternative schon bereitsteht und ein nahtloser Übergang gewährleistet ist. Ohne Schutz dazustehen, ist nie sinnvoll, selbst wenn es nur für einen oder zwei Tage ist. Das sind ein bis zwei Tage, in denen potenzielle Angreifer freies Schussfeld haben. Und wie bereits oben beschrieben, ist nie klar, aus welcher Richtung ein solcher Angriff erfolgt – selbst wenn wir uns nicht in der geopolitischen Lage befänden, die uns alle gerade umtreibt. Dieses Risiko sollte jedes wechselwillige Unternehmen also sehr sorgfältig abwägen.
Tim Berghoff
Security Evangelist