Deutschland
 

Ukraine-Konflikt

So wehren Sie Cyberangriffe aus Russland ab

Aufgrund der vermehrten Cyberattacken aus Russland gegen die Ukraine warnen viele Regierungen aktuell vor einer Ausweitung. Deshalb ist es wichtig, geeignete Vorsichtsmaßnahmen zu treffen.
Von 
CSO | 01. März 2022 16:30 Uhr
Sicherheitsbehörden warnen vor vermehrten Cyberangriffen aus Russland.
Sicherheitsbehörden warnen vor vermehrten Cyberangriffen aus Russland.
Foto: Martial Red - shutterstock.com

Die US-Behörde Cybersecurity and Infrastructure Security Agency (CISA) hat kürzlich als Reaktion auf den Krieg zwischen Russland und der Ukraine eine "Shields-Up"-Empfehlung herausgegeben. Dabei stellte die CISA fest, dass "die russische Regierung in den vergangenen zehn Jahren Cyberangriffe als Schlüsselkomponente ihrer Machtprojektion eingesetzt hat". Die Behörde warnte, dass Russland mit seinen Cyberattacken auch Ziele außerhalb der Ukraine ins Visier nehmen könnte. Auch deutsche Sicherheitsbehörden rechnen mit weiteren Angriffen.

Wie können sich Unternehmen schützen? Zunächst einmal besteht in den wenigsten Fällen die akute Notwendigkeit, drastische Änderungen am eigenen Netzwerk vorzunehmen. Dennoch sollten Sicherheitsverantwortliche das Unternehmensnetzwerk überprüfen und sich Gedanken über künftige Änderungen machen. Hier ist eine Liste von Maßnahmen, die Sie ergreifen können:

Aktualisieren Sie Ihre Reaktionspläne für den Ernstfall

Unternehmen sollten jetzt ihre Reaktionspläne für Cybervorfälle überprüfen und sich dabei folgende Fragen stellen: Sind die Pläne auf dem neuesten Stand? Berücksichtigen sie die aktuell zu beobachtenden Angriffsarten, die Russland in der Ukraine durchführt?

Orientieren Sie sich an den wichtigsten Leitfäden

Wir empfehlen den Leitfaden "Hardening to Protect Against Destructive Attacks" von Mandiant. Wie das Unternehmen und auch die CISA betonen, sollten Betriebe als erstes alle Fernzugriffe auf Ihr Netzwerk kontrollieren und zudem spätestens jetzt eine Multi-Faktor-Authentifizierung (MFA) einführen. Niemand darf sich aus der Ferne ohne eine zusätzliche Authentifizierung neben dem reinen Kennwort anmleden können. Benötigt wird eine Zwei-Faktor-Authentifizierung oder ein Token, der eine Nummer enthält die Anwender eingeben müssen.

Nutzen Sie alle relevanten Quellen für Informationen

Egal ob mit externen Kollegen, in Foren oder via Chat: Sicherheitsverantwortliche sind jetzt auf einen intensiven Informationsaustausch angewiesen. Suchen Sie vor allem nach branchenspezifischen Informationen. Wenn Sie nicht wissen, wer Ihnen weiterhelfen kann, wenden Sie sich an offizielle stellen wie das BSI oder Infragard in den Vereinigten Staaten sowie an Ihre lokale Computersicherheitsressource in Ihrem Land. Für EU-Mitgliedstaaten sowie EU-Organe ist die Agentur der Europäischen Union für Cybersicherheit (ENISA) zuständig. Weitere internationale Ressourcen, die allen zur Verfügung stehen sind die CISA sowie das Australian Cyber Security Centre und das UK National Cyber Security Centre.

Bewerten Sie das Risiko für die Internet- und Netzwerkkonnektivität

Wenn Sie sich in einem gefährdeten Gebiet befinden, können Internet- und Netzwerkverbindungen im Visier der Angreifer stehen. Der Maersk-Ransomware-Angriff war beispielsweise ursprünglich auf ukrainische Unternehmen ausgerichtet, und auch die Ransomware NotPetya zielte zunächst auf Organisationen in der Ukraine. Die Schadsoftware hatte es im Juni 2017 speziell auf Regierungs-, Finanz- und Energieeinrichtungen abgesehen.

Geschäfts- und Infrastrukturverbindungen nach Russland checken

Wenn eine Ihrer Cloud-Implementierungen auf Servern in Russland läuft, sollten Sie erwägen, diese Daten in ein anderes Rechenzentrum zu verlagern. Wenn Sie Softwareentwickler oder IT-Support aus Russland oder den umliegenden Ländern nutzen, sollten Sie ebenfalls mögliche Auswirkungen auf Ihr Netzwerk in Betracht ziehen. Es ist wichtig, alle Optionen entsprechend zu prüfen und zu analysieren.

Vorsicht bei Patches

In den vergangenen Monaten gab es viele unangenehme Nebenwirkungen von Software-Patches, nicht wenige Unternehmen haben deshalb neue Software-Releases ganz ausgelassen. Sicherheitsverantwortliche sollten die von der CISA freigegebene Liste der bekannten Sicherheitslücken vorliegen haben und sicherstellen, dass Sie zumindest für diese Patches installiert haben.

Stellen Sie Ihre Firewall so ein, dass wirklich nur Berechtigte Zugang zu Ihren Standorten und Websites bekommen. Bei Cloud-Diensten kann das eine schwierige Aufgabe sein, aber bei On-Premises-Servern, die nur bestimmte Dienste anbieten, sollten Sie überprüfen, wer wirklich Zugang benötigt und warum. Schränken Sie den Zugriff auf Ihren Domänencontroller auf diejenigen ein, die den Zugriff auf den Standort wirklich brauchen.

Protokollieren Sie im Angriffsfall relevante Informationen

Um gut auf einen Angriff vorbereitet zu sein, sollten Sie alle Informationen aufzeichnen, die Ihnen in dieser Situation konkret weiterhelfen können. Microsoft-Kunden mit einem Microsoft-365-Abo sollten, wenn sie sich besonders bedroht fühlen, das E5-Sicherheitsabonnement in Betracht ziehen. Es muss ja nicht für alle Benutzer im Unternehmen aktiviert werden. Sollten Sie für bestimmte Nutzer eine zusätzliche Protokollierung oder

Testen Sie Backup- und Wiederherstellungsprozesse

Unternehmen sollten prüfen, ob sie in der Lage sind, auch eine große Anzahl von Diensten gleichzeitig wiederherzustellen. Dazu benötigen sie eine Checkliste, in der die Wiederherstellungsschritte aufgeführt sind. Zudem sollte derWiederherstellungsprozess getestet werden. Es ist sinnvoll zu messen, wie lange die Wiederherstellung eines einzelnen Servers oder eines Netzwerks dauern wird.

Ist Ihr IT- und Sicherheitspersonal vorbereitet?

Übungen mit den IT-Mitarbeitern helfen festzustellen, ob alle für den ernstfall bereit sind. IT-Professionals sind knapp, nach der Pandemie hat sich die Lage nochmal verschärft. Auch die Budgets wurden teilweise gekürzt. Überprüfen Sie deshalb besonders genau, ob Sie Ihre Notfallpläne einhalten können oder ob Prioritäten verschoben werden müssen. Auch wenn Sie ein kleines oder mittleres Unternehmen repräsentieren, sollten Sie herausfinden, welche Möglichkeiten und Ressourcen Sie haben.

Ein "Was-wäre-wenn-Spielchen" kann helfen sicherzustellen, dass Unternehmen alle Risiken im Blick haben. Verwenden Sie dafür Tabletop-Spiele wie "Backdoors and Breaches", um beispielhafte Risiken für Ihr Unternehmen zu ermitteln und herauszufinden, wie Sie auf diese Probleme reagieren würden. Die Spielkarten stellen realistische Bedrohungen dar, zum Beispiel Social Engineering, Kompromittierung von Webservern und Ausfüllen von Zugangsdaten.

Schwachstellen im Netzwerk analysieren

Scannen Sie Ihr externes Netzwerk. Zusätzlich sollten Sie Ihre Schwachstellen mit einem Penetrationstest-Team oder einem externen Berater analysieren. Wie Sie dabei vorgehen können erfahren Sie beim BSI oder in diesem Handbuch. Andernfalls können Sie zumindest über öffentliche Suchmaschinen, die nach Schwachstellen in Ihrem externen Netzwerk suchen, Risiken erkennen. Prüfen Sie, was Angreifer mit Hilfe von Tools wie Shodan (Suchmaschine für das "Internet of Everything") und Censys (Tool für das Überprüfen der im Internet sichtbaren Angriffsfläche) über Sie herausfinden können.

Fazit: Unternehmen sollten wissen, ob und wie stark sie angreifbar sind. Komplexe Attacken nutzen oft zunächst eine einfache Lücke, über die sich Bedrohungsakteure einschleichen, sich seitlich bewegen und ihre Nachforschungen anstellen. (jm)

Lesetipp: Im Krieg steigen die Risiken - So verbessern Sie Ihre Cyberabwehr

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Susan schreibt für unsere US-Schwesterpublikation CSO Online.
Folgen: