Cyberwar

BSI warnt vor Cyberattacken auf deutsche "Hochwertziele"

In Deutschland steigt die Angst vor Cyberangriffen während des Ukraine-Kriegs. Das BSI sieht aktuell eine erhöhte Bedrohungslage für kritische Infrastrukturen.
Von 
CSO | 08. März 2022 17:12 Uhr
Deutschland könnte schon bald ins Visier von russischen Hackern geraten.
Deutschland könnte schon bald ins Visier von russischen Hackern geraten.
Foto: Alexander Geiger - shutterstock.com

Im Zusammenhang mit der russischen Invasion in die Ukraine könnte nun auch Deutschland zum Ziel für politisch motivierte Cyberattacken werden. Das geht aus einem Sonderlagebericht des BSI hervor, über den das Nachrichtenmagazin der "Spiegel" berichtet. Dem BSI liegen demnach Informationen eines "vertrauenswürdigen Partners" vor, wonach Attacken gegen "Hochwertziele" mutmaßlich bevorstünden. Die Informationen gelangten wohl aus dem Ausland über das deutsche Cyberabwehrzentrum ans BSI, heißt es.

Seit Beginn der Krise und der deutschen Unterstützung für die Ukraine mit Waffenlieferungen und Sanktionen gegen Russland gelten Cyberangriffe etwa gegen Energieversorger oder militärische Einrichtungen in Sicherheitskreisen als die aktuell größte Bedrohung für Deutschland, so der Spiegel-Bericht. Demnach warnte auch das Bundesamt für Verfassungsschutz in einem Dokument vor einem erhöhten Risiko. Die russischen Geheimdienste verfügten über Fähigkeiten, neben kritischer Infrastruktur den politischen Betrieb "erheblich und nachhaltig zu sabotieren". Konkretere Angaben gibt es nicht.

Bereits am 25. Februar hatte das BSI eine Warnung an deutsche Unternehmen und Behörden geschickt. Die aktuelle IT-Bedrohungslage wird darin mit der zweithöchsten Warnstufe "Orange" bewertet. Als mögliche Angriffsziele gelten Politik, Verwaltung und Unternehmen, die für die Aufrechterhaltung der kritischen Infrastruktur in Deutschland wichtig sind.. Zudem rechnet das BSI damit, dass Phishing-Mails mit Bezug zum Ukraine-Krieg hierzulande weiter zunehmen werden.

Schutzmaßnahmen

Das BSI fordert deshalb Unternehmen, Organisationen und Behörden dazu auf, ihre IT-Sicherheitsmaßnahmen zu verschärfen. Dazu empfiehlt die Behörde folgendes Vorgehen:

  • Erreichbarkeit/Verfügbarkeit: Die Verfügbarkeit und Erreichbarkeit des notwendigen Personals (eigenes Personal sowie Mitarbeitende von Dienstleistern sollte für Präventions- und Reaktionsmaßnahmen geprüft und sichergestellt werden. Die Erreichbarkeit sollte sollte - auch offline dokumentiert - garantiert sein.

  • BCM-Notfallpläne prüfen, eine Schadensbewältigung ohne externe Dienstleister sollte möglich sein: Bei großflächigen Cyberangriffen dürfte eine Vielzahl von Unternehmen gleichzeitig externe Unterstützung durch Dienstleister benötigen. Dadurch könnten diese an ihre Kapazitätsgrenzen stoßen, so dass nicht mehr alle Unternehmen unterstützt werden können. Unternehmen sollten deshalb in ihren BCM-Notfallplänen auch eine Schadensbewältigung ohne die Unterstützung externer Dienstleister als Rückfalloption berücksichtigen. Das BSI bereitet sich darauf vor, in so einem Fall skalierende zentrale Unterstützungsmaßnahmen (CSW, Hilfedokumente, Webinare, Telkos etc.) bereitzustellen.

  • Systeme auf aktuellen Patch-Stand bringen und Einspielen von Notfall-Patches vorbereiten: Wenn Hersteller im Falle von Zero-Day-Schwachstellen Patches veröffentlichen, sollten diese kurzfristig (24/7) installiert werden. Dazu sollten auf jeden Fall alle verfügbaren Sicherheits-Patches von fremdbezogenen Systemen mindestens bei allen externen Systemen kurzfristig die verfügbaren Sicherheitspatches installiert werden. Auch wenn die Empfehlung, alle Sicherheitspatches zu installieren, unspezifisch ist, ist der Aufwand hierfür gering. Daher hat diese Maßnahme ein hohes Nutzen-Aufwand-Verhältnis und minimiert die eigene Angriffsfläche erheblich.

  • Härtung aller Systeme mit Zugriffsmöglichkeit von außen: Unternehmen verfügen in der Regel über eine Reihe von Systemen mit Außenanbindung, zum Beispiel VPN, RDP, OWA, Exchange-Online oder Extranet-Portale. Bei Ransomware-Attacken wurden bereits in der Vergangenheit gezielt Mitarbeitende von Unternehmen auch privat angegriffen, um dann über deren sowohl privat als auch beruflich genutzten Passwörter ins Unternehmensnetz einzudringen. Deshalb sollten alle Logins mit Außenanbindung über eine Multi-Faktor-Authentifizierung (MFA) geschützt werden. Falls eine MFA zeitnah nicht einzurichten ist, sollten wenigstens komplexe und für jedes System unterschiedliche Passwörter verwendet werden. Dies gilt vor allem für Admin-Konten. Sofern dies nicht technisch zu erzwingen ist, sollte dies durch organisatorische Maßnahmen, beispielsweise gegen Unterschrift bestätigt, umgesetzt werden.

  • Härtung von Admin-Systemen: Admin-Systeme dürfen nur für administrative Aufgaben und nicht für das "Tagesgeschäft" (persönliche E-Mails, Internet-Recherche etc.) genutzt werden. Dabei sollten für unterschiedliche Netze auch unterschiedliche Admin-Konten sowie Admin-Systeme mit unterschiedlichen Zugangsdaten verwendet werden.

  • Erschwerung von Lateral Movement ins Netz und innerhalb des internen Netzwerks: Eine Kompromittierung externer Systeme und Netze, wie einer DMZ (Demilitarized Zone= ein eigenständiges Netzwerk, das als Pufferzone zwischen einem externen Netz und dem internen Netzwerk agiert), darf nicht zu einer Beschädigung wichtiger interner Systeme führen. Es gilt, die Vertrauensbeziehungen zwischen diesen Systemen zu minimieren und verschiedene Accounts mit verschiedenen Passwörtern in den jeweiligen Netzen zu nutzen. Außerdem gilt es, die Detektion zu verstärken, um Angriffe schnellstmöglich zu entdecken. IT-Sicherheits-Logging und -Monitoring Insbesondere Zugriffe auf externe Systeme sollten intensiviert mit geeigneten Lösungen und geschultem Personal überwacht werden.

  • Backups erstellen und prüfen: Von allen Systemen sollten aktuelle und sichere Backups existieren. Eine Kopie der Backups sollte offline gelagert werden.

  • Recovery vorbereiten und testen: Die Wiederherstellung von Systemen, insbesondere von relevanten Systemen (File-, Mail-, AD-Server, DB, krit. Fachverfahren etc.) sollte getestet werden. Erfahrungsgemäß kommt es bei einer erstmaligen Wiederherstellung oder einer ersten Wiederherstellung nach längerer Zeit oftmals zu unvorhergesehenen Problemen, die ein Recovery erschweren oder sogar verhindern, insbesondere bei Fachverfahren und Datenbanken. Dazu sollten Pläne für eine Wiederherstellung nach totalem Datenverlust ("Schwarz-Start") existieren, bei dem alle Systeme aus den Backups wiederhergestellt werden müssen, zum Beispiel nach Verschlüsselung auf Virtualisierungs-Server-Ebene.

  • Erhöhung der Funktionsfähigkeit von IT-Betrieb, SOC und CERT bei Lageverschärfung: Sollte es zu einer Verschärfung der Bedrohungslage kommen, sollten Sie sicherstellen, dass der IT-Betrieb, sowie das Unternehmens Security Operations Centre (SOC) und/oder Computer Emergency Response Team (CERT) in eine erhöhte Funktionsbereitschaft wechseln. Angefangen bei einer 24/7 Rufbereitschaft, über 24/7 Schichtdienst bis hin zu einer besonderen Aufbauorganisation (BAO) im Rahmen des Unternehmens-Krisenmanagements. Die BAO sollte von Anfang an durchhaltefähig geplant werden.

Das BSI weist jedoch darauf hin, dass die Auflistung der Maßnahmen nicht abschließend ist und eigenständig im Rahmen der Vorbereitung individuell an die eigenen Rahmenbedingungen angepasst und erweitert werden muss.

Lesetipps:

Cyberkrieg - Unternehmen müssen sich dringend vorbereiten

Ukraine-Konflikt - So wehren Sie Cyberangriffe aus Russland ab

Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.