Cyberangriffe beenden

Reiner Dresbach, Vice President Central bei Cybereason, schreibt über die Verwundbarkeit von Unternehmen in der aktuellen Cybersicherheitslage.

 

 

„Ist der Westen durch russische Cyber-Vergeltung im Zusammenhang mit der Ukraine gefährdet? Es ist kompliziert…“

Schon vor dem Einmarsch Russlands in die Ukraine haben sich Cybersecurity-Experten gefragt: Wann ist es soweit, dass der „große Angriff“ kommt? Russland ist dank seiner aggressiven Cyberfähigkeiten berühmt – oder eher berüchtigt. Dafür sorgen Angriffe wie NotPetya und SolarWinds.

Daher schien es unvermeidlich, dass jede Großoffensive Russlands mit massiven hybriden Angriffen, die sich auch in die digitale Welt erstrecken, gegen die kritische Infrastruktur der Ukraine verbunden sein würde. Als westliche Staaten wie die USA, die EU und viele andere ihre Unterstützung für die Ukraine ankündigten, schien es sehr wahrscheinlich, dass auch sie Ziel solcher digitalen Angriffe werden würden.

Doch wie es aussieht, kam es bislang nicht zu diesen Angriffen – zumindest nicht in dem erwarteten Ausmaß. So sind beispielsweise nicht überall im Westen die Lichter ausgegangen. Russland hat keine Angriffe auf die kritische Infrastruktur der Länder gestartet hat, die die „Frechheit“ besaßen, sich mit der Ukraine zu solidarisieren – obwohl wir solche Attacken in der Ukraine, beispielsweise dem verheerenden Angriff auf das Satellitensystem Viasat, gesehen haben.

Dieser Angriff erinnert an die NotPetya-Attacke des GRU gegen die Ukraine von 2014. Diese verbreitete sich unkontrolliert über die beabsichtigten Ziele hinaus und verursachte Kollateralschäden in anderen Ländern. Letztlich hatte der Angriff jedoch wenige bis keine Auswirkungen. Es gibt zwar eine Reihe von Theorien darüber, warum der Westen weitgehend verschont geblieben ist. Wir müssen uns aber darüber im Klaren sein, dass „bisher noch nicht“ nicht „nie“ bedeutet.

Es gibt eine Reihe von Gründen, warum die Menschen in Ländern, die mit der Ukraine sympathisieren, weiterhin vor potenziellen Angriffen auf der Hut sein sollten. Ein wichtiger Indikator dafür ist auch die Tatsache, dass die US-Regierung, die auch vor dem Einmarsch Russlands in die Ukraine korrekt gewarnt hat, Informationen über mögliche Angriffe weitergibt. Die CISA beispielsweise hat einen dringenden Appell an Unternehmen gerichtet, wachsam zu sein und ungewöhnliche Aktivitäten zu melden. Diesen sollten wir ernst nehmen – denn solche Angriffe können überall und jederzeit beginnen und sind schwer zu erkennen, bevor es zu spät ist.

Die russische Vergeltung könnte schlichtweg langsamer verlaufen als vorhergesagt. Wie Sam Curry, CSO hier bei Cybereason, betont, sind viele der Meinung, dass Cyberangriffe Teil der ersten Offensive sind, um das Zielland und seine Verbündeten als Auftakt zur physischen Kriegsführung lahmzulegen.

Möglicherweise hat Russland solche Angriffe aber auf der Eskalationsstufe höher angesiedelt und ist vorsichtig, sich einem digitalen Gegenschlag auszusetzen, wenn es bereits an so vielen Fronten kämpft. Zudem dürfen wir nicht vergessen, dass Russland nur über eine begrenzte Anzahl von Zero-Days und unbekannten Exploits in seinem Arsenal verfügt. Sobald diese eingesetzt werden, sind die IOCs verfügbar und die TTPs schnell veraltet. Es ist für Russland daher wichtig, seine Ziele und den richtigen Zeitpunkt sorgfältig auszuwählen.

Der Krieg selbst ist noch lange nicht beendet, und der Ausgang ist immer noch ungewiss. Eine weitere Möglichkeit ist also, dass sich Russland schließlich der Cyberkriegsführung zuwendet, um seine eigenen Kassen zu füllen, während sich der Konflikt und die damit verbundenen Sanktionen hinziehen. Selbst wenn sich Russland nicht aus Profitinteresse der Cyberkriminalität zuwendet, haben sich patriotische Hacker wie die Conti-Ransomware-Bande (die vor kurzem zerschlagen wurde und zweifellos bald unter neuem Namen wieder auftauchen wird) öffentlich mit russischen Interessen solidarisiert und werden aus dem Konflikt Kapital schlagen.

Selbst politisch völlig unbeteiligte Akteure könnten durch den Konflikt in Bedrängnis geraten, wie wir es in den Branchen Energieversorgung und Landwirtschaft beobachteten. Denn sie sehen, dass diese Branchen auf eine globale Krise reagieren müssen und wahrscheinloch eher bereit sind, Lösegeld zu zahlen.

Die schlechte Nachricht für westliche Unternehmen ist, dass es bisher kaum Anzeichen dafür gibt, dass die russische Cyber-Kriminalität gestoppt oder auch nur verlangsamt wird – sondern dass sie möglicherweise sogar noch zunehmen wird. Die gute Nachricht ist, dass Russland selbst auch nicht immun gegen diese Gefahren ist. Reuters berichtete beispielsweise kürzlich über Aussagen von Wladimir Putin zu Angriffen auf russische Regierungsziele.

Allein im März hat Russland auch 70.000 IT-Fachleute verloren, die aus Angst vor einem Wehrdienst oder der Schließung der Grenzen aus dem Land geflohen sind. Diese schwindelerregende Zahl entspricht etwa 5 % des russischen IT-Sektors. Weitere Berichte zeigen, dass Russland verzweifelt versucht, diesen Verlust auszugleichen, und sich sogar an Strafgefangene wendet. Möglicherweise ist Russland zu sehr damit beschäftigt, sich als neues schwaches Ziel in die Defensive zu begeben, da es aufgrund der Sanktionen nicht in der Lage ist, seine eigenen Systeme zu reparieren. In diesem Fall wäre es für Russland nicht möglich, die von Experten befürchteten ehrgeizigen Offensivkampagnen zu starten.

In der Zeit, in der wir darauf warten, dass der sprichwörtliche Stein ins Rollen kommt, sollten besorgte Einzelpersonen und Organisationen wachsam sein. Erweitern Sie Ihre Verteidigungsmaßnahmen, patchen Sie Ihre Systeme und informieren Sie sich über Updates.

 

Weitere Informationen unter: https://www.cybereason.com/de/

 

 

Bildquelle: Photo by Ahmed Zayan on Unsplash