Am frühen Morgen des 24. Februar 2022 kam es zu einer Invasion russischer Streitkräfte in das Staatsgebiet der Ukraine. Diese militärische Operation soll durch Verfügbarkeitsangriffe auf Webseiten sowie Sabotage-Angriffe (Wiper) auf ausgewählte ukrainische Institutionen begleitet worden sein.
Die DDoS-Angriffe (Distributed Denial of Service) sollen auf Webseiten ukrainischer Banken und Ministerien sowie des Parlamentes beschränkt gewesen sein. Zeitgleich sollen auch Daten-Lösch-Programme, sogenannte Wiper, auf ukrainischen Rechnern entdeckt worden sein. Hiervon sollen auch Banken und Dienstleister der ukrainischen Regierung mit Standorten in Litauen und Lettland betroffen gewesen sein. Die Schadprogramme sollen in einigen Fällen über Windows Group Policies verteilt worden sein. Täter müssten daher bereits entsprechende Administrator-Berechtigungen und einen Zugang zu zentralen Servern, wie dem Active Directory als Verzeichnisdienst, gehabt haben.
Seit der Invasion würden NATO-Partner vermehrt aggressive Scan-Aktivitäten in ihren Netzen melden. Für die Bundesrepublik Deutschland wurden dem Nationalen IT-Krisenreaktionszentrum im Bundesamt für Sicherheit in der Informationstechnik (BSI) keine Auffälligkeiten gemeldet bzw. durch diese festgestellt.
IT-Sicherheitsinformation des BSI
Das BSI bzw. das Nationale IT-Krisenreaktionszentrum hat zu den aktuellen Entwicklungen der Ukraine-Krise einen Sonderlagebericht mit der Einstufung „3 / Orange“ herausgegeben. Die IT-Bedrohungslage, besonders im Bereich der Kritischen Infrastruktur, wird hierdurch als geschäftskritisch eingestuft und eine massive Beeinträchtigung des Regelbetriebs kann nicht ausgeschlossen werden. Für deutsche Unternehmen wird aktuell allerdings von keiner geänderten Gefährdung ausgegangen.
Das Nationale IT-Krisenreaktionszentrum empfiehlt für Unternehmen weiterhin die Umsetzung von Präventionsmaßnahmen vor und die Planung von Reaktionsmaßnahmen nach Cyberattacken.
Was sollte unternommen werden?
Die IT-Sicherheitsinformation des BSI gibt eine übersichtliche Aufstellung von Maßnahmen, die in jedem Unternehmen geklärt und umgesetzt sein sollten:
- Übergreifende und infrastrukturelle Maßnahmen
- Erreichbarkeiten und Verfügbarkeiten von Personal und Dienstleister für Präventions- und Reaktionsmaßnahmen prüfen und sicherstellen. Die Erreichbarkeiten sollten auch offline dokumentiert sein.
- BCM-Notfallpläne prüfen, dabei sollte auch die Schadensbewältigung ohne externe Dienstleister berücksichtigt werden.
- Angriffsfläche minimieren
- Systeme auf aktuellen Patchstand bringen und das unmittelbare Einspielen von Notfallpatches vorbereiten.
- Härtung aller Systeme mit Zugriffsmöglichkeit von außen vornehmen.
- Härtung von IT-Systemen der Administratoren vornehmen.
- Erschwerung von Lateral Movement ins und innerhalb des internen Netzwerks durchsetzen.
- Detektion verstärken, um Angriffe schnellstmöglich zu entdecken
- IT-Sicherheits-Logging und -Monitoring etablieren.
- Reaktionsmaßnahmen vordenken, vorbereiten und lageangepasst umsetzen
- Backups erstellen und prüfen; insbesondere sollte eine Offline-Kopie gelagert werden.
- Recovery von Systemen und Anwendungen vorbereiten und testen. Pläne zur Wiederherstellung nach einem totalen Datenverlust („Schwarz-Start“) sollten für Kernanwendungen vorhanden sein.
- Aufwuchs- und Durchhaltefähigkeit planen
- Erhöhung der Funktionsfähigkeit von IT-Betrieb, SOC (Security Operations Centre) und CERT (Computer Emergency Response Team) bei Lageverschärfung vornehmen.
Die aufgelisteten Maßnahmen sind nicht abschließend und müssen eigenständig im Rahmen der Vorbereitung individuell an die eigenen Rahmenbedingungen angepasst und erweitert werden.
Fazit
Die aktuellen Entwicklungen in der Ukraine sind tragisch und werden durch vermehrt auftretende Cyberattacken begleitet. Generell sollten Unternehmen und insbesondere Betreiber Kritischer Infrastrukturen auf Cyberattacken durch Präventionsmaßnahmen vorbereitet sein und bei einem tatsächlich auftretenden Vorfall geplant reagieren können.
3. März 2022 @ 21:53
Der Katalog des BSI ist nur eine Auflistung von ‚Best Practice‘.
Weder Backups noch Logging schützen gegen Angriffe, sondern helfen bestenfalls, die Folgen abzumildern.
Die empfohlenen Schutzmaßnahmen sind ein Sammelsurium von Maßnahmen gegen unterschiedliche Bedrohungen. Gegen SPAM mit infektiösem Anhang (oder Link) braucht man andere Maßnahmen als gegen die Myriaden Sicherheitslücken in MS-Produkten. Gleich mit einem Bauchladen voller Maßnahmen anzufangen, zäumt das Pferd von hinten auf. Als erstes müsste man sich ansehen: Gegen welche Risiken will ich mich schützen?
Das Schlimmste aber ist: Das BSI setzt stillschweigend eine MS-Monokultur voraus. Dabei ist genau das die eigentliche und größte Schwachstelle. Deshalb wäre der wichtigste Rat, strategisch zu FOSS zu wandern. Über die akuten Schutzmaßnahmen hinaus sollte das BSI auch diesen langfristigen Aspekt behandeln.
4. März 2022 @ 8:50
Vielen Dank für Ihren Kommentar Herr Schmees!
Wie im Beitrag beschrieben, sollten die aufgezählten Präventions- und Reaktionsmaßnahmen in Unternehmen geklärt und umgesetzt sein, um gegen eine Vielzahl von Angriffsvektoren gewappnet zu sein.
Auch in FOSS- (Free/Libre Open Source Software) oder Hybrid-Infrastrukturen sollten diese Vorkehrungen getroffen sein.
Viele Grüße
Fabian Mangels
4. März 2022 @ 11:20
Moin Herr Mangels, noch mal zum Mitschreiben: In einer Umgebung aus Linux und LibreOffice (oder entsprechender FOSS Groupware) etc., muss man NICHTS extra unternehmen, um gegen SPAM mit infektiösem Anhang geschützt zu sein! Linux und die anderen FOSS Alternativen sind auf diesem Wege nicht angreifbar; sie sind konzeptionell sicher. Gleiches gilt für Angriffe auf Server-Dienste. Wer seine FOSS Systeme aktuell hält und einigermaßen vernünftig administriert, hat überhaupt nichts zu befürchten. Es hat einen Grund, dass weltweit die meisten Websites auf Linux (oder xBSD) laufen! Webserver sind noch viel stärker gefährdet als Unternehmensnetze, weil Webserver qua Aufgabe recht offen aus dem Internet erreichbar sein müssen. Linux-Server widerstehen allen Angriffsversuchen, ohne dass man viele Klimmzüge machen müsste wie bei MS.
5. März 2022 @ 9:43
Pustekuchen PC-Flüsterer, Linux und Open Office schützen nur auf der Software-Ebene. Auch cryptogesicherte Linux-Systeme, Smartphones und Netzwerke können über infizierte Websites angegriffen und gekapert werden, sofern deren DRAMs nicht Row-Hammer-fest sind und das sind die wenigsten ab DDR3.