Der Einmarsch in die Ukraine zeigt der Welt, was ein ‚hybrider Krieg‘ bedeutet. Der Begriff wurde von Frank Hoffman geschaffen, um einen Krieg zu beschreiben, der an mehreren Fronten ausgetragen wird: konventionelle Kriegsführung, irreguläre Methoden wie z.B. Einsätze und Cyberangriffe. Im Zuge dieser schrecklichen Aggression werden die digitalen Aspekte des modernen Krieges viele Unternehmen auf der ganzen Welt beeinflussen.

Während in der Ukraine die Sirenen ertönen, müssen auch Unternehmen bei ihren Cybersicherheitsmaßnahmen Alarm schlagen. Hier erfahren Sie, womit Unternehmen in diesem hybriden Krieg konfrontiert sind.

Eine bösartige Geschichte: „Fürchte dich und erwarte das Schlimmste“

Russland setzt seit langem Cyberangriffe als Taktik ein, um Druck auszuüben und einen Stellvertreterkrieg zu führen. Vom russischen Staat unterstützte Hackergruppen sind bekannt für massive Cyberangriffe auf westliche Organisationen. Einer der größten Angriffe der letzten Jahre war der Ransomware-Angriff auf die USA im Jahr 2021. Colonial Pipeline von der Hackergruppe REvil.

In jüngerer Zeit, 70 Websites der ukrainischen Regierung wurden bei einem Cyberangriff mit einer Warnmeldung auf dem Bildschirm verunstaltet, die lautete: „Haben Sie Angst und erwarten Sie das Schlimmste„. Eine Analyse des Angriffs ergab Hinweise darauf, dass der russische Geheimdienst involviert war; Russland hat die Beteiligung jedoch inzwischen bestritten.

Leugnen und Fehlinformationen sind typische Kriegstaktiken, die die Verwirrung nutzen, um ‚zu teilen und zu erobern‘. Die Beweise stapeln sich jedoch: 74% des Geldes, das im Jahr 2021 durch Ransomware-Angriffe erpresst wurde, wurde an Hacker mit russischen Verbindungen geschickt. Im Nachhinein müssen wir uns fragen, ob dieses Geld dann als Kriegskasse beiseite gelegt wurde?

Im Zuge der Invasion in der Ukraine wurden weitere Cyberangriffe gegen die ukrainische Regierung durchgeführt. Eine Microsoft-Blog-Erklärung vom28. Februar gibt weitere Einblicke:

Am 24. Februar entdeckte das Microsoft Threat Intelligence Center (MSTIC) eine neue Runde offensiver und zerstörerischer Cyberangriffe, die sich gegen die digitale Infrastruktur der Ukraine richten.“ In dem Blog wird erwähnt, dass eine neue Malware-Variante „FoxBlade“ als Teil dieser Angriffe gefunden wurde.

Eines ist sehr wahrscheinlich: Der Einmarsch in die Ukraine ist ein hybrider Krieg, und Cyberangriffe werden sich nicht auf die Ukraine beschränken lassen.

Warnsirenen vor weiteren Cyberangriffen

Überall auf der Welt wurden Warnungen und Hinweise veröffentlicht, die Unternehmen vor einer erhöhten Bedrohung durch Cyberangriffe warnen:

In Großbritannien hat das National Cyber Security Centre (NCSC) auf seiner Website eine Empfehlung veröffentlicht, in der britische Unternehmen aufgefordert werden, ihre „Cybersicherheitsresistenz als Reaktion auf die bösartigen Cybervorfälle in und um die Ukraine“zu stärken.

In den USA hat die CISA (Cyber security and Infrastructure Security Agency) eine Warnung unter dem Titel ‚Shields UpKampagne eine Warnung vor einer neuen Ransomware-Gruppe, Conti, mit Verbindungen zum russischen Geheimdienst veröffentlicht:

Die Conti-Ransomware-Akteure drohen mit „Vergeltungsmaßnahmen“, die sich gegen kritische Infrastrukturen richten, als Reaktion auf „einen Cyberangriff oder jegliche Kriegsaktivitäten gegen Russland„.

In Australien wird der Alarmstatus für einen Cyberangriff auf HOCH gesetzt und die Regierung erklärt, dass Unternehmen „dringend zu einer verbesserten Cybersicherheitsposition aufgefordertwerden“.

Auch in anderen europäischen Ländern warnen die Regierungen Organisationen und Bürger, sich auf einen Cyberangriff vorzubereiten.

Eine der Befürchtungen hinsichtlich der Leichtigkeit, mit der diese Cyberangriffe durchgeführt werden, ist, dass die von Russland unterstützten Cyberkriminellen jahrelang damit verbracht haben, ihr Malware-Know-how aufzubauen und erfolgreiche Angriffstaktiken auszukundschaften.

Neue Malware, erfolgreiche Taktiken

Es wurden bereits mehrere neue Malware-Varianten identifiziert, die mit russischen Hackerbanden in Verbindung gebracht werden. Diese scheinen auf Datenlöschung und/oder Ransomware zu basieren und sind äußerst schädlich. Beispiele sind HermeticWiper, und WhisperGate Malware, die Daten beschädigt und/oder vollständig löscht. Eine andere, HermeticRansom, verwendet Erpressungstechniken, um die schädlichen Auswirkungen der Malware zu verstärken.

Weitere Untersuchungen haben ergeben, dass auch Malware-„Würmer“ verwendet werden. Würmer sind besonders gefährlich, da sie sich, sobald sie in ein System eingedrungen sind, selbst replizieren und sich über ein Netzwerk verbreiten, Rechner infizieren und Zerstörung im gesamten Netzwerk anrichten. Eine der neuesten Entdeckungen heißt HermeticWizard, ein Wurm, der die Malware HermeticWiper verbreitet.

Würmer dringen über eine Vielzahl von Methoden in ein Netzwerk ein, z. B. über E-Mails, USB-Sticks, bösartige Links in sozialen Medien, unsichere IoT-Geräte und so weiter.

Weitere Malware-Varianten werden wahrscheinlich in die Bedrohungslandschaft eindringen, wenn der Krieg weitergeht.

Die CISA und das FBI haben eine gemeinsame Empfehlung veröffentlicht, die die Gefahren einiger der neuesten Malware-Varianten erläutert. Der Ratschlag fordert Organisationen dazu auf:

„…ihre Wachsamkeit erhöhen und ihre Fähigkeiten in Bezug auf Planung, Vorbereitung, Erkennung und Reaktion auf ein solches Ereignis bewerten.“

Diese neuen Malware-Varianten werden weiterhin auf bewährte erfolgreiche Taktiken wie Phishing und Social Engineering angewiesen sein, um in ein Netzwerk einzudringen. Wie kann sich ein Unternehmen also auf diesen hybriden Krieg vorbereiten?

Maßnahmen zum Schutz Ihres Unternehmens und Ihrer Mitarbeiter

Die Cyberkriminellen, die hinter dieser Flut von Cyberwar-Malware stecken, verwenden bewährte Methoden, um Infektionen schnell und effektiv zu verbreiten. Unternehmen müssen sich das Wissen der Sicherheitsbranche zunutze machen, um sich zu wappnen. Zu den Schutzmaßnahmen sollte Folgendes gehören:

  • Vergewissern Sie sich, dass Sie einen Überblick über alle Ihre IT-Ressourcen haben, einschließlich aller Endpunkte, Datenspeicher und -flüsse, Server und anderer Geräte.

  • Stellen Sie sicher, dass Ihr erweitertes Netzwerk über robuste Sicherheitsmaßnahmen in Bezug auf Geräte, Personen und Standorte verfügt. Erzwingen Sie beispielsweise eine solide Authentifizierung und nutzen Sie die Prinzipien der geringsten Privilegien, die mit Hilfe von Privileged Access Management (PAM) durchgesetzt werden, um den Zugriff zu kontrollieren.

  • Testen Sie Ihre Patch-Management-Systeme, um sicherzustellen, dass sie alle Endpunkte und Server erreichen.

  • Richten Sie ein bestehendes, sicheres Backup-System ein oder testen Sie es.

  • Versetzen Sie Ihr Unternehmen in erhöhte Alarmbereitschaft und unterstützen Sie dies durch ein Sicherheitstraining, das sich auf die Bedrohung konzentriert: Ergänzen Sie Ihr Training mit der fortlaufenden Bewertung der Situation und verwenden Sie Phishing-Simulationen, um Ihre Mitarbeiter über die wahrscheinlichen Phishing-Kampagnen im Zusammenhang mit der Invasion zu schulen.

  • Überwachen Sie die Aktivitäten Ihres Netzwerks und Ihrer Zugangspunkte und prüfen Sie den Zugang zu den Ports auf mögliche Schwachstellen.

  • Entfernen oder deaktivieren Sie alle nicht verwendeten Anwendungen.

  • Überprüfen, aktualisieren und verbessern Sie Ihre Planung und Strategie für die Wiederherstellung im Katastrophenfall

Dies sind nur einige der Schlüsselbereiche, die in dieser Zeit erhöhter Bedrohung gestärkt werden müssen.

Bereiten Sie sich auf Vergeltungsangriffe vor

Jetzt wird auch davor gewarnt, dass ein Cyberangriff auf einen NATO-Mitgliedstaat dazu führen würde, dass Artikel 5 der Klausel zur kollektiven Verteidigung ausgelöst wird. Der digitale Krieg und der konventionelle Krieg könnten im Zuge der Eskalation durchaus ineinander übergehen. Die Wahrscheinlichkeit von Vergeltungsangriffen ist hoch, und die beste Verteidigung ist, sich dessen bewusst und darauf vorbereitet zu sein.

Schulungen zum Sicherheitsbewusstsein für Drittanbieter